IAM ermöglicht es Ihnen, Ihren Mitarbeitern verwalteten Zugriff auf Ihre AWS-Ressourcen zu gewähren , AWS-Services und Programme, die auf Remote-Servern ausgeführt werden. IAM-Gruppen ist ein nützliches Organisationstool, mit dem Sie Berechtigungen für mehrere Benutzer gleichzeitig definieren können.
Organisationstools von IAM
< p>Zuerst eine kurze Aufschlüsselung der verschiedenen Tools von IAM:
IAM-Richtlinien fassen einzelne Berechtigungen zu einem zusammenhängenden Objekt zusammen, das auf Benutzer, Rollen und Gruppen angewendet werden kann. Sie können beispielsweise eine Richtlinie erstellen, die den Zugriff zum Ablegen von Objekten in einen bestimmten Satz von S3-Buckets ermöglicht.
IAM-Benutzer verfügen über Zugriffsschlüssel oder Kennwörter, mit denen sie über die CLI, API oder Management Console auf AWS-Services zugreifen können. Dadurch können Mitarbeiter von außerhalb Ihres AWS-Kontos auf AWS-Ressourcen zugreifen. Sie können Richtlinien an ihr Konto anhängen, die ihnen Berechtigungen geben.
IAM-Rollen ähneln Benutzern, enthalten jedoch keine Zugriffsschlüssel. Diese werden verwendet, um anderen AWS-Services die Berechtigung zur Nutzung Ihrer Ressourcen zu erteilen, und gewähren niemandem außerhalb Ihres Kontos API- oder CLI-Zugriff. Sie können beispielsweise einer EC2-Instance eine Rolle zuweisen, die ihr den Zugriff auf S3 ermöglicht, und da sie bereits in Ihrem AWS-Konto ausgeführt wird, kann sie als Rolle fungieren, ohne dass Zugriffsschlüssel erforderlich sind.
AWS Organizations ist ein spezielles Tool, mit dem Sie Ihr AWS-Stammkonto in bis zu vier verschiedene Unterkonten mit zentraler Abrechnung und Kontrolle aufteilen können. Obwohl technisch nichts mit IAM zu tun hat, können Sie dadurch Entwicklungs-, Test-, Staging- und Produktionsumgebungen vollständig trennen, wodurch Sie Mitarbeitern, die nur in der Entwicklungsumgebung arbeiten, lockerere IAM-Berechtigungen erteilen können.
IAM-Gruppen ist das, was wir heute besprechen werden. Mit diesem Tool können Sie einer Gruppe mehrere Richtlinien zuordnen und dieser Gruppe Benutzer hinzufügen, die dieselben Richtlinien wie die Gruppe erhalten. Es ist ein großartiges Organisationstool und entscheidend, um den Überblick über mehrere Benutzer zu behalten.
Arbeiten mit Gruppen
Gruppen ermöglichen es Ihnen, verschiedene Klassen von Mitarbeitern mit unterschiedlichen Berechtigungen zu unterscheiden. Angenommen, Sie haben ein Team von Softwareentwicklern und ein Team von QA-Ingenieuren. Beide haben unterschiedliche Anforderungen und benötigen daher unterschiedliche Berechtigungen. Wenn Sie sie in der Gruppe einrichten, können Sie ganz einfach neue Mitarbeiter mit Zugriff einrichten oder Benutzer bei Bedarf zwischen Teams verschieben.
Werbung
Erstellen Sie eine neue Gruppe aus dem “Gruppen” . ; Registerkarte der IAM-Verwaltungskonsole.
Geben Sie ihm einen Namen und fügen Sie alle gewünschten Richtlinien hinzu. Gruppen können maximal 10 Richtlinien angehängt sein, daher möchten Sie wahrscheinlich eine oder zwei benutzerdefinierte Richtlinien für diese Gruppe erstellen. Sie können der Gruppe auch Inline-Richtlinien direkt hinzufügen, aber wir empfehlen die Verwendung einer regulären Richtlinie, um alles in Ordnung zu halten.
Klicken Sie auf “Erstellen,” und das ist die gesamte erforderliche Einrichtung. Sie können der Gruppe einen neuen Benutzer aus den Gruppen “Benutzer” tab:
Oder, wenn Sie automatisieren Ihrem Onboarding-Prozess können Sie dies über die Befehlszeile tun mit:
aws iam add-user-to-group –group-name <value> –Benutzername <Wert>
Dadurch werden die Berechtigungen der Gruppe zu den aktuellen Berechtigungen des Benutzers in einer separaten Kategorie hinzugefügt. Wenn Sie den Benutzer aus der Gruppe entfernen, gelten die Berechtigungen der Gruppe nicht mehr.
Werbung
Sie können keine Untergruppen erstellen, aber Benutzer können gleichzeitig in mehrere Gruppen aufgenommen werden . Vor diesem Hintergrund könnten Sie eine “Entwickler” Gruppe, die grundlegende Berechtigungen zuweist, und eine “Senior Developers” Gruppe, die mehr Berechtigungen erteilt, und weisen Sie beide dann einem Mitarbeiter zu, um ihnen beide Berechtigungen zu erteilen.
Gruppen überschreiben keine Berechtigungen
In IAM gibt es keine Möglichkeit für eine Berechtigung zum “Überschreiben” eine andere Erlaubnis. Standardmäßig wird alles implizit verweigert, und ein Benutzer hat nur Zugriff auf Dienste, die durch eine Berechtigungsrichtlinie explizit zugelassen sind. Sie können einem Benutzer auch explizit Berechtigungen verweigern. Diese Berechtigungen haben immer Vorrang vor allen anderen Berechtigungen, unabhängig davon, ob sie von einem Benutzer oder einer Gruppe stammen oder nicht.
Wenn Sie eine Gruppe erstellen, werden alle Gruppen’ Berechtigungen interagieren mit den Benutzerberechtigungen auf die gleiche Weise, als würden sie direkt an den Benutzer angehängt. Es gibt keine Hierarchie.
Zum Beispiel erstellen wir einen Testbenutzer und fügen ihm die AWSDenyAll-Richtlinie direkt hinzu. Außerdem erstellen wir eine Gruppe, fügen dieser Gruppe die Berechtigung AdministratorAccess zu und fügen den Nutzer dieser Gruppe hinzu.
Im IAM-Richtliniensimulator wird alles als explizit abgelehnt angezeigt, da die AWSDenyAll-Richtlinie vorhanden ist. Wenn wir die Dinge umstellen und die Richtlinie Verweigern auf die Gruppe und die Richtlinie Erlauben direkt auf den Benutzer legen, passiert dasselbe. Verweigern überschreibt immer Zulassen.
Eine nützlichere Form von Dies sind Berechtigungsgrenzen. Anstatt explizit alles zu verweigern, was ein Benutzer nicht tun darf, selbst wenn die Gruppe dies vorschreibt, können Sie stattdessen eine Richtlinie als Berechtigungsgrenze festlegen. Dies hat Vorrang vor allen anderen Berechtigungen, die dem Benutzer zugewiesen sind, sowohl von Gruppen als auch direkt, und lässt nichts zu, was die Berechtigungsgrenze nicht auch zulässt.
Werbung
Dies funktioniert im Wesentlichen wie ein Venn-Berechtigungsdiagramm und erlaubt nur Aktionen, die beide explizit erlaubten Berechtigungen von . überlappen die angehängten Richtlinien und die Berechtigungsgrenze.