Что на самом деле делают все разрешения AWS IAM? — CloudSavvy ИТ

Логотип AWS

Консоль управления AWS IAM содержит список более 500 политик на основе назначаемых разрешений, которые вы можете предоставить, чтобы пользователи IAM могли получать доступ к различным сервисам. Что они все делают и как вы можете настроить свои собственные?

Вы всегда должны точно настраивать свои разрешения

Во-первых, использовать свои корневые учетные данные для всего — ужасная идея. AWS рекомендует создать пользователя IAM-администратора с консольным доступом (с которым вы можете войти в систему) для управления своей учетной записью и использовать свои учетные данные root только для обслуживания учетной записи.

Но для всего, что не является вашим персональным компьютером, вам следует настроить разрешения на основе доступа для любой удаленной службы, которая должна подключаться к AWS. Даже если вы работаете в команде из одного человека, ваш сервер не должен иметь доступа администратора ко всей вашей учетной записи.

Доступ только для чтения хорошо работает для приложений, которые не вносят изменений. Предоставление доступа на запись более опасно, чем вы думаете — доступ на запись означает право удалять файлы и завершать экземпляры, чего вы, возможно, не захотите делать этой учетной записью.

В общем, всякий раз, когда вам нужно связать интерфейс командной строки AWS с удаленной машиной, вы должны создать нового пользователя IAM и предоставить ему только те разрешения, которые необходимы для работы. Также неплохо изменить конфигурацию вашего личного интерфейса командной строки с помощью:

aws configure

чтобы соответствовать разрешениям, которые вы собираетесь использовать на сервере, чтобы вы не столкнулись с проблемами несоответствия разрешений при тестировании.

Какие разрешения мне использовать?

Вы можете просмотреть этот список разрешений из Консоль управления IAMна вкладке «Политики»:

Список разрешений из консоли управления IAM на вкладке «Политики».

Как правило, для большинства сервисов существует разрешение «только чтение» и разрешение «полный доступ». Например, S3 имеет «AmazonS3FullAccess» и «AmazonS3ReadOnlyAccess«. Все они управляются Amazon, но большинство из них здесь просто как шаблоны. Намного лучше создать свою собственную политику.

Например, каждое разрешение включает определенный набор действий; вы можете просмотреть их более подробно, щелкнув по ним и выбрав «JSON», в котором отображается полный список всего, что позволяет разрешение. Например, «AmazonDMSRedshiftS3Role»Политика дает следующие разрешения:

Вашему сервису, вероятно, не нужен доступ ко всему, поэтому вместо того, чтобы пытаться найти конкретную политику, которая лучше всего работает, вы должны создать свою собственную политику, чтобы максимально ограничить доступ. Если вы не хотите этого делать, вам следует — по крайней мере — ограничить доступ к соответствующей службе, а не предоставлять полный доступ ко всему.

Вы должны создавать свои собственные политики

Если политики по умолчанию не имеют конкретных разрешений, которые вам нужны, вы можете создать свои собственные политики. Например, если у вас есть служба, которая должна загружать элементы в S3, вы не можете предоставить ей доступ только для чтения, но и у нее не должно быть полного доступа. Вы можете определить новую политику, которая позволит загружать объекты только в определенную корзину.

Нажмите «Создать политику» в браузере политик. Вы можете редактировать их как JSON, но визуальный редактор намного проще. Выберите услугу; мы выбрали S3 для этого примера. Каждая политика применяется к определенной услуге; Если вам нужно предоставить приложению несколько разрешений, вам необходимо создать отдельные политики для каждой службы.

Выбор услуги.

Затем вы выбираете нужные разрешения на основе разных уровней доступа (список, чтение, теги, запись). Вам нужен «PutObject», который позволяет загружать объекты. Здесь вы можете увидеть, что предоставление доступа на запись для такого приложения — плохая идея; ему действительно нужно только одно разрешение, но если бы у него был полный доступ на запись, у него были бы все разрешения в этом списке.

Выберите необходимые разрешения на основе разных уровней доступа.  Вы хотите

Как видите, есть много больше индивидуальных разрешений, чем у политик по умолчанию. Мы не можем объяснить их все, но, к счастью, AWS позволяет легко понять. Щелкните значок ? рядом с разрешением, о котором вы хотите знать, и откроет боковую панель с кратким описанием. Если этого недостаточно, вы можете нажать «Подробнее», чтобы перейти на страницу документов для получения этого разрешения.

  Щелкните значок?  или «Подробнее», чтобы открыть боковую панель с кратким описанием разрешения.

Когда вы выбрали все необходимые разрешения, вы можете ограничить доступ к определенным ресурсам или выбрать включение разрешений для любого ресурса. В этом примере нашему приложению может потребоваться только загрузить файлы в определенную корзину, и ему не нужен доступ к каким-либо другим корзинам, которые у вас есть или которые вы можете создать в будущем.

Вы можете выбрать ресурсы, выбрав «Добавить ARN», чтобы ограничить доступ:

Выберите ресурсы, выбрав

Вам необходимо ввести имя ресурса Amazon (ARN) для объекта, к которому вы хотите предоставить доступ. К счастью, редактор политики упрощает это и предоставляет настраиваемый диалог, в котором просто запрашивается имя или идентификатор ресурса; в этом случае вы можете ввести название сегмента:

Введите имя ресурса Amazon (ARN) для объекта, к которому вы хотите предоставить доступ.

Идя еще дальше, вы можете включить белый список, чтобы запросы всегда приходили с вашего сервера. Если вы разрешаете доступ для удаленной службы, а IP-адрес вашего сервера не изменится в ближайшее время, рекомендуется включить это.

Включите белый список, чтобы запросы всегда приходили с вашего сервера.

Вы также можете потребовать, чтобы для применения политики была включена многофакторная аутентификация, что актуально только для реальных учетных записей пользователей с доступом к консоли.

Если вы нажмете «Добавить условие», вы можете указать расширенные условия, которым должен соответствовать запрос, прежде чем он будет одобрен, например, разрешение доступа только по четвергам, если вы этого хотите.

  щелчок

Когда вы закончите, нажмите «Далее», чтобы просмотреть политику, и дайте ей имя и описание. Нажмите «Создать политику», и она должна быть видна и назначена пользователям в списке политик.

Похожие записи

Добавить комментарий

Ваш адрес email не будет опубликован.