Hvordan lage IAM -retningslinjer på AWS
I AWS kan du enten legge ved en policy til en gruppe som vi kaller som gruppepolitikk eller du kan knytte en policy direkte til en IAM -bruker som kalles som Inline policy. Vanligvis er gruppepolitiske metoder foretrukket, da dette lar administratorer enkelt administrere og gjennomgå brukertillatelsene. Om nødvendig kan flere retningslinjer knyttes til en enkelt bruker eller en gruppe.
Det er en stor samling av tilgjengelige retningslinjer i AWS IAM -konsollen som du kan bruke hvilken som helst policy i henhold til dine krav, og disse retningslinjene kalles AWS administrerte retningslinjer. Men ofte på et bestemt tidspunkt, kan det hende du blir pålagt å definere tillatelser for brukere i henhold til dine egne behov som du må opprette en IAM -policy for deg selv.
IAM Policy er et JSON (JavaScript Object Notation) -dokument som inneholder versjon, ID og uttalelse. Uttalelsen inneholder videre SID, effekt, hovedstol, handling, ressurs og tilstand. Disse elementene har følgende roller i en IAM -policy.
Versjon: Bare definerer versjonen av policy -språket du bruker. Generelt er det statisk og for tiden er verdien 2012-10-17.
Uttalelse: Det er hovedorganet i en policy som definerer hvilken tillatelse som er tillatt eller nektet hvilken bruker som ressursen. En policy kan omfatte mer enn én uttalelse.
Effekt: Det kan ha en verdi tillate eller nekte å fortelle at du vil gi denne tilgangen til en bruker eller vil blokkere tilgangen.
Rektor: Det indikerer brukere eller roller som den spesifikke policyen kommer til å gjelde. Det er ikke påkrevd i alle tilfeller.
Handling: Her beskriver vi hva vi skal tillate eller nekte for brukeren. Disse handlingene er forhåndsdefinert av AWS for hver tjeneste.
Ressurs: Dette definerer AWS -tjenesten eller ressursen som handlingen kommer til å gjelde. Det kreves i noen tilfeller eller kan være valgfritt noen ganger.
Betingelse: Dette er også et valgfritt element. Den definerer ganske enkelt visse forhold under hvilke politikken kommer til å handle.
Typer retningslinjer
Det er forskjellige typer retningslinjer vi kan lage i AWS. Det er ingen forskjell i skapelsesmetode for alle av dem, men de er forskjellige når det gjelder brukssaker. Disse typene blir forklart i følgende avsnitt.
Identitetsbasert politikk
Identitetsbaserte retningslinjer brukes til å styre tillatelser for IAM -brukere i AWS -kontoer. De kan videre klassifiseres som administrerte retningslinjer som enten kan administreres AWS som er lett tilgjengelig for deg å bruke uten endringer, eller du kan opprette kundeadministrerte retningslinjer for å gi presis kontroll til en spesifikk bruker over en spesifikk ressurs. Andre typer identitetsbaserte retningslinjer er inline-retningslinjer som vi knytter direkte til en enkelt bruker eller en rolle.
Ressursbaserte retningslinjer
Disse brukes der du trenger å gi tillatelse til en spesifikk AWS -tjeneste eller ressurs, for eksempel hvis du vil gi skriv tilgang til en bruker for S3 -bøtte. Dette er en type inline -retningslinjer.
Tillatelsesgrenser
Tillatelsesgrenser setter det maksimale nivået på tillatelser en bruker eller gruppe som de kan få. De overstyrer den identitetsbaserte politikken, så hvis en bestemt tilgang nektes av en tillatelsesgrense, vil ikke gi denne tillatelsen gjennom identitetsbasert politikk ikke fungere.
Organisasjoner Service Control Policies (SCPS)
AWS -organisasjoner er en spesiell type tjeneste som brukes til å administrere alle kontoer og tillatelser i organisasjonen din. De gir sentral kontroll for å gi tillatelser til alle brukerkontoer i organisasjonen din.
Tilgangskontrolllister (ACLS)
Dette er spesifikke typer retningslinjer som brukes til å gi tilgang til AWS -tjenestene dine til en annen AWS -konto. Du kan ikke bruke dem til å gi tillatelser til et prinsipp fra samme konto, prinsippet eller brukeren trenger definitivt fra en annen AWS -konto.
