AWS Identity and Access Management (IAM) — это важнейший компонент Amazon Web Services (AWS), который позволяет вам безопасно управлять доступом к ресурсам AWS. IAM предоставляет различные категории разрешений, которыми вы можете управлять, предоставляя или ограничивая доступ к различным сервисам и ресурсам AWS. В этой статье мы рассмотрим различные категории IAM и обсудим различные методы контроля доступа на примерах кода.
- Пользователи.
Пользователи IAM представляют собой отдельные подразделения вашей организации, которым необходим доступ к ресурсам AWS. Пользователям назначаются уникальные учетные данные (идентификатор ключа доступа и секретный ключ доступа), и их можно группировать для упрощения управления.
Пример:
Чтобы создать пользователя IAM с именем «JohnDoe» с помощью интерфейса командной строки AWS:
aws iam create-user --user-name JohnDoe- Группы.
Группы – это способ объединить нескольких пользователей IAM. Вы можете назначать разрешения группам, что упрощает управление доступом для группы пользователей со схожими ролями или обязанностями.
Пример:
Чтобы создать группу IAM с именем «Разработчики» с помощью интерфейса командной строки AWS:
aws iam create-group --group-name Developers- Роли.
Роли IAM используются для делегирования разрешений объектам за пределами вашего аккаунта AWS. Роли часто берут на себя сервисы или приложения AWS, работающие на экземплярах EC2, что позволяет им безопасно получать доступ к другим ресурсам AWS.
Пример:
Чтобы создать роль IAM с именем «EC2FullAccess» с помощью интерфейса командной строки AWS:
aws iam create-role --role-name EC2FullAccess --assume-role-policy-document file://trust-policy.json- Политики.
Политики IAM — это документы JSON, определяющие разрешения. Их можно прикрепить к пользователям, группам или ролям, чтобы предоставить или запретить доступ к ресурсам AWS. Политиками можно управлять независимо и повторно использовать в нескольких объектах.
Пример:
Чтобы создать политику IAM с именем «S3ReadOnlyAccess» с помощью интерфейса командной строки AWS:
aws iam create-policy --policy-name S3ReadOnlyAccess --policy-document file://policy.json- Границы разрешений.
Границы разрешений позволяют вам установить максимальные разрешения, которые может иметь объект IAM (пользователь или роль). Это помогает обеспечить соблюдение минимальных привилегий и предотвращает непреднамеренное повышение привилегий.
Пример:
Чтобы установить границу разрешений для пользователя IAM с именем «JaneSmith» с помощью интерфейса командной строки AWS:
aws iam put-user-permissions-boundary --user-name JaneSmith --permissions-boundary arn:aws:iam::account-id:policy/PermissionBoundaryPolicyAWS IAM предлагает полный набор категорий и методов контроля доступа для управления разрешениями и обеспечения безопасности ваших ресурсов AWS. Понимая эти категории и используя соответствующие методы контроля доступа, вы сможете эффективно контролировать доступ к вашей среде AWS и защищаться от несанкционированного доступа.