Come creare politiche IAM su AWS

Come creare politiche IAM su AWS
Per gestire le autorizzazioni per utenti e gruppi di utenti IAM, dobbiamo allegare politiche con loro. Queste politiche definiscono se un determinato utente può accedere a una particolare risorsa in un account AWS o se un utente può apportare modifiche in un servizio specifico o meno.

In AWS, puoi allegare una politica a un gruppo che chiamiamo come politica di gruppo oppure puoi allegare una politica direttamente a un utente IAM che viene chiamato come Politica in linea. Di solito, il metodo della politica di gruppo è preferito in quanto ciò consente agli amministratori di gestire e rivedere facilmente le autorizzazioni dell'utente. Se necessario, più politiche possono essere collegate a un singolo utente o a un gruppo.

Esiste una vasta raccolta di politiche disponibili nella console AWS iam da cui è possibile utilizzare qualsiasi politica in base alle tue esigenze e queste politiche sono chiamate Politiche gestite da AWS. Ma spesso a un certo punto, potrebbe essere necessario definire le autorizzazioni agli utenti in base alle tue esigenze per le quali dovrai creare una politica IAM da solo.

La politica IAM è un documento JSON (JavaScript Object Notation) che contiene versione, ID e istruzione. La dichiarazione contiene inoltre Sid, Effect, Principal, Action, Resource and Condition. Questi elementi hanno i seguenti ruoli in una politica IAM.

Versione: Definisce semplicemente la versione del linguaggio delle politiche che stai usando. Generalmente, è statico e attualmente il suo valore è 2012-10-17.

Dichiarazione: È il corpo principale di una politica che definisce quale autorizzazione è consentita o negata a quale utente per quale risorsa. Una politica può includere più di una dichiarazione.

Effetto: Può avere un valore consentire o negare di dire che desideri dare questo accesso a un utente o desideri bloccare l'accesso.

Principale: Indica gli utenti o i ruoli a cui si applicherà la politica specifica. Non è richiesto in ogni caso.

Azione: Qui descriviamo cosa consentiremo o neghiamo all'utente. Queste azioni sono predefinite da AWS per ogni servizio.

Risorsa: Questo definisce il servizio AWS o la risorsa su cui si applicerà l'azione. È richiesto in alcuni casi o può essere facoltativo a volte.

Condizione: Questo è anche un elemento opzionale. Definisce semplicemente determinate condizioni in base alle quali la politica agirà.

Tipi di politiche

Esistono diversi tipi di politiche che possiamo creare in AWS. Non vi è alcuna differenza nel metodo di creazione per tutti, ma differiscono in termini di casi d'uso. Questi tipi sono spiegati nella sezione seguente.

Politiche basate sull'identità

Le politiche basate sull'identità vengono utilizzate per governare le autorizzazioni per gli utenti IAM negli account AWS. Possono essere ulteriormente classificati come politiche gestite che possono essere gestite da AWS che sono prontamente disponibili per l'utente da utilizzare senza alcuna modifica, oppure è possibile creare politiche gestite dai clienti per dare un controllo preciso a un utente specifico su una risorsa specifica. Altri tipi di politiche basate sull'identità sono politiche in linea che colleghiamo direttamente a un singolo utente o un ruolo.

Politiche basate sulle risorse

Questi sono applicati in cui è necessario fornire l'autorizzazione per un servizio AWS o una risorsa specifici, ad esempio se si desidera dare accesso alla scrittura a un utente per un bucket S3. Queste sono un tipo di politiche in linea.

Confini delle autorizzazioni

I confini delle autorizzazioni impostano il livello massimo di autorizzazioni un utente o un gruppo che può ottenere. Sovravidono le politiche basate sull'identità, quindi se un particolare accesso viene negato da un confine di autorizzazione, concedere tale autorizzazione attraverso la politica basata sull'identità non funzionerà.

Organizzazioni politiche di controllo del servizio (SCPS)

Le organizzazioni AWS sono un tipo speciale di servizio utilizzato per gestire tutti gli account e le autorizzazioni nella tua organizzazione. Forniscono il controllo centrale per fornire autorizzazioni a tutti gli account utente della propria organizzazione.

Elenchi di controllo degli accessi (ACLS)

Questi sono tipi specifici di politiche che vengono utilizzate per consentire l'accesso ai servizi AWS a un altro account AWS. Non puoi usarli per dare le autorizzazioni a un principio dallo stesso account, il principio o l'utente deve sicuramente da un altro account AWS.

