In AWS können Sie entweder eine Richtlinie an eine Gruppe anhängen, die wir als als nennen Gruppenrichtlinie oder Sie können eine Richtlinie direkt an einen IAM -Benutzer anhängen, der als als als bezeichnet Inline -Richtlinie. Normalerweise wird die Gruppenrichtlinienmethode bevorzugt, da auf damit Administratoren die Benutzerberechtigungen einfach verwalten und überprüfen können. Bei Bedarf können mehrere Richtlinien an einen einzelnen Benutzer oder eine Gruppe beigefügt werden.
Es gibt eine große Sammlung von verfügbaren Richtlinien in der AWS IAM -Konsole, aus der Sie jede Richtlinie entsprechend Ihren Anforderungen verwenden können, und diese Richtlinien werden genannt AWS verwaltete Richtlinien. Oft müssen Sie jedoch möglicherweise zu einem bestimmten Zeitpunkt Berechtigungen für Benutzer entsprechend Ihren eigenen Bedürfnissen definieren, für die Sie selbst eine IAM -Richtlinie erstellen müssen.
IAM -Richtlinie ist ein JSON -Dokument (JavaScript -Objekt Notation), das Version, ID und Anweisung enthält. Die Aussage enthält weiter SID, Effekt, Prinzip, Aktion, Ressource und Zustand. Diese Elemente haben die folgende Rolle in einer IAM -Richtlinie.
Ausführung: Definiert einfach die Version der von Ihnen verwendeten politischen Sprache. Im Allgemeinen ist es statisch und derzeit ist sein Wert 2012-10-17.
Stellungnahme: Es ist der Hauptteil einer Richtlinie, die definiert, welche Berechtigung zulässig oder verweigert wird, für welchen Benutzer welche Ressource. Eine Richtlinie kann mehr als eine Erklärung enthalten.
Wirkung: Es kann einen Wert ermöglichen oder verweigern, entweder mitzuteilen, dass Sie diesen Zugriff auf einen Benutzer zugreifen möchten oder den Zugriff blockieren möchten.
Rektor: Es zeigt die Benutzer oder Rollen an, für die die spezifische Richtlinie gelten wird. In jedem Fall ist es nicht erforderlich.
Aktion: Hier beschreiben wir, was wir dem Benutzer zulassen oder verweigern werden. Diese Aktionen werden von AWS für jeden Dienst vorgestellt.
Ressource: Dies definiert den AWS -Dienst oder die Ressource, über die die Aktion gelten wird. Es ist in einigen Fällen erforderlich oder kann manchmal optional sein.
Zustand: Dies ist auch ein optionales Element. Es definiert einfach bestimmte Bedingungen, unter denen die Richtlinie handeln wird.
Arten von Richtlinien
Es gibt verschiedene Arten von Richtlinien, die wir in AWS erstellen können. Für alle gibt es keinen Unterschied in der Schöpfungsmethode, aber sie unterscheiden sich in Bezug auf Anwendungsfälle. Diese Typen werden im folgenden Abschnitt erklärt.
Identitätsbasierte Richtlinien
Identitätsbasierte Richtlinien werden verwendet, um Berechtigungen für IAM -Benutzer in AWS -Konten zu regeln. Sie können als verwaltete Richtlinien weiter eingestuft werden, die entweder AWS verwaltet werden können, die für Sie ohne Änderungen leicht zur Verfügung stehen, oder Sie können kunden verwaltete Richtlinien erstellen, um einem bestimmten Benutzer eine genaue Kontrolle über eine bestimmte Ressource zu verleihen. Andere Arten von identitätsbasierten Richtlinien sind Inline-Richtlinien, die wir direkt an einen einzelnen Benutzer oder eine Rolle anschließen.
Ressourcenbasierte Richtlinien
Diese werden angewendet, wo Sie die Berechtigung für einen bestimmten AWS -Dienst oder einen bestimmten AWS -Dienst oder eine Ressource erteilen müssen. Dies sind eine Art Inline -Richtlinien.
Berechtigungsgrenzen
Berechtigungsgrenzen setzen die maximale Berechtigungsstufe, die ein Benutzer oder eine Gruppe erhalten kann, die er erhalten kann. Sie überschreiben die identitätsbasierten Richtlinien. Wenn ein bestimmter Zugang durch eine Berechtigungsgrenze abgelehnt wird.
Organisationen Service Control Policies (SCPs)
AWS -Organisationen sind eine besondere Art von Service, die zur Verwaltung aller Konten und Berechtigungen in Ihrer Organisation verwendet wird. Sie bieten eine zentrale Kontrolle, um allen Benutzerkonten in Ihrer Organisation Berechtigungen zu erteilen.
Access Control Lists (ACLS)
Dies sind spezifische Arten von Richtlinien, mit denen der Zugriff auf Ihre AWS -Dienste auf ein anderes AWS -Konto ermöglicht wird. Sie können sie nicht verwenden, um ein Prinzip aus demselben Konto Berechtigungen zu erteilen. Das Prinzip oder der Benutzer muss definitiv von einem anderen AWS -Konto benötigt werden.
