AWS IAM -Richtlinienbeispiel

Christopher Lammert
AWS IAM -Richtlinienbeispiel

Cloud -Service -Anbieter bieten in der Regel eine IAM- oder IAM- oder Identity- und Zugriffsmanagementfunktion an, um einem Benutzer -Root -Konto zusätzliche Sicherheit zu erhalten. In einer Arbeits-/Produktionsumgebung, die jedem Benutzer Zugriff auf ein Stammkonto oder die Verwaltung von Diensten direkt aus der Stamme erhält, ist das Konto anfällig für Sicherheitsbedrohungen. Stattdessen können wir Benutzer mit spezifischen Berechtigungen erstellen, um eine Eskalationsprobleme für Privilegien zu vermeiden. Nach dem gleichen Muster bietet AWS Bestimmungen zum Erstellen von IAM-basierten Benutzern, Rollen und Richtlinien.

Durch das Anbringen von IAM -Richtlinien an IAM -Rollen können wir den Zugriffstyp, die Ausführung von Aufgaben und die mit diesen Aufgaben verwendeten Ressourcen steuern. IAM -Richtlinien können verwendet werden, um den AWS -Service -APIs und -Ressourcen die Berechtigung für bestimmte AWS -Service zu ermöglichen. Auf die gleiche Weise können wir entscheiden, welchen Zugang zu dem Zustand zur Verfügung gestellt werden soll.

Wir benötigen Berechtigungen für IAM -Unternehmen wie Benutzer, Gruppen und Rollen, um sie zugänglich zu machen. Standardmäßig gibt AWS diesen Unternehmen keine Berechtigungen. Und hier kommen AWS -Richtlinien ins Spiel. Diese Richtlinien sind den oben genannten Unternehmen beigefügt, um ihnen verschiedene Berechtigungen zu erteilen.

Was werden wir abdecken??

In diesem Leitfaden werden wir den AWS -Richtlinienabschnitt erörtert und einige Beispielrichtlinien sehen. Wir werden auch eine praktische Demo der Verwendung einer AWS-Richtlinie für RDS-basierte Operationen sehen.

Arten von Richtlinien

AWS liefert die folgenden Arten von Richtlinien:

  1. Identitätsbasierte Richtlinien: Wird zum Anbringen von verwalteten und Inline -Richtlinien an IAM -Unternehmen wie Benutzer, Gruppen und Rollen verwendet. Es gibt einer Identität die Erlaubnis.
  1. Ressourcenbasierte Richtlinien: Wird zum Anbringen von Inline -Richtlinien an Ressourcen, e.G., Anbringen eines S3 -Eimers.
  1. IAM -Berechtigungen Grenzen: Mit dieser Funktion können Sie die maximalen Berechtigungen angeben, die durch eine identitätsbasierte Richtlinie an ein IAM-Unternehmen festgelegt werden können.
  1. Servicekontrollrichtlinien: Wird zur Definition maximaler Berechtigungen für Konten einer Organisation verwendet.
  1. Zugriffskontrolllisten (ACLs): Wird zur Steuerung verwendet, welche spezifizierten Prinzipien aus anderen Konten auf die Ressourcen auf dem nativen Konto zugreifen können.
  1. Sitzungsrichtlinien: Diese werden als Argument oder Parameter übergeben, wenn eine vorübergehende Sitzung für eine Rolle erstellt wird.

Das JSON -Format wird verwendet, um die meisten Richtlinien in AWS zu definieren. Wir können jedoch auch den visuellen Editor verwenden, anstatt die JSON -Syntax zur Definition einer Richtlinie zu schreiben. AWS bietet eine vorgefertigte Richtlinie für viele Anwendungsfälle, die mit Ihrer IAM-Identität verwendet werden können. Diese Seite dokumentiert verschiedene Anwendungsfälle für IAM -Identitäten. Nehmen wir einen Anwendungsfall einer identitätsbasierten Richtlinie für RDS an.

Beispiel einer AWS IAM -Richtlinie

Für dieses Tutorial haben wir einen IAM -Benutzer erstellt, der standardmäßig RDS -Ressourcen aufgrund von Berechtigungsbarrieren erstellen oder ändern kann. Für e.G., In seinem aktuellen Zustand kann dieser IAM -Benutzer ohne Richtlinien keine RDS -DB -Instanz erstellen. Wenn wir versuchen, eine RDS -DB aus der RDS -Konsole dieses IAM -Benutzers zu erstellen, erhalten wir den folgenden Fehler:


Als IAM -Administrator erstellen wir eine Richtlinie und fügen sie dann dem IAM -Benutzer hinzu. Diese Richtlinie ermöglicht es unseren IAM -Benutzern:

  1. Datenbank erstellen
  2. Datenbank löschen
  3. Datenbank beschreiben
  4. Datenbank starten
  5. Datenbank stoppen

Für die obige Operation werden wir eine identitätsbasierte Richtlinie mit dem Namen Inline-Richtlinie hinzufügen. Diese Inline-Richtlinie ist eine Reihe von Mindestberechtigungsvorrichtungen für den oben angegebenen Datenbankvorgang. Folgen Sie nun den folgenden Anweisungen:

