W AWS możesz albo dołączyć zasady do grupy, którą nazywamy Zasady grupy lub możesz dołączyć zasady bezpośrednio do użytkownika IAM, który jest nazywany Polityka wbudowana. Zwykle preferowana jest metoda zasad grupy, ponieważ pozwala to administratorom łatwo zarządzać i przeglądać uprawnienia użytkownika. W razie potrzeby do jednego użytkownika lub grupy można dołączyć wiele zasad.
Istnieje duża kolekcja dostępnych zasad w konsoli AWS IAM, z której można korzystać z dowolnej zasady zgodnie z twoimi wymaganiami Zasady zarządzane AWS. Ale często w pewnym momencie możesz być konieczny do zdefiniowania uprawnień dla użytkowników zgodnie z własnymi potrzebami, dla których będziesz musiał sam stworzyć politykę IAM.
Polityka IAM to dokument JSON (notacja obiektu JavaScript), który zawiera wersję, identyfikator i instrukcję. Oświadczenie zawiera ponadto SID, efekt, główny, działanie, zasoby i stan. Te elementy mają następujące role w polityce IAM.
Wersja: Po prostu definiuje wersję języka zasad, którego używasz. Zasadniczo jest statyczny, a obecnie jego wartość to 2012-10-17.
Oświadczenie: Jest to główny organ zasad, który określa, które zezwolenie jest dozwolone lub odrzucone, dla którego użytkownika, dla którego zasoby. Polityka może zawierać więcej niż jedno stwierdzenie.
Efekt: Może mieć wartość zezwala lub odmówić, aby poinformować albo chcesz zapewnić ten dostęp użytkownika, albo chcesz zablokować dostęp.
Główny: Wskazuje użytkowników lub role, do których obowiązują konkretne zasady. Nie jest to wymagane w każdym przypadku.
Działanie: Tutaj opisujemy, na co pozwolimy lub odmówić użytkownikowi. Te działania są wstępnie zdefiniowane przez AWS dla każdej usługi.
Ratunek: To określa usługę lub zasobów AWS, w ramach którego ma zastosowanie działanie. Jest to wymagane w niektórych przypadkach lub czasami może być opcjonalne.
Stan: To także element opcjonalny. Po prostu określa pewne warunki, w których polityka będzie działać.
Rodzaje zasad
Istnieją różne rodzaje zasad, które możemy stworzyć w AWS. Nie ma różnicy w metodzie tworzenia dla nich wszystkich, ale różnią się pod względem przypadków użycia. Te typy są wyjaśnione w następnej sekcji.
Zasady oparte na tożsamości
Zasady oparte na tożsamości są wykorzystywane do rządzenia uprawnieniami dla użytkowników IAM na kontach AWS. Można je dalej klasyfikować jako zarządzane zasady, które mogą być zarządzane AWS, które są łatwo dostępne do użycia bez żadnych zmian, lub możesz utworzyć zasady zarządzane przez klienta, aby zapewnić precyzyjną kontrolę konkretnego użytkownika w stosunku do określonego zasobu. Inne rodzaje zasad opartych na tożsamości to zasady wbudowane, które dołączamy bezpośrednio do jednego użytkownika lub roli.
Zasady oparte na zasobach
Są one stosowane tam, gdzie musisz udzielić zezwolenia na konkretną usługę lub zasoby AWS, na przykład, jeśli chcesz podać dostęp do użytkownika dla S3 Bucket. Są to rodzaj zasad wbudowanych.
Granice uprawnień
Granice uprawnień ustawiają maksymalny poziom uprawnień, jaki może uzyskać użytkownik lub grupa. Zastępują zasady oparte na tożsamości, więc jeśli konkretny dostęp zostanie odrzucony przez granicę zgody, wówczas przyznanie tego zgody za pośrednictwem polityki opartej na tożsamości nie zadziała.
Zasady kontroli usług organizacji (SCP)
Organizacje AWS to specjalny rodzaj usługi używanej do zarządzania wszystkimi kontami i uprawnieniami w Twojej organizacji. Zapewniają centralną kontrolę, aby udzielić uprawnień do wszystkich kont użytkowników w Twojej organizacji.
Listy kontroli dostępu (ACL)
Są to określone rodzaje zasad, które służą do umożliwienia dostępu do usług AWS na inne konto AWS. Nie możesz ich użyć, aby udzielić uprawnień do zasady z tego samego konta, zasada lub użytkownik zdecydowanie potrzebują z innego konta AWS.