Øktpolitikk
Disse brukes til å gi midlertidige tillatelser til brukere i en begrenset periode. For dette må du opprette en øktrolle og gi en sesjonspolitikk til den. Retningslinjene er vanligvis inline eller ressursbaserte retningslinjer.
Metoder for å lage IAM -retningslinjer
For å lage en IAM -policy i AWS kan du velge mellom en av følgende metoder:
- Bruke AWS Management Console
- Bruke CLI (kommandolinjegrensesnitt)
- Bruker AWS Policy Generator
I det følgende avsnittet skal vi forklare hver metode i detalj.
Opprette IAM -policy ved hjelp av AWS Management Console
Logg på AWS -kontoen din og i den øverste søkefeltetypen IAM.
Velg IAM -alternativet nedover søkemenyen, dette tar deg til IAM -dashbordet ditt.
Velg retningslinjer for å opprette eller administrere retningslinjer i din AWS -konto fra venstre side for å opprette eller administrere retningslinjer i AWS -kontoen din. Her kan du se etter AWS -administrerte retningslinjer eller bare klikke på Opprett policy i øverste høyre hjørne for å lage en ny policy.
Her i Create Policy får du to alternativer; Enten kan du opprette policyen din ved hjelp av Visual Editor eller skrive en JSON som definerer IAM -policyen. For å opprette en policy ved hjelp av Visual Editor, må du velge AWS -tjenesten du vil opprette en policy for, og deretter velge handlingene du vil tillate eller nekte. Etter det velger du ressursen som denne policyen kommer til å bli brukt, og til slutt kan du legge til en betinget uttalelse som denne policyen er gyldig eller ikke. Her må du også legge til effekten jeg.e., Enten vil du tillate eller nekte disse tillatelsene. Dette er en enkel måte å lage en policy.
Hvis du er vennlig med å skrive skript og JSON -uttalelser, kan du velge å skrive det selv i riktig JSON -format. For dette, bare velg JSON på toppen, så kan du ganske enkelt skrive policyen, men den trenger litt mer praksis og kompetanse.
Opprette IAM -policy ved hjelp av Command Line Interface (CLI)
Hvis du vil opprette en IAM -policy ved hjelp av AWS CLI, ettersom de fleste fagpersoner foretrekker å bruke CLI fremfor administrasjonskonsoll, trenger du bare å kjøre følgende kommando i AWS CLI.
$ AWS IAM Create-Policy-Policy-Name--Policy-Document
Utgangen av dette vil være som følger:
Du kan også opprette JSON -filen først og deretter bare kjøre følgende kommando for å opprette en policy.
$ AWS IAM Create-Policy-Policy-Name--Policy-Document
Så på denne måten kan du opprette IAM -retningslinjer ved å bruke kommandolinjegrensesnittet.
Opprette IAM -policy ved hjelp av AWS Policy Generator
Dette er en enkel metode for å lage en IAM -policy. Det ligner på en visuell redaktør der du ikke trenger å skrive policyen selv. Du trenger bare å definere dine krav, og du vil få generert IAM -policy.
Åpne nettleseren og søk etter AWS Policy Generator.
Først må du velge policy -typen, og i neste avsnitt må du gi JSON -uttalelseselementene som inkluderer effekt, prinsipp, AWS -tjeneste, handlinger og ressurs -ARN og valgfritt, du kan også legge til betingede utsagn. Etter at du har gjort alle disse, klikker du bare på Legg til setningsknappen for å generere policyen.
Når du har lagt til uttalelsen, vil den begynne å vises i delen nedenfor. For å opprette policyen din, klikker du nå på Generer policy, og du vil få policyen din i JSON -format.
Nå må du bare kopiere denne policyen og knytte til stedet du vil.
Så du har opprettet en IAM -policy ved hjelp av AWS Policy Generator.
Konklusjon
IAM -retningslinjer er en av de viktigste delene av en AWS -skystruktur. Disse brukes til å styre tillatelsene til alle brukere i kontoen. De definerer om et medlem kan få tilgang til en viss ressurs og tjeneste eller ikke. Retningslinjene genereres globalt, slik at du ikke trenger å definere regionen din. Man skal aldri ta disse retningslinjene for gitt, og som de er kjerneelementene i sikkerhet og personvern.