I fornitori di servizi cloud di solito offrono una funzione IAM o Identity and Access Manage. In un ambiente di lavoro/produzione che dà a ciascun utente l'accesso a un account root o alla gestione dei servizi direttamente dal root, l'account è vulnerabile alle minacce alla sicurezza. Invece, possiamo creare utenti con autorizzazioni specifiche per evitare problemi di escalation dei privilegi. Seguendo lo stesso modello, AWS fornisce disposizioni per la creazione di utenti, ruoli e politiche con sede a IAM.
Allegando le politiche IAM ai ruoli IAM, possiamo controllare il tipo di accesso, le attività che possono essere eseguite e le risorse utilizzate con queste attività. Le politiche IAM possono essere utilizzate per fornire l'autorizzazione di accesso a particolari API e risorse del servizio AWS. Allo stesso modo, possiamo decidere in quale condizione dovrebbe essere fornito l'accesso.
Abbiamo bisogno di autorizzazioni per entità IAM come utenti, gruppi e ruoli per farli accedere alle risorse AWS. Per impostazione predefinita, AWS non fornisce autorizzazioni a queste entità. Ed è qui che entrano le politiche AWS. Queste politiche sono collegate alle entità di cui sopra per concedere loro varie autorizzazioni.
Cosa copriremo?
In questa guida, discuteremo della sezione politica AWS e vedremo alcune politiche di esempio. Vedremo anche una demo pratico dell'utilizzo di una politica AWS per le operazioni basate su RDS.
Tipi di politiche
AWS fornisce i seguenti tipi di politiche:
Il formato JSON viene utilizzato per definire la maggior parte delle politiche in AWS. Tuttavia, possiamo anche usare l'editor visivo invece di scrivere la sintassi JSON per la definizione di una politica. AWS fornisce una politica pre-costruita per molti casi d'uso che possono essere utilizzati con le tue identità IAM. Questa pagina documenta vari casi d'uso per le identità IAM. Prendiamo un caso d'uso di una politica basata sull'identità per RDS.
Esempio di una politica AWS iam
Per questo tutorial, abbiamo creato un utente IAM che, per impostazione predefinita, non può creare o modificare le risorse RDS a causa delle barriere di autorizzazione. Prua, testa.G., Nel suo stato attuale, senza alcuna politica allegata, questo utente IAM non può creare un'istanza RDS DB. Se proviamo a creare un DB RDS dalla console RDS di questo utente IAM, otteniamo il seguente errore:
Come amministratore IAM, creeremo una politica e quindi lo alletteremo all'utente IAM. Questa politica consentirà ai nostri utenti IAM di:
Per la suddetta operazione, aggiungeremo una politica basata su identità chiamata politica in linea. Questa politica in linea è una serie di autorizzazioni minime set per l'operazione di database sopra specificata. Ora segui le istruzioni di seguito:
Passo 1. Vai alla console AWS iam dell'account root e fai clic su "utenti" e scegli l'utente di destinazione dall'elenco ("Linuxhint" nel nostro caso):
Passo 2. Nella nuova pagina, possiamo vedere che non ci sono politiche allegate all'utente IAM. Fai clic su "Aggiungi politica in linea" come mostrato di seguito:
Passaggio 3. Verrà visualizzata una nuova procedura guidata chiamata "Crea politica" in cui è necessario selezionare la scheda JSON e incollare il codice seguente:
"Versione": "2012-10-17",
"Dichiarazione": [
"SID": "VisualEditor0",
"Effetto": "Consenti",
"Azione": [
"EC2: descrivevpcattribute",
"EC2: descrivecurityGroups",
"EC2: DescriveInternetGateways",
"EC2: descriviavailabilityzones",
"EC2: descrivivpcs",
"EC2: descriveACCOUNTATTRIBUTS",
"EC2: descrive i componenti",
"RDS: descrivi*",
"RDS: ListTagsForreSource",
"RDS: createbinstance",
"RDS: CreatedBsubNetGroup",
"RDS: Eletedbinstance",
"RDS: Stopdbinstance",
"RDS: startdbinstance"
",
"Risorsa": "*"
"
Passaggio 4. Ora fai clic sul pulsante "Politica di revisione" in fondo:
Passaggio 5. Dai un nome adatto alla tua politica e fai clic sul pulsante "Crea poliziotto":
La politica in linea di cui sopra può ora essere vista nella scheda Autorizzazioni:
Ora possiamo creare e gestire un database RDS tramite un utente IAM. Per verificarlo, torna alla console RDS dell'utente IAM e prova a lanciare un'istanza RDS DB. Questa volta possiamo avviare facilmente il database con l'opzione "Crea standard" della procedura guidata di lancio RDS.
Nota finale: Non dimenticare di ripulire le risorse non in uso per evitare spese impreviste.
Conclusione
In questa guida, abbiamo appreso le politiche AWS per il controllo a grana fine delle risorse. Abbiamo visto una demo allegare una politica basata sull'identità a un utente, che ha permesso a gestire le risorse RDS. Prova a sperimentare diverse politiche disponibili su AWS assegnando autorizzazioni minime a un utente IAM.