Les fournisseurs de services cloud proposent généralement une fonction IAM ou IDENTY et ORCESSION POUR ONFORMER UN COUPE UTILISATEUR SÉCURIT. Dans un environnement de travail / de production, ce qui donne à chaque utilisateur un accès à un compte racine ou la gestion des services directement à partir de la racine, le compte est vulnérable aux menaces de sécurité. Au lieu de cela, nous pouvons créer des utilisateurs avec des autorisations spécifiques pour éviter les problèmes d'escalade des privilèges. Suivant le même modèle, AWS fournit des dispositions pour créer des utilisateurs, des rôles et des politiques basés sur IAM.
En attachant des politiques IAM aux rôles IAM, nous pouvons contrôler le type d'accès, les tâches qui peuvent être effectuées et les ressources utilisées avec ces tâches. Les politiques IAM peuvent être utilisées pour fournir une autorisation d'accès à des API et ressources de service AWS particuliers. De la même manière, nous pouvons décider dans quelle condition l'accès doit être fourni.
Nous avons besoin d'autorisations pour les entités IAM comme les utilisateurs, les groupes et les rôles pour leur faire accéder aux ressources AWS. Par défaut, AWS ne fournit aucune autorisation à ces entités. Et c'est là que les politiques AWS entrent. Ces politiques sont attachées aux entités ci-dessus pour leur accorder diverses autorisations.
Que couvrirons-nous?
Dans ce guide, nous discuterons de la section des politiques AWS et verrons quelques exemples de politiques. Nous verrons également une démo pratique de l'utilisation d'une politique AWS pour les opérations basées sur RDS.
Types de politiques
AWS fournit les types de politiques suivants:
Le format JSON est utilisé pour définir la plupart des politiques dans AWS. Cependant, nous pouvons également utiliser l'éditeur visuel au lieu d'écrire la syntaxe JSON pour définir une politique. AWS fournit une politique prédéfinie pour de nombreux cas d'utilisation qui peuvent être utilisés avec vos identités IAM. Cette page documente divers cas d'utilisation pour les identités IAM. Prenons un cas d'utilisation d'une politique basée sur l'identité pour RDS.
Exemple d'une politique AWS IAM
Pour ce tutoriel, nous avons créé un utilisateur IAM qui, par défaut, ne peut pas créer ou modifier les ressources RDS en raison des obstacles à l'autorisation. Pour e.g., Dans son état actuel, sans aucune politique attachée, cet utilisateur IAM ne peut pas créer une instance RDS DB. Si nous essayons de créer une DB RDS à partir de la console RDS de cet utilisateur IAM, nous obtenons l'erreur suivante:
En tant qu'administrateur IAM, nous créerons une stratégie puis la joindrons à l'utilisateur IAM. Cette politique permettra à nos utilisateurs IAM de:
Pour l'opération ci-dessus, nous ajouterons une politique basée sur l'identité appelée politique en ligne. Cette stratégie en ligne est un ensemble d'ensemble d'autorisation minimum pour l'opération de base de données spécifiée ci-dessus. Suivez maintenant les instructions ci-dessous:
Étape 1. Accédez à la console AWS IAM du compte racine et cliquez sur «Utilisateurs» et choisissez l'utilisateur cible dans la liste («LinuxHint» dans notre cas):
Étape 2. Sur la nouvelle page, nous pouvons voir qu'il n'y a pas de politiques attachées à l'utilisateur IAM. Cliquez sur «Ajouter une stratégie en ligne» comme indiqué ci-dessous:
Étape 3. Un nouvel assistant nommé «Créer une stratégie» apparaîtra où vous devez sélectionner l'onglet JSON et coller le code ci-dessous:
"Version": "2012-10-17",
"Déclaration": [
"Sid": "VisualEditor0",
"Effet": "Autoriser",
"Action": [
"EC2: décritvpcattribute",
"EC2: décrit les groupes de sécurité",
"EC2: décrire InternetGateways",
"EC2: des description deszones",
"EC2: décritvpcs",
"EC2: décritsaCountAtTributes",
"EC2: décrit lestubnets",
"RDS: décrire *",
"RDS: listTagsforresource",
"RDS: CreatedBinstance",
"RDS: CreatedBsubNetGroup",
"RDS: supprimé Binstance",
"RDS: stopdbinstance",
"RDS: startdbinstance"
]],
"Ressource": "*"
]]
Étape 4. Cliquez maintenant sur le bouton «Revoir la stratégie» en bas:
Étape 5. Donnez un nom approprié à votre stratégie et cliquez sur le bouton «Créer une stratégie»:
La politique en ligne ci-dessus peut maintenant être vue sous l'onglet Autorisations:
Maintenant, nous pouvons créer et gérer une base de données RDS via un utilisateur IAM. Pour vérifier cela, retournez à la console RDS de l'utilisateur IAM et essayez à nouveau de lancer une instance RDS DB. Cette fois, nous pouvons lancer facilement la base de données sous l'option «Créer standard» de l'assistant de lancement RDS.
Remarque finale: N'oubliez pas de nettoyer les ressources qui ne sont pas utilisées pour éviter les frais inattendus.
Conclusion
Dans ce guide, nous avons appris les politiques AWS pour le contrôle des ressources à grain fin. Nous avons vu une démo attacher une politique basée sur l'identité à un utilisateur, ce qui lui a permis de gérer les ressources RDS. Essayez d'expérimenter différentes politiques disponibles sur l'AWS en attribuant des autorisations minimales à un utilisateur IAM.