Comment créer des politiques IAM sur AWS

Comment créer des politiques IAM sur AWS
Afin de gérer les autorisations pour les utilisateurs IAM et les groupes d'utilisateurs, nous devons attacher des politiques avec eux. Ces politiques définissent si un certain utilisateur peut accéder à une ressource particulière dans un compte AWS ou si un utilisateur peut apporter des modifications à un service spécifique ou non.

Dans AWS, vous pouvez soit joindre une politique à un groupe que nous appelons stratégie de groupe ou vous pouvez attacher une politique directement à un utilisateur IAM qui est appelé politique en ligne. Habituellement, la méthode de la stratégie de groupe est préférée car cela permet aux administrateurs de gérer facilement et de revoir les autorisations de l'utilisateur. Si nécessaire, plusieurs politiques peuvent être attachées à un seul utilisateur ou à un groupe.

Il existe une grande collection de politiques disponibles dans la console AWS IAM à partir de laquelle vous pouvez utiliser n'importe quelle politique en fonction de vos exigences et ces politiques sont appelées Politiques gérées par AWS. Mais souvent à un certain point, vous devrez peut-être définir les autorisations aux utilisateurs en fonction de vos propres besoins pour lesquels vous devrez créer une politique IAM par vous-même.

IAM Politics est un document JSON (notation d'objet JavaScript) qui contient la version, l'ID et la déclaration. La déclaration contient en outre SID, effet, principal, action, ressource et condition. Ces éléments ont les rôles suivants dans une politique IAM.

Version: Définit simplement la version du langage de politique que vous utilisez. Généralement, il est statique et actuellement sa valeur est 2012-10-17.

Déclaration: C'est l'organisme principal d'une politique qui définit quelle autorisation est autorisée ou refusée à quel utilisateur pour quelle ressource. Une politique peut inclure plus d'une déclaration.

Effet: Il peut avoir une valeur permettre ou nier de dire que vous souhaitez donner cet accès à un utilisateur ou bloquer l'accès.

Principal: Il indique les utilisateurs ou les rôles auxquels la politique spécifique va s'appliquer. Il n'est pas nécessaire dans tous les cas.

Action: Ici, nous décrivons ce que nous allons autoriser ou nier à l'utilisateur. Ces actions sont prédéfinies par AWS pour chaque service.

Ressource: Cela définit le service ou la ressource AWS sur laquelle l'action va s'appliquer. Il est nécessaire dans certains cas ou peut parfois être facultatif.

Condition: C'est aussi un élément facultatif. Il définit simplement certaines conditions dans lesquelles la politique va agir.

Types de politiques

Il existe différents types de politiques que nous pouvons créer dans AWS. Il n'y a pas de différence de méthode de création pour tous mais ils diffèrent en termes de cas d'utilisation. Ces types sont expliqués dans la section suivante.

Politiques basées sur l'identité

Des politiques basées sur l'identité sont utilisées pour régir les autorisations pour les utilisateurs IAM dans les comptes AWS. Ils peuvent être classés en outre comme des politiques gérées qui peuvent être gérées AWS qui sont facilement disponibles pour que vous puissiez utiliser sans aucune modification, soit créer des politiques gérées par les clients pour donner un contrôle précis à un utilisateur spécifique sur une ressource spécifique. D'autres types de politiques basées sur l'identité sont les politiques en ligne que nous attachons directement à un seul utilisateur ou à un rôle.

Politiques basées sur les ressources

Ceux-ci sont appliqués lorsque vous devez donner la permission d'un service AWS spécifique ou d'une ressource par exemple si vous souhaitez donner un accès en écriture à un utilisateur pour le seau S3. Ce sont un type de politiques en ligne.

Limites des autorisations

Les limites des autorisations définissent le niveau maximum d'autorisations un utilisateur ou un groupe qu'ils peuvent obtenir. Ils l'emportent sur les politiques basées sur l'identité, donc si un accès particulier est refusé par une limite d'autorisation, alors accordant à cette permission par le biais de la politique basée sur l'identité ne fonctionnera pas.

Organisations Politiques de contrôle des services (SCP)

Les organisations AWS sont un type spécial de service utilisé pour gérer tous les comptes et autorisations dans votre organisation. Ils fournissent un contrôle central pour donner des autorisations à tous les comptes d'utilisateurs de votre organisation.

Listes de contrôle d'accès (ACL)

Ce sont des types spécifiques de politiques qui sont utilisées pour permettre l'accès à vos services AWS à un autre compte AWS. Vous ne pouvez pas les utiliser pour donner des autorisations à un principe du même compte, le principe ou l'utilisateur a définitivement besoin d'un autre compte AWS.