Schritt 1. Gehen Sie zur AWS IAM -Konsole des Root -Kontos und klicken Sie auf "Benutzer" und wählen Sie den Zielbenutzer aus der Liste ("LinuxHint" in unserem Fall):


Schritt 2. Auf der neuen Seite können wir sehen, dass dem IAM -Benutzer keine Richtlinien beigefügt sind. Klicken Sie auf "Inline -Richtlinie hinzufügen" wie unten gezeigt:


Schritt 3. Ein neuer Assistent namens "Erstellen einer Richtlinie" wird angezeigt, wo Sie die Registerkarte JSON auswählen und dort den folgenden Code einfügen müssen:


"Version": "2012-10-17",
"Stellungnahme": [

"Sid": "Visualeditor0",
"Effekt": "erlauben",
"Aktion": [
"EC2: beschreibendevpcattribute",
"EC2: beschreibt,
"EC2: beschreibeneinternetgateways",
"EC2: Beschreibungabilitätsfähigkeit",
"EC2: beschreibendevpcs",
"EC2: beschreibenaCocountattributes",
"EC2: beschreibt den Abschluss",
"RDS: Beschreiben Sie*",
"RDS: LISTTAGSFORRESource",
"RDS: CreatedBinstance",
"RDS: createdsubnetgroup",
"RDS: DeletedBinstance",
"RDS: Stopdbinstance",
"RDS: Startdbinstance"
],
"Ressource": "*"

]

Schritt 4. Klicken Sie nun unten auf die Schaltfläche "Überprüfung der Richtlinie":


Schritt 5. Geben Sie Ihrer Richtlinie einen geeigneten Namen und klicken Sie auf die Schaltfläche „Richtlinien erstellen“:


Die obige Inline -Richtlinie ist nun auf der Registerkarte "Berechtigungen" zu sehen:


Jetzt können wir eine RDS -Datenbank über einen IAM -Benutzer erstellen und verwalten. Um dies zu überprüfen, gehen Sie zurück zur RDS -Konsole des IAM -Benutzer. Dieses Mal können wir die Datenbank leicht unter der Option "Standard -Erstellen" des RDS -Start -Assistenten starten.


Schlussnotiz: Vergessen Sie nicht, die nicht verwendeten Ressourcen aufzuräumen, um unerwartete Gebühren zu vermeiden.

Abschluss

In diesem Leitfaden haben wir die AWS-Richtlinien für die feinkörnige Kontrolle von Ressourcen erfahren. Wir haben eine Demo gesehen, die einem Benutzer eine identitätsbasierte Richtlinie angehängt hat, die es ihm ermöglichte, RDS-Ressourcen zu verwalten. Versuchen Sie, mit verschiedenen Richtlinien zu experimentieren, die auf der AWS verfügbar sind, indem Sie einem IAM -Benutzer minimale Berechtigungen zuweisen.

C ++
So verwenden Sie den Subtraktionszuweisungsoperator in C ++
In C ++ Das -= ist ein Subtraktionszuweisungsoperator, subtrahiert er zwei gegenüberliegende Seitenw...
Gian Eisenlauer
c scharf
Was ist der Unterschied zwischen Klasse und Objekt in C#
Eine Klasse ist eine Blaupause oder Vorlage, die die Eigenschaften und Verhalten eines bestimmten Ob...
Hussein Burkhard
C -Programmierung
Was bedeutet '/=' in der C -Programmierung?
Der „/=“ -Preiber ist ein nützlicher Operator in der C -Programmierung, der Teilung und Zuordnung in...
Gian Eisenlauer
Python
Python rufen Sie eine statische Methode innerhalb der Klasse auf
Arved Riermeier
Docker
Wie werden Volumina in Docker definiert??
Jean Dengler
Linux -Befehle
So installieren und aktivieren Sie die SSH-Multi-Faktor-Authentifizierung für Linux-Systeme
Gian Eisenlauer
Docker
Was sind die Schritte, um Nginx in einem Docker -Container auf Ubuntu Top 10 auszuführen?.Top 10?
Jessica Schimmer
Oracle Linux
Was sind die Unterschiede zwischen Oracle Linux und Ubuntu Linux??
Kaya Wyludda
Java
So verwenden Sie Java One -Zeile, wenn Anweisung?
Gian Eisenlauer
Power Shell
Können Sie die Funktionalität des Befehls Get Location von PowerShell erklären??
Stephan Harms
Golang
So verwenden Sie das Defer -Schlüsselwort in Golang
Ansgar Radtke
c scharf
Brechen und Aussagen in C# fortsetzen
Ahmed Stöckert
C -Programmierung
IF-ELSE-Anweisung in der C-Programmierung
Ansgar Radtke