Was Machen All die AWS IAM-Berechtigungen Tatsächlich Tun?

0
54

Die AWS Management Console IAM listet über 500 zuweisbare Berechtigungen-basierte Richtlinien, die Sie geben können, zu ermöglichen Ihren IAM-Benutzern Zugriff auf verschiedene Dienste. Was Sie alle tun, und wie können Sie konfigurieren Ihre eigenen?

Sie Sollten Immer Bei Der Feinabstimmung Ihrer Berechtigungen

First off, es ist eine schreckliche Idee, die Ihr root-Anmeldeinformationen für alles. AWS empfiehlt, dass Sie erstellen ein administrator IAM-Benutzer mit Zugriff auf die Konsole (die Sie sich anmelden können mit) um Ihr Konto zu verwalten, und verwenden Sie nur Ihre Stamm-Anmeldeinformationen für das Konto Wartung.

Aber für alles, was nicht Ihren eigenen computer, Sie sollten die access-basierten Berechtigungen für remote-service, muss eine Verbindung mit AWS. Selbst wenn Sie ein ein-Personen-team, Ihr server sollte nicht über administrator-Zugang zu Ihrem Konto.

Nur-lese-Zugriff funktioniert gut für Anwendungen, die keine änderungen vornehmen. Geben Schreibzugriff ist gefährlicher, als Sie vielleicht denken—schreiben-Zugriff bedeutet Berechtigung zum löschen von Dateien und beenden von Instanzen, etwas, was Sie nicht wollen, dass Konto zu tun.

In der Regel, Wann immer Sie haben eine Verknüpfung der AWS-CLI auf einem remote-Computer erstellen Sie eine neue IAM-Benutzer und geben es nur über die Berechtigungen verfügen, die es braucht um zu funktionieren. Es ist auch eine gute Idee, konfigurieren Sie Ihren persönlichen CLI mit:

aws konfigurieren

entsprechen die Berechtigungen, die Sie verwenden möchten, auf dem server, nur damit Sie nicht laufen in unpassenden Berechtigungen Probleme bei der Prüfung.

Welche Berechtigungen Sollte Ich Verwenden?

Sie können durchsuchen Sie die Liste der Berechtigungen aus dem IAM Management Console unter ” die Registerkarte “Richtlinien”:

Als Allgemeine Regel für die meisten Dienstleistungen, gibt es eine “nur Lesen”-Berechtigung und eine “full-access” – Berechtigung. Zum Beispiel S3 hat “AmazonS3FullAccess” und “AmazonS3ReadOnlyAccess”. Sie sind alle gelungen, von Amazon, aber die meisten von Ihnen sind einfach hier als Vorlagen. Es ist viel besser, erstellen Sie Ihre eigenen Richtlinien.

Zum Beispiel, jede Berechtigung enabls einen bestimmten Satz von Aktionen; Sie können Sie im detail durch anklicken und Auswahl von “JSON”, die zeigt eine vollständige Liste der alles, was, die Genehmigung ermöglicht. Zum Beispiel die “AmazonDMSRedshiftS3Role” Politik gibt die folgenden Berechtigungen:

Ihr service wahrscheinlich braucht nicht Zugriff auf alles, also anstatt zu versuchen, zu finden, die spezifische Politik, die am besten funktioniert, sollten Sie erstellen Sie Ihre eigene Politik, den Zugang zu beschränken so viel wie möglich. Wenn Sie nicht möchten, dies zu tun, sollten Sie—zumindest—beschränken Sie den Zugriff auf den entsprechenden Dienst und nicht den vollen Zugriff auf alles.

Erstellen Sie Ihre Eigenen Richtlinien

Wenn die Standard-Richtlinien haben nicht die spezifischen Berechtigungen, die Sie wollen, Sie können erstellen Sie Ihre eigenen Richtlinien. Zum Beispiel, wenn Sie einen Dienst, der braucht zum hochladen Elemente S3, Sie kann es nicht geben, das nur-lese-Zugriff, aber es sollte nicht haben vollen Zugriff entweder. Definieren Sie eine neue Richtlinie wird nur dann aktivieren, hochladen von Objekten zu einem bestimmten Eimer.

