Ejemplo de política de AWS IAM

Los proveedores de servicios en la nube generalmente ofrecen una función de gestión de IAM o identidad y acceso para brindar a una cuenta raíz de usuario de seguridad adicional. En un entorno laboral/de producción que da acceso a cada usuario a una cuenta raíz o servicios de administración directamente desde la raíz, la cuenta es vulnerable a las amenazas de seguridad. En su lugar, podemos crear usuarios con permisos específicos para evitar problemas de escalada de privilegios. Siguiendo el mismo patrón, AWS proporciona disposiciones para crear usuarios, roles y políticas basados ​​en IAM.

Al adjuntar las políticas de IAM a los roles IAM, podemos controlar el tipo de acceso, las tareas que se pueden realizar y los recursos utilizados con estas tareas. Las políticas de IAM se pueden utilizar para proporcionar permiso de acceso a API y recursos de servicios de AWS particulares. De la misma manera, podemos decidir bajo qué condición se debe proporcionar acceso.

Necesitamos permisos para entidades IAM como usuarios, grupos y roles para que accedan a los recursos de AWS. Por defecto, AWS no proporciona permisos a estas entidades. Y ahí es donde entran las políticas de AWS. Estas políticas se unen a las entidades anteriores para otorgarles varios permisos.

¿Qué cubriremos??

En esta guía, discutiremos la sección Política de AWS y veremos algunas políticas de ejemplo. También veremos una demostración práctica del uso de una política de AWS para operaciones basadas en RDS.

Tipos de políticas

AWS proporciona los siguientes tipos de políticas:

1. Políticas basadas en la identidad: Se utiliza para adjuntar políticas administradas y en línea a entidades IAM como usuarios, grupos y roles. Da permiso a una identidad.

2. Políticas basadas en recursos: Utilizado para adjuntar políticas en línea a recursos, e.gramo., Adjuntar un cubo S3.

3. Iam permisos límites: Esta característica le permite especificar los permisos máximos que se pueden establecer en una entidad IAM mediante una política basada en la identidad.

4. Políticas de control de servicio: Utilizado para definir los permisos máximos otorgados a cuentas propiedad de una organización.

5. Listas de control de acceso (ACL): Se utiliza para controlar qué directores especificados de otras cuentas pueden acceder a los recursos en la cuenta nativa.

6. Políticas de sesión: Estos se pasan como un argumento o parámetro cuando se crea una sesión temporal para un rol.

El formato JSON se usa para definir la mayoría de las políticas en AWS. Sin embargo, también podemos usar el editor visual en lugar de escribir la sintaxis JSON para definir una política. AWS proporciona una política previa a la construcción de muchos casos de uso que se pueden usar con sus identidades IAM. Esta página documenta varios casos de uso para identidades de IAM. Tomemos un caso de uso de una política basada en la identidad para RDS.

Ejemplo de una política de AWS IAM

Para este tutorial, hemos creado un usuario de IAM que, por defecto, no puede crear o modificar los recursos de RDS debido a las barreras de permiso. Delantero.gramo., En su estado actual, sin ninguna política adjunta, este usuario de IAM no puede crear una instancia de RDS DB. Si intentamos crear un RDS DB a partir de la consola RDS de este usuario de IAM, recibimos el siguiente error:

Como administrador de IAM, crearemos una política y luego la adjuntaremos al usuario de IAM. Esta política permitirá que nuestros usuarios de IAM:

1. Crear base de datos
2. Eliminar base de datos
3. Describe la base de datos
4. Iniciar base de datos
5. Detener la base de datos

Para la operación anterior, agregaremos una política basada en la identidad llamada política en línea. Esta política en línea es un conjunto de permisos mínimos establecidos para la operación de la base de datos especificada anteriormente. Ahora siga las instrucciones a continuación:

Paso 1. Vaya a la consola AWS IAM de la cuenta raíz y haga clic en 'Usuarios' y elija el usuario de destino en la lista ('Linuxhint' en nuestro caso):

Paso 2. En la nueva página, podemos ver que no hay políticas adjuntas al usuario de IAM. Haga clic en 'Agregar política en línea' como se muestra a continuación:

Paso 3. Aparecerá un nuevo asistente llamado como 'Política de creación' donde debe seleccionar la pestaña JSON y pegar el siguiente código allí:

"Versión": "2012-10-17",
"Declaración": [

"Sid": "VisualEditor0",
"Efecto": "Permitir",
"Acción": [
"EC2: DescribeVpCattribute",
"EC2: DescribeSecurity Groups",
"EC2: Describainternetgateways",
"EC2: DescribeAvailabilityZones",
"EC2: DescribeVPCS",
"EC2: DescribeAcCountAttributes",
"EC2: DescribeSubnets",
"RDS: Describe*",
"RDS: ListTagSForResource",
"RDS: creado Binstance",
"RDS: CreateBSubnetGroup",
"RDS: DeletedBinstance",
"RDS: stopdbinstance",
"RDS: StartDbinstance"
],
"Recurso": "*"

]

Etapa 4. Ahora haga clic en el botón 'Política de revisión' en la parte inferior:

Paso 5. Dé un nombre adecuado a su política y haga clic en el botón "Crear política":

La política en línea anterior ahora se puede ver en la pestaña Permisos:

Ahora podemos crear y administrar una base de datos RDS a través de un usuario de IAM. Para verificar esto, regrese a la consola RDS del usuario de IAM e intente iniciar una instancia de RDS DB. Esta vez podemos iniciar la base de datos fácilmente debajo de la opción 'Estándar Create' del Asistente de lanzamiento de RDS.

Nota final: No olvide limpiar los recursos que no están en uso para evitar cargos inesperados.

Conclusión

En esta guía, hemos aprendido sobre las políticas de AWS para el control de recursos de grano fino. Hemos visto una demostración que adjunta una política basada en la identidad a un usuario, lo que le permitió administrar los recursos de RDS. Intente experimentar con diferentes políticas disponibles en el AWS asignando permisos mínimos a un usuario de IAM.