Przykład polityki AWS IAM
Dostawcy usług w chmurze zwykle oferują funkcję IAM lub tożsamość i zarządzanie dostępem, aby zapewnić dodatkowe bezpieczeństwo konto użytkownika. W środowisku pracy/produkcji zapewniającym każdemu użytkownikowi dostęp do konta głównego lub zarządzania usługami bezpośrednio z głównego, konto jest podatne na zagrożenia bezpieczeństwa. Zamiast tego możemy tworzyć użytkowników z określonymi uprawnieniami, aby uniknąć problemów eskalacji uprawnień. Zgodnie z tym samym wzorem AWS zapewnia zapasy tworzenia użytkowników, ról i zasad opartych na IAM.
Dołączając zasady IAM do ról IAM, możemy kontrolować rodzaj dostępu, zadania, które można wykonać oraz zasoby używane z tymi zadaniami. Zasady IAM można wykorzystać do zapewnienia zgody dostępu do interfejsów API i zasobów usług AWS. W ten sam sposób możemy zdecydować, w jakim stanie należy zapewnić dostęp.
Potrzebujemy uprawnień dla podmiotów IAM, takich jak użytkownicy, grupy i role, aby uzyskać dostęp do zasobów AWS. Domyślnie AWS nie zapewnia tych podmiotów żadnych uprawnień. I właśnie tam pojawiają się zasady AWS. Zasady te są dołączone do powyższych podmiotów, aby przyznać im różne uprawnienia.
Co obejmiemy?
W tym przewodniku omówimy sekcję zasad AWS i zobaczymy niektóre przykładowe zasady. Zobaczymy również praktyczne demo korzystania z zasady AWS dla operacji opartych na RDS.
Rodzaje zasad
AWS zapewnia następujące rodzaje zasad:
- Zasady oparte na tożsamości: Używane do dołączania zasad zarządzanych i wbudowanych do podmiotów IAM, takich jak użytkownicy, grupy i role. Daje to zezwolenie na tożsamość.
- Zasady oparte na zasobach: Używane do dołączania zasad wbudowanych do zasobów, e.G., przymocowanie wiadra S3.
- IAM ZAMYSŁY Granice: Ta funkcja pozwala określić maksymalne uprawnienia, które można ustawić na jednostkę IAM na podstawie polityki opartej na tożsamości.
- Zasady kontroli usług: Używane do definiowania maksymalnych uprawnień przyznanych na rachunki należące do organizacji.
- Listy kontroli dostępu (ACLS): Używane do kontrolowania, które określone zleceniodawców z innych kont mogą uzyskać dostęp do zasobów na koncie rodzimym.
- Zasady sesji: Są one przekazywane jako argument lub parametr po utworzeniu sesji tymczasowej dla roli.
Format JSON służy do definiowania większości zasad w AWS. Możemy jednak również użyć edytora wizualnego zamiast pisania składni JSON do zdefiniowania zasad. AWS zapewnia wstępnie zbudowaną zasadę dla wielu przypadków użycia, których można użyć z tożsamością IAM. Ta strona dokumentuje różne przypadki użycia tożsamości IAM. Weźmy przypadek użycia zasady opartej na tożsamości RDS.
Przykład polityki AWS IAM
W tym samouczku utworzyliśmy użytkownika IAM, który domyślnie nie może tworzyć ani modyfikować zasobów RDS z powodu barier uprawnień. Za e.G., W obecnym stanie, bez żadnych zasad, ten użytkownik IAM nie może utworzyć instancji RDS DB. Jeśli spróbujemy utworzyć RDS DB z konsoli RDS tego użytkownika IAM, otrzymujemy następujący błąd:
Jako administrator IAM utworzymy zasady, a następnie dołączymy ją do użytkownika IAM. Ta polityka umożliwi naszym użytkownikom IAM:
- Utwórz bazę danych
- Usuń bazę danych
- Opisz bazę danych
- Rozpocznij bazę danych
- Zatrzymaj bazę danych
Do powyższej operacji dodamy politykę opartą na tożsamości o nazwie zasady inline. Ta zasady wbudowanej jest zestawem minimalnego zestawu uprawnień dla wyżej określonej operacji bazy danych. Teraz postępuj zgodnie z instrukcjami poniżej:
Krok 1. Przejdź do konsoli AWS IAM konta głównego i kliknij „Użytkownicy” i wybierz użytkownika docelowego z listy (w naszym przypadku „Linuxhint”):
Krok 2. Na nowej stronie widać, że nie ma żadnych zasad dołączonych do użytkownika IAM. Kliknij „Dodaj zasady inline”, jak pokazano poniżej:
Krok 3. Pojawi się nowy czarodziej nazwany „Utwórz politykę”, w którym musisz wybrać kartę JSON i wkleić poniższy kod:
„Wersja”: „2012-10-17”,
"Oświadczenie": [
„SID”: „Visuleditor0”,
„Efekt”: „Pozwól”,
"Działanie": [
„EC2: opisywaniePCAttribute”,
„EC2: opisy BurityGroups”,
„EC2:,
„EC2: opisywane stowarzyszone”,
„EC2: opisywaniaSEVPC”,
„EC2: opisuje się,
„EC2: opisowe”,
„RDS: Opisz*”,
„RDS: ListtagsForresource”,
„RDS: CreatedBinstance”,
„RDS: CreatlebsubNetGroup”,
„RDS: Usuń Binstance”,
„RDS: Stopdbinstance”,
„RDS: startdbinstance”
],
„Zasób”: „*”
]
Krok 4. Teraz kliknij przycisk „Polityka recenzji” u dołu:
Krok 5. Podaj odpowiednią nazwę zasad i kliknij przycisk „Utwórz zasady”:
Powyższe zasady wbudowanej można teraz zobaczyć na karcie Uprawy:
Teraz możemy tworzyć i zarządzać bazą danych RDS za pośrednictwem użytkownika IAM. Aby to sprawdzić, wróć do konsoli RDS użytkownika IAM i ponownie spróbuj uruchomić instancję RDS DB. Tym razem możemy łatwo uruchomić bazę danych w ramach opcji „Standard Utwórz” Kreatora Launch RDS.
Ostateczna uwaga: Nie zapomnij oczyszczyć zasobów, które nie są używane, aby uniknąć nieoczekiwanych opłat.
Wniosek
W tym przewodniku dowiedzieliśmy się o zasadach AWS dotyczących drobnoziarnistej kontroli zasobów. Widzieliśmy demo dołączającego zasadę opartą na tożsamości do użytkownika, co umożliwiło jej zarządzanie zasobami RDS. Spróbuj eksperymentować z różnymi zasadami dostępnymi na AWS, przypisując minimalne uprawnienia do użytkownika IAM.