Zasady sesji
Służą one do dawania tymczasowych uprawnień użytkownikom przez ograniczony czas. W tym celu musisz utworzyć rolę sesji i przekazać do niej zasady sesji. Zasady są zwykle zasadami wbudowanymi lub opartymi na zasobach.
Metody tworzenia zasad IAM
Aby stworzyć politykę IAM w AWS, możesz wybrać jedną z następujących metod:
W poniższej sekcji szczegółowo wyjaśnimy każdą metodę.
Tworzenie polityki IAM za pomocą konsoli zarządzania AWS
Zaloguj się na swoje konto AWS i na najwyższym pasku wyszukiwania IAM.
Wybierz opcję IAM w menu wyszukiwania, to zabierze Cię na deskę rozdzielczą IAM.
Z menu lewego strony wybierz zasady, aby utworzyć lub zarządzać zasadami na koncie AWS. Tutaj możesz szukać zasad zarządzanych AWS lub po prostu kliknąć Utwórz zasady w prawym górnym rogu, aby utworzyć nowe zasady.
Tutaj w Utwórz zasady otrzymujesz dwie opcje; Albo możesz utworzyć zasady za pomocą edytora wizualnego lub napisać JSON definiujący zasady IAM. Aby utworzyć zasadę za pomocą Edytora Visual, musisz wybrać usługę AWS, dla której chcesz utworzyć zasadę, a następnie wybrać działania, które chcesz zezwolić lub odmówić. Następnie wybierzesz zasób, w którym zastosowano niniejszą zasadę, a w końcu możesz dodać warunkowe oświadczenie, w ramach którego niniejsza Polityka jest ważna, czy nie. Tutaj musisz również dodać efekt i.mi., Albo chcesz zezwolić lub zaprzeczyć tym uprawnieniu. To łatwy sposób na stworzenie polityki.
Jeśli jesteś przyjazny w pisaniu skryptów i wypowiedzi JSON, możesz napisać to sam we właściwym formacie JSON. W tym celu po prostu wybierz JSON na górze, a możesz po prostu napisać zasady, ale potrzebuje nieco więcej praktyki i wiedzy specjalistycznej.
Tworzenie zasad IAM za pomocą interfejsu wiersza poleceń (CLI)
Jeśli chcesz stworzyć politykę IAM za pomocą AWS CLI, ponieważ większość profesjonalistów woli korzystać.
$ AWS IAM Create-Policy-Policy-Nazwa--Dokument polityczny
Wyjście tego byłoby następujące:
Możesz także najpierw utworzyć plik JSON, a następnie po prostu uruchom następujące polecenie, aby utworzyć zasadę.
$ AWS IAM Create-Policy-Policy-Nazwa--Dokument polityczny
W ten sposób możesz tworzyć zasady IAM za pomocą interfejsu wiersza poleceń.
Tworzenie polityki IAM za pomocą generatora zasad AWS
To prosta metoda tworzenia polityki IAM. Jest podobny do edytora wizualnego, w którym nie musisz samodzielnie pisać polityki. Musisz tylko zdefiniować swoje wymagania, a wygenerowane zasady IAM.
Otwórz przeglądarkę i wyszukaj generator zasad AWS.
Po pierwsze, musisz wybrać typ zasad, aw następnej sekcji musisz podać elementy instrukcji JSON, które obejmują efekt, zasadę, usługę AWS, działania i zasoby ARN i opcjonalnie, możesz również dodać instrukcje warunkowe. Po zakończeniu tych wszystkich kliknij przycisk Dodaj instrukcję, aby wygenerować zasadę.
Po dodaniu instrukcji zacznie się pojawiać w poniższej sekcji. Aby utworzyć zasadę teraz, kliknij generowanie zasad, a otrzymasz zasady w formacie JSON.
Teraz musisz po prostu skopiować tę zasadę i dołączyć do miejsca, w którym chcesz.
Tak więc pomyślnie stworzyłeś zasady IAM za pomocą generatora zasad AWS.
Wniosek
Zasady IAM są jedną z najważniejszych części struktury chmur AWS. Służą one do rządzenia uprawnieniami wszystkim użytkownikom na koncie. Określają, czy członek może uzyskać dostęp do określonych zasobów i usług, czy nie. Zasady są generowane na całym świecie, więc nie musisz definiować swojego regionu. Nigdy nie należy traktować tych zasad za pewnik, a ponieważ są one podstawowymi elementami bezpieczeństwa i prywatności.