Przykład polityki AWS IAM

Dostawcy usług w chmurze zwykle oferują funkcję IAM lub tożsamość i zarządzanie dostępem, aby zapewnić dodatkowe bezpieczeństwo konto użytkownika. W środowisku pracy/produkcji zapewniającym każdemu użytkownikowi dostęp do konta głównego lub zarządzania usługami bezpośrednio z głównego, konto jest podatne na zagrożenia bezpieczeństwa. Zamiast tego możemy tworzyć użytkowników z określonymi uprawnieniami, aby uniknąć problemów eskalacji uprawnień. Zgodnie z tym samym wzorem AWS zapewnia zapasy tworzenia użytkowników, ról i zasad opartych na IAM.

Dołączając zasady IAM do ról IAM, możemy kontrolować rodzaj dostępu, zadania, które można wykonać oraz zasoby używane z tymi zadaniami. Zasady IAM można wykorzystać do zapewnienia zgody dostępu do interfejsów API i zasobów usług AWS. W ten sam sposób możemy zdecydować, w jakim stanie należy zapewnić dostęp.

Potrzebujemy uprawnień dla podmiotów IAM, takich jak użytkownicy, grupy i role, aby uzyskać dostęp do zasobów AWS. Domyślnie AWS nie zapewnia tych podmiotów żadnych uprawnień. I właśnie tam pojawiają się zasady AWS. Zasady te są dołączone do powyższych podmiotów, aby przyznać im różne uprawnienia.

Co obejmiemy?

W tym przewodniku omówimy sekcję zasad AWS i zobaczymy niektóre przykładowe zasady. Zobaczymy również praktyczne demo korzystania z zasady AWS dla operacji opartych na RDS.

Rodzaje zasad

AWS zapewnia następujące rodzaje zasad:

1. Zasady oparte na tożsamości: Używane do dołączania zasad zarządzanych i wbudowanych do podmiotów IAM, takich jak użytkownicy, grupy i role. Daje to zezwolenie na tożsamość.

2. Zasady oparte na zasobach: Używane do dołączania zasad wbudowanych do zasobów, e.G., przymocowanie wiadra S3.

3. IAM ZAMYSŁY Granice: Ta funkcja pozwala określić maksymalne uprawnienia, które można ustawić na jednostkę IAM na podstawie polityki opartej na tożsamości.

4. Zasady kontroli usług: Używane do definiowania maksymalnych uprawnień przyznanych na rachunki należące do organizacji.

5. Listy kontroli dostępu (ACLS): Używane do kontrolowania, które określone zleceniodawców z innych kont mogą uzyskać dostęp do zasobów na koncie rodzimym.

6. Zasady sesji: Są one przekazywane jako argument lub parametr po utworzeniu sesji tymczasowej dla roli.

Format JSON służy do definiowania większości zasad w AWS. Możemy jednak również użyć edytora wizualnego zamiast pisania składni JSON do zdefiniowania zasad. AWS zapewnia wstępnie zbudowaną zasadę dla wielu przypadków użycia, których można użyć z tożsamością IAM. Ta strona dokumentuje różne przypadki użycia tożsamości IAM. Weźmy przypadek użycia zasady opartej na tożsamości RDS.

Przykład polityki AWS IAM

W tym samouczku utworzyliśmy użytkownika IAM, który domyślnie nie może tworzyć ani modyfikować zasobów RDS z powodu barier uprawnień. Za e.G., W obecnym stanie, bez żadnych zasad, ten użytkownik IAM nie może utworzyć instancji RDS DB. Jeśli spróbujemy utworzyć RDS DB z konsoli RDS tego użytkownika IAM, otrzymujemy następujący błąd:

Jako administrator IAM utworzymy zasady, a następnie dołączymy ją do użytkownika IAM. Ta polityka umożliwi naszym użytkownikom IAM:

1. Utwórz bazę danych
2. Usuń bazę danych
3. Opisz bazę danych
4. Rozpocznij bazę danych
5. Zatrzymaj bazę danych

Do powyższej operacji dodamy politykę opartą na tożsamości o nazwie zasady inline. Ta zasady wbudowanej jest zestawem minimalnego zestawu uprawnień dla wyżej określonej operacji bazy danych. Teraz postępuj zgodnie z instrukcjami poniżej:

Krok 1. Przejdź do konsoli AWS IAM konta głównego i kliknij „Użytkownicy” i wybierz użytkownika docelowego z listy (w naszym przypadku „Linuxhint”):

Krok 2. Na nowej stronie widać, że nie ma żadnych zasad dołączonych do użytkownika IAM. Kliknij „Dodaj zasady inline”, jak pokazano poniżej:

Krok 3. Pojawi się nowy czarodziej nazwany „Utwórz politykę”, w którym musisz wybrać kartę JSON i wkleić poniższy kod:

„Wersja”: „2012-10-17”,
"Oświadczenie": [

„SID”: „Visuleditor0”,
„Efekt”: „Pozwól”,
"Działanie": [
„EC2: opisywaniePCAttribute”,
„EC2: opisy BurityGroups”,
„EC2:,
„EC2: opisywane stowarzyszone”,
„EC2: opisywaniaSEVPC”,
„EC2: opisuje się,
„EC2: opisowe”,
„RDS: Opisz*”,
„RDS: ListtagsForresource”,
„RDS: CreatedBinstance”,
„RDS: CreatlebsubNetGroup”,
„RDS: Usuń Binstance”,
„RDS: Stopdbinstance”,
„RDS: startdbinstance”
],
„Zasób”: „*”

]

Krok 4. Teraz kliknij przycisk „Polityka recenzji” u dołu:

Krok 5. Podaj odpowiednią nazwę zasad i kliknij przycisk „Utwórz zasady”:

Powyższe zasady wbudowanej można teraz zobaczyć na karcie Uprawy:

Teraz możemy tworzyć i zarządzać bazą danych RDS za pośrednictwem użytkownika IAM. Aby to sprawdzić, wróć do konsoli RDS użytkownika IAM i ponownie spróbuj uruchomić instancję RDS DB. Tym razem możemy łatwo uruchomić bazę danych w ramach opcji „Standard Utwórz” Kreatora Launch RDS.

Ostateczna uwaga: Nie zapomnij oczyszczyć zasobów, które nie są używane, aby uniknąć nieoczekiwanych opłat.

Wniosek

W tym przewodniku dowiedzieliśmy się o zasadach AWS dotyczących drobnoziarnistej kontroli zasobów. Widzieliśmy demo dołączającego zasadę opartą na tożsamości do użytkownika, co umożliwiło jej zarządzanie zasobami RDS. Spróbuj eksperymentować z różnymi zasadami dostępnymi na AWS, przypisując minimalne uprawnienia do użytkownika IAM.