Politiche di sessione

Questi sono usati per fornire autorizzazioni temporanee agli utenti per un periodo di tempo limitato. Per questo è necessario creare un ruolo di sessione e passare una politica di sessione. Le politiche sono generalmente in linea o politiche basate sulle risorse.

Metodi per creare politiche IAM

Per creare una politica IAM in AWS puoi scegliere tra uno dei seguenti metodi:

  • Utilizzo della console di gestione AWS
  • Utilizzo della CLI (interfaccia della riga di comando)
  • Utilizzo del generatore di politiche AWS

Nella sezione seguente spiegheremo ogni metodo in dettaglio.

Creazione di politiche IAM utilizzando la console di gestione AWS

Accedi al tuo account AWS e nel tipo di barra di ricerca superiore iam.

Seleziona l'opzione IAM nel menu di ricerca, questo ti porterà al tuo dashboard IAM.

Dal menu lato sinistro, selezionare le politiche per creare o gestire le politiche nell'account AWS. Qui, puoi cercare politiche gestite da AWS o semplicemente fare clic sulla politica Crea nell'angolo in alto a destra per creare una nuova politica.

Qui in Crea politica, ottieni due opzioni; O puoi creare la tua politica usando Visual Editor o scrivere un JSON che definisce la politica IAM. Per creare una politica utilizzando l'editor visivo, è necessario selezionare il servizio AWS per il quale si desidera creare una politica, quindi selezionare le azioni che si desidera consentire o negare. Dopo di che selezionare la risorsa su cui verrà applicata questa politica e alla fine puoi aggiungere una dichiarazione condizionale in base alla quale questa politica è valida o no. Qui, devi anche aggiungere l'effetto I.e., O vuoi consentire o negare queste autorizzazioni. Questo è un modo semplice per creare una politica.

Se sei amichevole con la scrittura di script e dichiarazioni JSON, puoi scegliere di scriverlo da solo in un formato JSON corretto. Per questo, seleziona JSON in alto e puoi semplicemente scrivere la politica, ma ha bisogno di un po 'più di pratica e competenza.

Creazione di politiche IAM utilizzando l'interfaccia della riga di comando (CLI)

Se si desidera creare una politica IAM usando AWS CLI, poiché la maggior parte dei professionisti preferisce utilizzare la CLI rispetto alla Console di gestione, devi semplicemente eseguire il seguente comando nella tua CLI AWS.

$ AWS iam Create-Policy-Policy-nome --Documentazione delle politiche

L'output di questo sarebbe il seguente:

È inoltre possibile creare prima il file JSON e quindi eseguire il seguente comando per creare un criterio.

$ AWS iam Create-Policy-Policy-nome --Documentazione delle politiche

Quindi, in questo modo puoi creare politiche IAM usando l'interfaccia della riga di comando.

Creazione di politiche IAM utilizzando il generatore di politiche AWS

Questo è un metodo semplice per creare una politica IAM. È simile a un editor visivo in cui non è necessario scrivere la politica da solo. Devi solo definire le tue esigenze e otterrai la tua politica IAM.

Apri il tuo browser e cerca il generatore di politiche AWS.

Innanzitutto, è necessario selezionare il tipo di politica e nella sezione successiva è necessario fornire gli elementi di dichiarazione JSON che includono effetto, principio, servizio AWS, azioni e risorse e facoltativamente, è anche possibile aggiungere le dichiarazioni condizionali. Dopo aver fatto tutto questo, fai clic sul pulsante Aggiungi istruzione per generare la politica.

Una volta aggiunta l'istruzione, inizierà a comparire nella sezione seguente. Per creare la tua politica ora fai clic su Genera Politica e otterrai la tua politica in formato JSON.

Ora, devi semplicemente copiare questa politica e allegare il luogo in cui vuoi.

Quindi, hai creato con successo una politica IAM utilizzando il generatore di politiche AWS.

Conclusione

Le politiche IAM sono una delle parti più importanti di una struttura di nuvole AWS. Questi sono usati per governare le autorizzazioni a tutti gli utenti nell'account. Definiscono se un membro può accedere o meno a una determinata risorsa e servizio. Le politiche sono generate a livello globale in modo da non dover definire la tua regione. Non si dovrebbero mai dare per scontate queste politiche e in quanto sono gli elementi fondamentali in materia di sicurezza e privacy.