Exemple de politique AWS IAM

Mohamed Benoit
Exemple de politique AWS IAM

Les fournisseurs de services cloud proposent généralement une fonction IAM ou IDENTY et ORCESSION POUR ONFORMER UN COUPE UTILISATEUR SÉCURIT. Dans un environnement de travail / de production, ce qui donne à chaque utilisateur un accès à un compte racine ou la gestion des services directement à partir de la racine, le compte est vulnérable aux menaces de sécurité. Au lieu de cela, nous pouvons créer des utilisateurs avec des autorisations spécifiques pour éviter les problèmes d'escalade des privilèges. Suivant le même modèle, AWS fournit des dispositions pour créer des utilisateurs, des rôles et des politiques basés sur IAM.

En attachant des politiques IAM aux rôles IAM, nous pouvons contrôler le type d'accès, les tâches qui peuvent être effectuées et les ressources utilisées avec ces tâches. Les politiques IAM peuvent être utilisées pour fournir une autorisation d'accès à des API et ressources de service AWS particuliers. De la même manière, nous pouvons décider dans quelle condition l'accès doit être fourni.

Nous avons besoin d'autorisations pour les entités IAM comme les utilisateurs, les groupes et les rôles pour leur faire accéder aux ressources AWS. Par défaut, AWS ne fournit aucune autorisation à ces entités. Et c'est là que les politiques AWS entrent. Ces politiques sont attachées aux entités ci-dessus pour leur accorder diverses autorisations.

Que couvrirons-nous?

Dans ce guide, nous discuterons de la section des politiques AWS et verrons quelques exemples de politiques. Nous verrons également une démo pratique de l'utilisation d'une politique AWS pour les opérations basées sur RDS.

Types de politiques

AWS fournit les types de politiques suivants:

  1. Politiques basées sur l'identité: Utilisé pour attacher des politiques gérées et en ligne aux entités IAM comme les utilisateurs, les groupes et les rôles. Il donne la permission à une identité.
  1. Politiques basées sur les ressources: Utilisé pour attacher des politiques en ligne aux ressources, e.g., attacher un seau S3.
  1. IAM Autorisations Limites: Cette fonctionnalité vous permet de spécifier les autorisations maximales qui peuvent être définies sur une entité IAM par une politique basée sur l'identité.
  1. Politiques de contrôle des services: Utilisé pour définir des autorisations maximales accordées aux comptes appartenant à une organisation.
  1. Listes de contrôle d'accès (ACL): Utilisé pour contrôler les directeurs spécifiés des autres comptes peuvent accéder aux ressources du compte natif.
  1. Politiques de session: Ceux-ci sont passés comme un argument ou un paramètre lorsqu'une session temporaire est créée pour un rôle.

Le format JSON est utilisé pour définir la plupart des politiques dans AWS. Cependant, nous pouvons également utiliser l'éditeur visuel au lieu d'écrire la syntaxe JSON pour définir une politique. AWS fournit une politique prédéfinie pour de nombreux cas d'utilisation qui peuvent être utilisés avec vos identités IAM. Cette page documente divers cas d'utilisation pour les identités IAM. Prenons un cas d'utilisation d'une politique basée sur l'identité pour RDS.

Exemple d'une politique AWS IAM

Pour ce tutoriel, nous avons créé un utilisateur IAM qui, par défaut, ne peut pas créer ou modifier les ressources RDS en raison des obstacles à l'autorisation. Pour e.g., Dans son état actuel, sans aucune politique attachée, cet utilisateur IAM ne peut pas créer une instance RDS DB. Si nous essayons de créer une DB RDS à partir de la console RDS de cet utilisateur IAM, nous obtenons l'erreur suivante:


En tant qu'administrateur IAM, nous créerons une stratégie puis la joindrons à l'utilisateur IAM. Cette politique permettra à nos utilisateurs IAM de:

  1. Créer une base de données
  2. Supprimer la base de données
  3. Décrire la base de données
  4. Démarrer la base de données
  5. Base de données d'arrêt