Politiques de session

Ceux-ci sont utilisés pour donner des autorisations temporaires aux utilisateurs pendant une durée limitée. Pour cela, vous devez créer un rôle de session et y admettre une politique de session. Les politiques sont généralement des politiques basées sur les ressources ou.

Méthodes pour créer des politiques IAM

Pour créer une politique IAM dans AWS, vous pouvez choisir parmi l'une des méthodes suivantes:

  • Utilisation de la console de gestion AWS
  • Utilisation de CLI (interface de ligne de commande)
  • Utilisation du générateur de stratégie AWS

Dans la section suivante, nous allons expliquer chaque méthode en détail.

Création de la politique IAM à l'aide de la console de gestion AWS

Connectez-vous à votre compte AWS et dans la barre de recherche supérieure Type IAM.

Sélectionnez l'option IAM dans le menu de recherche, cela vous amènera à votre tableau de bord IAM.

Dans le menu du côté gauche, sélectionnez des politiques pour créer ou gérer des politiques dans votre compte AWS. Ici, vous pouvez rechercher des politiques gérées AWS ou simplement cliquer sur Créer une stratégie dans le coin supérieur droit pour créer une nouvelle politique.

Ici, dans Créer une stratégie, vous obtenez deux options; Soit vous pouvez créer votre politique à l'aide de Visual Editor ou écrire un JSON définissant la politique IAM. Pour créer une stratégie à l'aide de Visual Editor, vous devez sélectionner le service AWS pour lequel vous souhaitez créer une stratégie, puis sélectionnez les actions que vous souhaitez autoriser ou refuser. Après cela, vous sélectionnez la ressource sur laquelle cette politique sera appliquée et enfin vous pouvez ajouter une déclaration conditionnelle en vertu de laquelle cette politique est valide ou non. Ici, vous devez également ajouter l'effet I.e., Soit vous voulez autoriser ou refuser ces autorisations. C'est un moyen facile de créer une politique.

Si vous êtes amical avec les scripts d'écriture et les déclarations JSON, alors vous pouvez choisir de l'écrire vous-même au format JSON approprié. Pour cela, sélectionnez JSON sur le dessus et vous pouvez simplement écrire la politique, mais il a besoin d'un peu plus de pratique et d'expertise.

Création de stratégie IAM à l'aide de l'interface de ligne de commande (CLI)

Si vous souhaitez créer une stratégie IAM en utilisant AWS CLI, car la plupart des professionnels préfèrent utiliser la console CLI à Management, il vous suffit d'exécuter la commande suivante dans votre CLI AWS.

$ aws iam create-policy - Policy-name --document de politique

La sortie de cela serait la suivante:

Vous pouvez également créer le fichier JSON d'abord, puis exécuter la commande suivante pour créer une stratégie.

$ aws iam create-policy - Policy-name --document de politique

Ainsi, de cette façon, vous pouvez créer des politiques IAM en utilisant l'interface de ligne de commande.

Création de stratégie IAM en utilisant le générateur de stratégie AWS

Ceci est une méthode simple pour créer une politique IAM. C'est similaire à un éditeur visuel où vous n'avez pas besoin d'écrire la politique vous-même. Vous avez juste besoin de définir vos besoins et vous obtiendrez votre politique IAM générée.

Ouvrez votre navigateur et recherchez un générateur de stratégie AWS.

Tout d'abord, vous devez sélectionner le type de politique, et dans la section suivante, vous devez fournir les éléments de l'instruction JSON qui incluent l'effet, le principe, le service AWS, les actions et les ressources ARN et éventuellement, vous pouvez également ajouter les instructions conditionnelles. Après avoir fait tout cela, cliquez simplement sur le bouton Ajouter la déclaration pour générer la stratégie.

Une fois que vous avez ajouté l'instruction, il commencera à apparaître dans la section ci-dessous. Afin de créer votre stratégie, cliquez maintenant sur Générer une stratégie et vous obtiendrez votre politique au format JSON.

Maintenant, vous devez simplement copier cette politique et attacher à l'endroit où vous voulez.

Vous avez donc réussi à créer une politique IAM en utilisant le générateur de stratégie AWS.

Conclusion

Les politiques IAM sont l'une des parties les plus importantes d'une structure de nuage AWS. Ceux-ci sont utilisés pour régir les autorisations à tous les utilisateurs du compte. Ils définissent si un membre peut accéder à une certaine ressource et service ou non. Les politiques sont générées à l'échelle mondiale afin que vous n'ayez pas à définir votre région. Il ne faut jamais prendre ces politiques pour acquises et comme ce sont les éléments fondamentaux de la sécurité et de la confidentialité.