AWS IAM Policy Eksempel

Skytjenesteleverandører tilbyr vanligvis en IAM- eller identitets- og tilgangsstyringsfunksjon for å gi en brukerrotkonto ekstra sikkerhet. I et arbeids-/produksjonsmiljø som gir hver bruker tilgang til en rotkonto eller administrerer tjenester direkte fra roten, er kontoen sårbar for sikkerhetstrusler. I stedet kan vi opprette brukere med spesifikke tillatelser for å unngå opptrappingsproblemer. Etter det samme mønsteret gir AWS bestemmelser for å lage IAM-baserte brukere, roller og retningslinjer.

Ved å knytte IAM -retningslinjer til IAM -roller, kan vi kontrollere typen tilgang, oppgaver som kan utføres, og ressursene som brukes med disse oppgavene. IAM -retningslinjer kan brukes til å gi tilgangstillatelse til bestemte AWS -tjeneste -API -er og ressurser. På samme måte kan vi bestemme under hvilken tilstandtilgang som skal gis.

Vi trenger tillatelser for IAM -enheter som brukere, grupper og roller for å få dem til å få tilgang til AWS -ressurser. Som standard gir AWS ingen tillatelser til disse enhetene. Og det er der AWS -politikk kommer inn. Disse retningslinjene er knyttet til de ovennevnte enhetene for å gi dem forskjellige tillatelser.

Hva vil vi dekke?

I denne guiden vil vi diskutere AWS -policy -delen og se noen eksempler på retningslinjene. Vi vil også se en praktisk demo av å bruke en AWS-policy for RDS-baserte operasjoner.

Typer retningslinjer

AWS gir følgende typer retningslinjer:

1. Identitetsbasert politikk: Brukes til å knytte administrerte og inline policyer til IAM -enheter som brukere, grupper og roller. Det gir tillatelse til en identitet.

2. Ressursbaserte retningslinjer: Brukt til å knytte inline policyer til ressurser, e.g., Feste en S3 -bøtte.

3. Iam tillatelser grenser: Denne funksjonen lar deg spesifisere de maksimale tillatelsene som kan settes til en IAM-enhet av en identitetsbasert policy.

4. Retningslinjer for tjenestekontroll: Brukes til å definere maksimale tillatelser gitt til kontoer som eies av en organisasjon.

5. Tilgangskontrolllister (ACLS): Brukes til å kontrollere hvilke spesifiserte rektorer fra andre kontoer kan få tilgang til ressursene i den opprinnelige kontoen.

6. Session Policies: Disse sendes som et argument eller parameter når en midlertidig økt opprettes for en rolle.

JSON -formatet brukes til å definere de fleste retningslinjer i AWS. Vi kan imidlertid også bruke den visuelle redigereren i stedet for å skrive JSON -syntaks for å definere en policy. AWS gir en forhåndsbygget policy for mange brukssaker som kan brukes med IAM-identitetene dine. Denne siden dokumenterer forskjellige brukssaker for IAM -identiteter. La oss ta en brukssak om en identitetsbasert policy for RDS.

Eksempel på en AWS IAM -policy

For denne opplæringen har vi opprettet en IAM -bruker som som standard ikke kan opprette eller endre RDS -ressurser på grunn av tillatelsesbarrierer. For e.g., I sin nåværende tilstand, uten vedlagt politikk, kan ikke denne IAM -brukeren opprette en RDS DB -forekomst. Hvis vi prøver å lage en RDS DB fra RDS -konsollen til denne IAM -brukeren, får vi følgende feil:

Som IAM -administrator vil vi opprette en policy og deretter knytte den til IAM -brukeren. Denne policyen vil gjøre det mulig for våre IAM -brukere å:

1. Opprett database
2. Slett database
3. Beskriv database
4. Start database
5. Stopp database

For ovennevnte operasjon vil vi legge til en identitetsbasert policy som heter Inline Policy. Denne inline-policyen er et sett med minimumstillatelse satt for ovennevnte databaseoperasjon. Følg nå instruksjonene nedenfor:

Trinn 1. Gå til AWS IAM -konsollen til rotkontoen og klikk 'Brukere' og velg målbrukeren fra listen ('Linuxhint' i vårt tilfelle):

Steg 2. På den nye siden kan vi se at det ikke er noen retningslinjer knyttet til IAM -brukeren. Klikk på 'Legg til inline policy' som vist nedenfor:

Trinn 3. En ny veiviser som er kalt 'Opprett policy' vil vises der du må velge JSON -fanen og lime inn koden nedenfor der:

"Versjon": "2012-10-17",
"Uttalelse": [

"Sid": "VisualEditor0",
"Effekt": "Tillat",
"Handling": [
"EC2: Beskrivendepcattribute",
"EC2: Beskrivesikkerhetsgrupper",
"EC2: BeskrivInternetgateways",
"EC2: Beskrivelser,
"EC2: Beskrivelse",
"EC2: Beskrivelse,
"EC2: Beskrivesubnetter",
"RDS: Beskriv*",
"RDS: ListTagsforResource",
"RDS: CreatedBinstance",
"RDS: CreateBsubnetGroup",
"RDS: DeletedBinstance",
"RDS: Stopdbinstance",
"RDS: Startdbinstance"
],
"Ressurs": "*"

]

Trinn 4. Klikk nå på "Review Policy" -knappen nederst:

Trinn 5. Gi et passende navn på policyen din og klikk på "Opprett policy" -knappen:

Ovennevnte inline -policy kan nå sees under kategorien Tillatelser:

Nå kan vi opprette og administrere en RDS -database gjennom en IAM -bruker. For å sjekke dette, ta turen tilbake til RDS -konsollen til IAM -brukeren og prøv igjen å starte en RDS DB -forekomst. Denne gangen kan vi lansere databasen enkelt under 'Standard Create' -alternativet til RDS -lanseringsveiviseren.

Endelig merknad: Ikke glem å rydde opp i ressursene som ikke er i bruk for å unngå uventede kostnader.

Konklusjon

I denne guiden har vi lært om AWS-retningslinjer for finkornet kontroll av ressursene. Vi har sett en demo knytte en identitetsbasert policy til en bruker, som gjorde det mulig for den å administrere RDS-ressurser. Prøv å eksperimentere med forskjellige retningslinjer tilgjengelig på AWS ved å tilordne minimale tillatelser til en IAM -bruker.