Pour l'opération ci-dessus, nous ajouterons une politique basée sur l'identité appelée politique en ligne. Cette stratégie en ligne est un ensemble d'ensemble d'autorisation minimum pour l'opération de base de données spécifiée ci-dessus. Suivez maintenant les instructions ci-dessous:

Étape 1. Accédez à la console AWS IAM du compte racine et cliquez sur «Utilisateurs» et choisissez l'utilisateur cible dans la liste («LinuxHint» dans notre cas):


Étape 2. Sur la nouvelle page, nous pouvons voir qu'il n'y a pas de politiques attachées à l'utilisateur IAM. Cliquez sur «Ajouter une stratégie en ligne» comme indiqué ci-dessous:


Étape 3. Un nouvel assistant nommé «Créer une stratégie» apparaîtra où vous devez sélectionner l'onglet JSON et coller le code ci-dessous:


"Version": "2012-10-17",
"Déclaration": [

"Sid": "VisualEditor0",
"Effet": "Autoriser",
"Action": [
"EC2: décritvpcattribute",
"EC2: décrit les groupes de sécurité",
"EC2: décrire InternetGateways",
"EC2: des description deszones",
"EC2: décritvpcs",
"EC2: décritsaCountAtTributes",
"EC2: décrit lestubnets",
"RDS: décrire *",
"RDS: listTagsforresource",
"RDS: CreatedBinstance",
"RDS: CreatedBsubNetGroup",
"RDS: supprimé Binstance",
"RDS: stopdbinstance",
"RDS: startdbinstance"
]],
"Ressource": "*"

]]

Étape 4. Cliquez maintenant sur le bouton «Revoir la stratégie» en bas:


Étape 5. Donnez un nom approprié à votre stratégie et cliquez sur le bouton «Créer une stratégie»:


La politique en ligne ci-dessus peut maintenant être vue sous l'onglet Autorisations:


Maintenant, nous pouvons créer et gérer une base de données RDS via un utilisateur IAM. Pour vérifier cela, retournez à la console RDS de l'utilisateur IAM et essayez à nouveau de lancer une instance RDS DB. Cette fois, nous pouvons lancer facilement la base de données sous l'option «Créer standard» de l'assistant de lancement RDS.


Remarque finale: N'oubliez pas de nettoyer les ressources qui ne sont pas utilisées pour éviter les frais inattendus.

Conclusion

Dans ce guide, nous avons appris les politiques AWS pour le contrôle des ressources à grain fin. Nous avons vu une démo attacher une politique basée sur l'identité à un utilisateur, ce qui lui a permis de gérer les ressources RDS. Essayez d'expérimenter différentes politiques disponibles sur l'AWS en attribuant des autorisations minimales à un utilisateur IAM.

Programmation de bash
Comment vérifier l'existence d'un argument d'entrée dans un script shell bash
Nous pouvons utiliser différentes techniques pour vérifier l'existence d'arguments d'entrée, comme l...
Lena Martinez
Programmation de bash
Comment vérifier la disponibilité en utilisant des pings dans des scripts bash
La commande de ping envoie des paquets ICMP (Internet Control Message Protocol) à l'hôte cible et me...
Zoe Martinez
Debian
Installez le moteur Docker sur Debian
Il existe deux façons d'installer Docker Engine sur Debian One est en installant «Snapd» et une autr...
Sarah Roux
Java
Comment utiliser le mot-clé octet en java
Célia Girard
AWS
Qu'est-ce que la tour de contrôle AWS et comment l'utiliser?
Julien Dumas
AWS
Comment utiliser le cycle de vie des instances dans AWS?
Ines Dubois
golang
Quels sont les types de données à Golang
Sarah Roux
Git
Comment générer un fichier git en utilisant le terminal? | Expliqué
Gabriel Bernard
golang
Que sont les constantes à Golang?
Ethan Guillot
php
Comment utiliser la fonction substr_replace en php
Nathan Blanc
c Sharp
Comment utiliser le polymorphisme en C #
Lena Martinez
Powershell
Comment installer Windows PowerShell
Ines Dubois
Java
Exemples de servlet Java
Ethan Guillot