Sitzungsrichtlinien
Diese werden verwendet, um den Benutzern vorübergehende Berechtigungen für eine begrenzte Zeit zu erteilen. Dazu müssen Sie eine Sitzungsrolle erstellen und eine Sitzungsrichtlinie darüber verabschieden. Die Richtlinien sind in der Regel Inline- oder Ressourcen-basierte Richtlinien.
Methoden zum Erstellen von IAM -Richtlinien
Um eine IAM -Richtlinie in AWS zu erstellen, können Sie aus einer der folgenden Methoden auswählen:
Im folgenden Abschnitt werden wir jede Methode im Detail erläutern.
Erstellen von IAM -Richtlinien mithilfe der AWS -Management -Konsole
Melden Sie sich in Ihrem AWS -Konto und in der obersten Suchleiste an iam an.
Wählen Sie die IAM -Option im Suchmenü aus. Dadurch werden Sie zu Ihrem IAM -Dashboard gelangen.
Wählen Sie im linken Menü Richtlinien aus, um Richtlinien in Ihrem AWS -Konto zu erstellen oder zu verwalten. Hier können Sie nach AWS -verwalteten Richtlinien suchen oder einfach in der oberen rechten Ecke auf Richtlinien erstellen, um eine neue Richtlinie zu erstellen.
Hier in der Erstellung von Richtlinien erhalten Sie zwei Optionen. Entweder können Sie Ihre Richtlinie mit dem visuellen Editor erstellen oder einen JSON -Definieren der IAM -Richtlinie schreiben. Um eine Richtlinie mit Visual Editor zu erstellen, müssen Sie den AWS -Dienst auswählen, für den Sie eine Richtlinie erstellen möchten, und wählen Sie dann die Aktionen aus, die Sie zulassen oder verweigern möchten. Danach wählen Sie die Ressource aus, über die diese Richtlinie angewendet werden soll, und schließlich können Sie eine bedingte Erklärung hinzufügen, nach der diese Richtlinie gültig ist oder nicht. Hier müssen Sie auch den Effekt hinzufügen, den i.e., Entweder möchten Sie diese Berechtigungen zulassen oder verweigern. Dies ist eine einfache Möglichkeit, eine Richtlinie zu erstellen.
Wenn Sie sich mit dem Schreiben von Skripten und JSON -Aussagen befreundet haben, können Sie es selbst im richtigen JSON -Format schreiben. Dazu wählen Sie einfach JSON an der Spitze und Sie können einfach die Richtlinie schreiben, aber sie benötigt ein bisschen mehr Übung und Fachwissen.
Erstellen der IAM -Richtlinie mithilfe der Befehlszeilenschnittstelle (CLI)
Wenn Sie eine IAM -Richtlinie mit AWS CLI erstellen möchten, da die meisten Fachleute die Verwendung von CLI über Management Console bevorzugen, müssen Sie einfach den folgenden Befehl in Ihrem AWS CLI ausführen.
$ aws iam create-policy-Policy-name--Richtliniendokument
Die Ausgabe davon wäre wie folgt:
Sie können zuerst die JSON -Datei erstellen und dann einfach den folgenden Befehl ausführen, um eine Richtlinie zu erstellen.
$ aws iam create-policy-Policy-name--Richtliniendokument
Auf diese Weise können Sie IAM -Richtlinien mit der Befehlszeilenschnittstelle erstellen.
Erstellen von IAM -Richtlinien mit AWS -Richtliniengenerator
Dies ist eine einfache Methode zum Erstellen einer IAM -Richtlinie. Es ähnelt einem visuellen Redakteur, in dem Sie die Richtlinie nicht selbst schreiben müssen. Sie müssen nur Ihre Anforderungen definieren und erhalten Ihre IAM -Richtlinie.
Öffnen Sie Ihren Browser und suchen Sie nach dem AWS -Richtliniengenerator.
Zunächst müssen Sie den Richtlinientyp auswählen, und im nächsten Abschnitt müssen Sie die JSON -Anweisungselemente angeben, die Effekt, Prinzip, AWS -Service, Aktionen und Ressourcen -ARN und optional auch die bedingten Aussagen hinzufügen können. Nachdem Sie all dies getan haben, klicken Sie einfach auf die Schaltfläche Anweisung hinzufügen, um die Richtlinie zu generieren.
Sobald Sie die Anweisung hinzugefügt haben, wird sie im folgenden Abschnitt angezeigt. Um Ihre Richtlinie zu erstellen, klicken Sie jetzt auf die Richtlinie generieren, und Sie erhalten Ihre Richtlinie im JSON -Format.
Jetzt müssen Sie diese Richtlinie einfach kopieren und an den Ort anhängen, an dem Sie möchten.
Sie haben also erfolgreich eine IAM -Richtlinie mit AWS -Richtliniengenerator erstellt.
Abschluss
IAM -Richtlinien sind einer der wichtigsten Teile einer AWS -Wolkenstruktur. Diese werden verwendet, um die Berechtigungen an alle Benutzer auf dem Konto zu regeln. Sie definieren, ob ein Mitglied auf eine bestimmte Ressource und einen bestimmten Dienst zugreifen kann oder nicht. Die Richtlinien werden global erzeugt, sodass Sie Ihre Region nicht definieren müssen. Man sollte diese Richtlinien niemals als selbstverständlich halten und da sie die Kernelemente in Bezug auf Sicherheit und Privatsphäre sind.