Met IAM kunt u beheerde toegang tot uw AWS-bronnen aan uw werknemers geven , AWS-services en programma's die op externe servers worden uitgevoerd. IAM-groepen is een handige organisatietool waarmee u machtigingen voor meerdere gebruikers tegelijk kunt definiëren.
IAM's Organizational Tools
< p>Ten eerste een kort overzicht van de verschillende tools van IAM:
IAM-beleid groepeert individuele machtigingen om een samenhangend object te vormen dat kan worden toegepast op gebruikers, rollen en groepen. U kunt bijvoorbeeld een beleid maken dat toegang toestaat om objecten in een specifieke set S3-buckets te plaatsen.
IAM-gebruikers hebben toegangssleutels of wachtwoorden waarmee ze toegang hebben tot AWS-services vanuit de CLI, API of Management Console. Hierdoor hebben medewerkers toegang tot AWS-bronnen van buiten uw AWS-account. Ze kunnen beleidsregels hebben die aan hun account zijn gekoppeld, waardoor ze rechten krijgen.
IAM-rollen zijn vergelijkbaar met gebruikers, maar worden niet geleverd met toegangssleutels. Deze worden gebruikt om andere AWS-services toestemming te geven om uw bronnen te gebruiken en geven geen API- of CLI-toegang aan iemand buiten uw account. U kunt een EC2-instantie bijvoorbeeld een rol geven waarmee deze toegang heeft tot S3, en omdat deze al in uw AWS-account wordt uitgevoerd, kan deze als de rol fungeren zonder dat toegangssleutels nodig zijn.
AWS Organizations is een speciale tool waarmee u uw root-AWS-account kunt splitsen in maximaal vier verschillende subaccounts met gecentraliseerde facturering en controle. Hoewel dit technisch niet gerelateerd is aan IAM, stelt dit u in staat om ontwikkel-, test-, staging- en productieomgevingen volledig te scheiden, waardoor u meer lakse IAM-rechten kunt geven aan werknemers die alleen in de ontwikkelomgeving werken.
IAM-groepen is wat we vandaag zullen bespreken. Met deze tool kunt u meerdere beleidsregels aan een groep koppelen en gebruikers toevoegen aan die groep, die hetzelfde beleid krijgt als de groep. Het is een geweldig organisatorisch hulpmiddel en cruciaal voor het bijhouden van meerdere gebruikers.
Hoe te werken met groepen
Met groepen kunt u verschillende klassen werknemers met verschillende machtigingen onderscheiden. Stel dat u een team van softwareontwikkelaars en een team van QA-engineers heeft. Beide hebben verschillende vereisten en hebben daarom verschillende machtigingen nodig. Door ze in de groep in te stellen, kunt u eenvoudig nieuwe medewerkers met toegang instellen of gebruikers tussen teams verplaatsen wanneer dat nodig is.
Advertentie
Maak een nieuwe groep vanuit de “Groepen” ; tabblad van de IAM-beheerconsole.
Geef het een naam en voeg eventueel beleid toe dat u wilt. Aan groepen kunnen maximaal 10 beleidsregels zijn gekoppeld, dus u zult waarschijnlijk een of twee aangepaste beleidsregels voor deze groep willen maken. Je kunt ook rechtstreeks inline-beleidsregels aan de groep toevoegen, maar we raden aan om een regulier beleid te gebruiken om alles overzichtelijk te houden.
Klik op “Maken,” en dat is alle setup die nodig is. U kunt een nieuwe gebruiker aan de groep toevoegen vanuit de groep "Gebruikers" tab:
Of, als u automatiseert uw onboarding-proces, kunt u dit vanaf de opdrachtregel doen met:
aws iam add-user-to-group –group-name <value> –gebruikersnaam <waarde>
Hiermee worden de machtigingen van de groep toegevoegd aan de huidige machtigingen van de gebruiker in een aparte categorie. Als u de gebruiker uit de groep verwijdert, zijn de rechten van de groep niet langer van toepassing.
Advertentie
U kunt geen subgroepen maken, maar gebruikers kunnen wel in meerdere groepen tegelijk worden opgenomen . Met dit in gedachten zou je een “Developers” groep die basisrechten toekent, en een “Senior Developers” groep die meer machtigingen geeft, wijs ze vervolgens beide toe aan een werknemer om hen beide sets machtigingen te geven.
Groepen overschrijven machtigingen niet
Groepen overschrijven machtigingen niet
h2>
In IAM is er geen manier voor een toestemming om “overschrijven” een andere toestemming. Standaard wordt alles impliciet geweigerd en heeft een gebruiker alleen toegang tot services die expliciet zijn toegestaan door een machtigingsbeleid. U kunt er ook voor kiezen om een gebruiker expliciet toestemming te geven. Deze machtigingen hebben altijd voorrang op andere machtigingen, ongeacht of deze afkomstig zijn van een gebruiker of groep.
Wanneer u een groep maakt, worden alle groepen’ machtigingen werken op dezelfde manier samen met de gebruikersmachtigingen als wanneer ze rechtstreeks aan de gebruiker waren gekoppeld. Er is geen hiërarchie.
We zullen bijvoorbeeld een testgebruiker maken en het AWSdenyAll-beleid er rechtstreeks aan koppelen. We maken ook een groep, koppelen de AdministratorAccess-toestemming aan die groep en voegen de gebruiker toe aan die groep.
Vanuit de IAM Policy Simulator komt alles naar voren als expliciet geweigerd vanwege de aanwezigheid van het AWSdenyAll-beleid. Als we dingen omdraaien en het Deny-beleid op de groep zetten en het Allow-beleid rechtstreeks op de gebruiker, gebeurt hetzelfde. Weigeren zal Toestaan altijd overschrijven.
Een meer bruikbare vorm van dit zijn permissiegrenzen. In plaats van expliciet alles te ontkennen wat je niet wilt dat een gebruiker kan doen, zelfs als de groep zegt dat ze dat kunnen, kun je in plaats daarvan een beleid instellen als een permissiegrens. Dit heeft voorrang op alle andere machtigingen die aan de gebruiker zijn gekoppeld, zowel van groepen als rechtstreeks, en staat niets toe dat de permissiegrens ook niet toestaat.
Advertisement
Dit werkt in wezen als een Venn-diagram van machtigingen en staat alleen acties toe die zowel de expliciet toegestane machtigingen van het bijgevoegde beleid en de permissiegrens.