Cloud -Service -Anbieter bieten in der Regel eine IAM- oder IAM- oder Identity- und Zugriffsmanagementfunktion an, um einem Benutzer -Root -Konto zusätzliche Sicherheit zu erhalten. In einer Arbeits-/Produktionsumgebung, die jedem Benutzer Zugriff auf ein Stammkonto oder die Verwaltung von Diensten direkt aus der Stamme erhält, ist das Konto anfällig für Sicherheitsbedrohungen. Stattdessen können wir Benutzer mit spezifischen Berechtigungen erstellen, um eine Eskalationsprobleme für Privilegien zu vermeiden. Nach dem gleichen Muster bietet AWS Bestimmungen zum Erstellen von IAM-basierten Benutzern, Rollen und Richtlinien.
Durch das Anbringen von IAM -Richtlinien an IAM -Rollen können wir den Zugriffstyp, die Ausführung von Aufgaben und die mit diesen Aufgaben verwendeten Ressourcen steuern. IAM -Richtlinien können verwendet werden, um den AWS -Service -APIs und -Ressourcen die Berechtigung für bestimmte AWS -Service zu ermöglichen. Auf die gleiche Weise können wir entscheiden, welchen Zugang zu dem Zustand zur Verfügung gestellt werden soll.
Wir benötigen Berechtigungen für IAM -Unternehmen wie Benutzer, Gruppen und Rollen, um sie zugänglich zu machen. Standardmäßig gibt AWS diesen Unternehmen keine Berechtigungen. Und hier kommen AWS -Richtlinien ins Spiel. Diese Richtlinien sind den oben genannten Unternehmen beigefügt, um ihnen verschiedene Berechtigungen zu erteilen.
Was werden wir abdecken??
In diesem Leitfaden werden wir den AWS -Richtlinienabschnitt erörtert und einige Beispielrichtlinien sehen. Wir werden auch eine praktische Demo der Verwendung einer AWS-Richtlinie für RDS-basierte Operationen sehen.
Arten von Richtlinien
AWS liefert die folgenden Arten von Richtlinien:
Das JSON -Format wird verwendet, um die meisten Richtlinien in AWS zu definieren. Wir können jedoch auch den visuellen Editor verwenden, anstatt die JSON -Syntax zur Definition einer Richtlinie zu schreiben. AWS bietet eine vorgefertigte Richtlinie für viele Anwendungsfälle, die mit Ihrer IAM-Identität verwendet werden können. Diese Seite dokumentiert verschiedene Anwendungsfälle für IAM -Identitäten. Nehmen wir einen Anwendungsfall einer identitätsbasierten Richtlinie für RDS an.
Beispiel einer AWS IAM -Richtlinie
Für dieses Tutorial haben wir einen IAM -Benutzer erstellt, der standardmäßig RDS -Ressourcen aufgrund von Berechtigungsbarrieren erstellen oder ändern kann. Für e.G., In seinem aktuellen Zustand kann dieser IAM -Benutzer ohne Richtlinien keine RDS -DB -Instanz erstellen. Wenn wir versuchen, eine RDS -DB aus der RDS -Konsole dieses IAM -Benutzers zu erstellen, erhalten wir den folgenden Fehler:
Als IAM -Administrator erstellen wir eine Richtlinie und fügen sie dann dem IAM -Benutzer hinzu. Diese Richtlinie ermöglicht es unseren IAM -Benutzern:
Für die obige Operation werden wir eine identitätsbasierte Richtlinie mit dem Namen Inline-Richtlinie hinzufügen. Diese Inline-Richtlinie ist eine Reihe von Mindestberechtigungsvorrichtungen für den oben angegebenen Datenbankvorgang. Folgen Sie nun den folgenden Anweisungen:
Schritt 1. Gehen Sie zur AWS IAM -Konsole des Root -Kontos und klicken Sie auf "Benutzer" und wählen Sie den Zielbenutzer aus der Liste ("LinuxHint" in unserem Fall):
Schritt 2. Auf der neuen Seite können wir sehen, dass dem IAM -Benutzer keine Richtlinien beigefügt sind. Klicken Sie auf "Inline -Richtlinie hinzufügen" wie unten gezeigt:
Schritt 3. Ein neuer Assistent namens "Erstellen einer Richtlinie" wird angezeigt, wo Sie die Registerkarte JSON auswählen und dort den folgenden Code einfügen müssen:
"Version": "2012-10-17",
"Stellungnahme": [
"Sid": "Visualeditor0",
"Effekt": "erlauben",
"Aktion": [
"EC2: beschreibendevpcattribute",
"EC2: beschreibt,
"EC2: beschreibeneinternetgateways",
"EC2: Beschreibungabilitätsfähigkeit",
"EC2: beschreibendevpcs",
"EC2: beschreibenaCocountattributes",
"EC2: beschreibt den Abschluss",
"RDS: Beschreiben Sie*",
"RDS: LISTTAGSFORRESource",
"RDS: CreatedBinstance",
"RDS: createdsubnetgroup",
"RDS: DeletedBinstance",
"RDS: Stopdbinstance",
"RDS: Startdbinstance"
],
"Ressource": "*"
]
Schritt 4. Klicken Sie nun unten auf die Schaltfläche "Überprüfung der Richtlinie":
Schritt 5. Geben Sie Ihrer Richtlinie einen geeigneten Namen und klicken Sie auf die Schaltfläche „Richtlinien erstellen“:
Die obige Inline -Richtlinie ist nun auf der Registerkarte "Berechtigungen" zu sehen:
Jetzt können wir eine RDS -Datenbank über einen IAM -Benutzer erstellen und verwalten. Um dies zu überprüfen, gehen Sie zurück zur RDS -Konsole des IAM -Benutzer. Dieses Mal können wir die Datenbank leicht unter der Option "Standard -Erstellen" des RDS -Start -Assistenten starten.
Schlussnotiz: Vergessen Sie nicht, die nicht verwendeten Ressourcen aufzuräumen, um unerwartete Gebühren zu vermeiden.
Abschluss
In diesem Leitfaden haben wir die AWS-Richtlinien für die feinkörnige Kontrolle von Ressourcen erfahren. Wir haben eine Demo gesehen, die einem Benutzer eine identitätsbasierte Richtlinie angehängt hat, die es ihm ermöglichte, RDS-Ressourcen zu verwalten. Versuchen Sie, mit verschiedenen Richtlinien zu experimentieren, die auf der AWS verfügbar sind, indem Sie einem IAM -Benutzer minimale Berechtigungen zuweisen.