IAM ti consente di fornire l'accesso gestito alle tue risorse AWS ai tuoi dipendenti , servizi AWS e programmi in esecuzione su server remoti. I gruppi IAM sono un utile strumento di organizzazione che consente di definire le autorizzazioni per più utenti contemporaneamente.
Strumenti organizzativi di IAM
< p>Prima di tutto, una rapida analisi dei diversi strumenti IAM:
I criteri IAM raggruppano le singole autorizzazioni per formare un oggetto coerente che può essere applicato a utenti, ruoli e gruppi. Ad esempio, potresti creare una policy che consenta l'accesso per inserire oggetti in un set specifico di bucket S3.
Gli utenti IAM dispongono di chiavi di accesso o password che consentono loro di accedere ai servizi AWS dalla CLI, dall'API o dalla console di gestione. Ciò consente ai dipendenti di accedere alle risorse AWS dall'esterno del tuo account AWS. Possono avere criteri allegati al loro account, che danno loro le autorizzazioni.
I ruoli IAM sono simili agli utenti ma non sono dotati di chiavi di accesso. Questi vengono utilizzati per concedere ad altri servizi AWS l'autorizzazione a utilizzare le tue risorse e non consentono l'accesso API o CLI a nessuno al di fuori del tuo account. Ad esempio, puoi assegnare a un'istanza EC2 un ruolo che le consente di accedere a S3 e poiché è già in esecuzione nel tuo account AWS, può fungere da ruolo senza richiedere chiavi di accesso.
AWS Organizations è uno strumento speciale che ti consente di suddividere il tuo account AWS root in un massimo di quattro diversi account secondari con fatturazione e controllo centralizzati. Sebbene tecnicamente non correlato a IAM, ciò consente di separare completamente gli ambienti di sviluppo, test, staging e produzione, consentendo di concedere autorizzazioni IAM più lassiste ai dipendenti che lavorano solo nell'ambiente di sviluppo.
Gruppi IAM è ciò di cui parleremo oggi. Questo strumento consente di collegare più criteri a un gruppo e aggiungere utenti a quel gruppo, a cui verranno assegnati gli stessi criteri del gruppo. È un ottimo strumento organizzativo e fondamentale per tenere traccia di più utenti.
Come lavorare con i gruppi
I gruppi consentono di distinguere diverse classi di dipendenti con autorizzazioni diverse. Ad esempio, supponiamo che tu abbia un team di sviluppatori software e un team di ingegneri QA. Entrambi hanno requisiti diversi e, in quanto tali, necessitano di autorizzazioni diverse. Impostarli nel gruppo ti consente di configurare facilmente nuovi dipendenti con accesso o di spostare gli utenti tra i team in caso di necessità.
Annuncio
Crea un nuovo gruppo dai “Gruppi” ; scheda della Console di gestione IAM.
Dagli un nome e allega i criteri che desideri. I gruppi possono avere un massimo di 10 criteri collegati, quindi probabilmente vorrai creare uno o due criteri personalizzati per questo gruppo. Puoi anche aggiungere policy in linea direttamente al gruppo, ma ti consigliamo di utilizzare una policy regolare per mantenere tutto in ordine.
Fare clic su “Crea,” e questa è tutta la configurazione richiesta. Puoi aggiungere un nuovo utente al gruppo da ’s “Utenti” tab:
Oppure, se stai automatizzando il tuo processo di onboarding, puoi farlo dalla riga di comando con:
aws iam add-user-to-group –group-name <value> –nome-utente <valore>
Questo aggiungerà le autorizzazioni del gruppo alle autorizzazioni correnti dell'utente in una categoria separata. Se rimuovi l'utente dal gruppo, le autorizzazioni del gruppo non si applicano più.
Annuncio
Non puoi creare sottogruppi, ma gli utenti possono essere inclusi in più gruppi contemporaneamente . Con questo in mente, puoi creare un “Sviluppatori” gruppo che assegna le autorizzazioni di base e un “Senior Developers” gruppo che fornisce più permessi, quindi assegnali entrambi a un dipendente per concedere loro entrambi i set di permessi.
I gruppi non sovrascrivono i permessi
h2>
In IAM, non è possibile ottenere un'autorizzazione per “override” un'altra autorizzazione. Per impostazione predefinita, tutto è implicitamente negato e un utente avrà accesso solo ai servizi esplicitamente consentiti da un criterio di autorizzazione. Puoi anche scegliere di negare esplicitamente le autorizzazioni a un utente. Queste autorizzazioni avranno sempre la precedenza su qualsiasi altra autorizzazione, indipendentemente dal fatto che provenga o meno da un utente o da un gruppo.
Quando crei un gruppo, tutti i gruppi’ le autorizzazioni interagiscono con le autorizzazioni utente nello stesso modo in cui farebbero se fossero collegate direttamente all'utente. Non esiste una gerarchia.
Ad esempio, creeremo un utente di prova e vi collegheremo direttamente la policy AWSDenyAll. Creeremo anche un gruppo, allegheremo l'autorizzazione AdministratorAccess a quel gruppo e aggiungeremo l'utente a quel gruppo.
Da IAM Policy Simulator, tutto risulta esplicitamente negato a causa della presenza della policy AWSDenyAll. Se cambiamo le cose e mettiamo la politica Nega sul gruppo e la politica Consenti direttamente sull'utente, accade la stessa cosa. Nega sovrascriverà sempre Consenti.
Una forma più utile di questi sono i limiti delle autorizzazioni. Invece di negare esplicitamente tutto ciò che non vuoi che un utente sia in grado di fare anche se il gruppo dice di poterlo fare, puoi invece impostare un criterio come limite di autorizzazione. Questo avrà la precedenza su tutte le altre autorizzazioni associate all'utente, sia dai gruppi che direttamente, e non consentirà nulla che il limite delle autorizzazioni non consenta.
Pubblicità
Funziona essenzialmente come un diagramma di Venn dei permessi e consente solo azioni che si sovrappongono ai permessi esplicitamente consentiti di le politiche allegate e il limite delle autorizzazioni.