Klicken Sie auf “Richtlinie Erstellen” aus der policy-browser. Sie können Sie Bearbeiten als JSON, aber der visual editor ist viel einfacher. Wählen Sie einen service, den wir ausgewählt S3 für dieses Beispiel. Jede Richtlinie gilt für einen bestimmten service, wenn Sie brauchen, um eine Anwendung mehrere Berechtigungen, die Sie benötigen, um erstellen Sie separate Richtlinien für jeden Dienst.

Als Nächstes wählen Sie die Berechtigungen, die Sie möchten, basierend auf unterschiedlichen Zugriffs-Ebenen (Auflisten, Lesen, Tag, Schreiben). Die, die Sie suchen, ist “PutObject”, die es ermöglicht, Objekte, die hochgeladen werden. Hier können Sie sehen, wie geben-schreib-Zugriff auf eine Anwendung wie diese ist eine schlechte Idee, nur muss wirklich eine Berechtigung, aber wenn es voller Schreibzugriff, es hätte jede Berechtigung in dieser Liste.

Wie Sie sehen können, es sind viel mehr einzelne Berechtigungen als Standard-Richtlinien. Können wir nicht vielleicht erklären Sie alle, aber zum Glück AWS macht es einfach, um herauszufinden. Klicken Sie auf das ? Symbol neben der Berechtigung, die Sie kennenlernen wollen, und es öffnet sich eine Seitenleiste mit einer kurzen Beschreibung. Wenn das nicht genug ist, können Sie auf “Mehr Erfahren” gelangen Sie auf die Google docs-Seite für diese Erlaubnis.

Wenn Sie ausgewählt haben alle die Berechtigungen, die Sie wollen, können Sie jetzt einschränken des Zugriffs auf bestimmte Ressourcen, oder aktivieren Sie die Berechtigungen für jede Ressource. In diesem Beispiel, unsere Anwendung kann nur die Notwendigkeit zum hochladen von Dateien in einen bestimmten Eimer, und muss nicht Zugang zu irgendwelchen anderen Eimern, die Sie haben oder in der Zukunft schaffen.

Sie können wählen Sie Ressourcen, indem Sie “Hinzufügen ” ARN”, den Zugang zu beschränken:

Sie müssen den Amazon Resource Name (ARN) für das Objekt, das Sie möchten, Zugang zu geben. Zum Glück, den Gruppenrichtlinien-editor macht dies einfach und bietet einen maßgeschneiderten dialog, der fragt einfach für den Namen oder die ID der Ressource, in diesem Fall können Sie den bucket-Namen:

Noch weiter zu gehen, können Sie ein whitelisting, so dass Anfragen müssen immer kommen von deinem server. Wenn Sie Zugriff für einen remote-service, und Ihre IP-server ist nicht zu ändern, jederzeit schnell, es ist eine gute Idee, schalten Sie diese auf.

Sie kann auch verlangen, dass die multi-Faktor-Authentifizierung aktiviert werden, damit die Richtlinie angewendet, die nur relevant ist für tatsächlichen Benutzer-accounts mit Zugriff auf die Konsole.

Wenn Sie klicken Sie auf “Bedingung Hinzufügen” können Sie angeben, erweiterten Bedingungen, die die Anforderung erfüllen müssen, bevor Sie genehmigt wird, ist, wie Sie nur Zugriff auf donnerstags, wenn es das ist, was Sie wollen.

Sobald Sie fertig sind, klicken Sie auf weiter, überprüfen Sie die Richtlinie, und geben Sie einen Namen und eine Beschreibung. Klicken Sie auf “Richtlinie Erstellen”, und es sollte sichtbar sein und können dem Benutzer in der policy-Liste.