En AWS, puede adjuntar una política a un grupo que llamamos como política grupal o puede adjuntar una política directamente a un usuario de IAM que se llama política en línea. Por lo general, se prefiere el método de política grupal, ya que esto permite a los administradores administrar y revisar fácilmente los permisos del usuario. Si es necesario, se pueden adjuntar múltiples políticas a un solo usuario o un grupo.
Hay una gran colección de políticas disponibles en la consola AWS IAM de la que puede usar cualquier política de acuerdo con sus requisitos y se llaman a estas políticas Políticas administradas de AWS. Pero a menudo en cierto punto, es posible que deba definir los permisos a los usuarios de acuerdo con sus propias necesidades para las cuales tendrá que crear una política de IAM por su cuenta.
IAM Policy es un documento JSON (JavaScript Object Notation) que contiene versión, identificación y declaración. La declaración contiene además sid, efecto, director, acción, recursos y condición. Estos elementos tienen los siguientes roles en una política de IAM.
Versión: Simplemente define la versión del lenguaje de política que está utilizando. En general, es estático y actualmente su valor es 2012-10-17.
Declaración: Es el cuerpo principal de una política que define qué permiso está permitido o denegado a qué usuario para qué recurso. Una política puede incluir más de una declaración.
Efecto: Puede tener un valor permitir o negar para decirle que desea dar este acceso a un usuario o desea bloquear el acceso.
Principal: Indica los usuarios o roles a los que se aplicará la política específica. No se requiere en todos los casos.
Acción: Aquí describimos lo que vamos a permitir o negar al usuario. Estas acciones están predefinidas por AWS para cada servicio.
Recurso: Esto define el servicio o recurso AWS sobre el cual se aplicará la acción. Se requiere en algunos casos o puede ser opcional a veces.
Condición: Este es también un elemento opcional. Simplemente define ciertas condiciones bajo las cuales la política actuará.
Tipos de políticas
Hay diferentes tipos de políticas que podemos crear en AWS. No hay diferencia en el método de creación para todos ellos, pero difieren en términos de casos de uso. Estos tipos se explican en la siguiente sección.
Políticas basadas en la identidad
Las políticas basadas en la identidad se utilizan para gobernar los permisos para los usuarios de IAM en cuentas de AWS. Se pueden clasificar adicionalmente como políticas administradas que se pueden administrar AWS, que están fácilmente disponibles para que usted use sin ningún cambio, o puede crear políticas administradas por el cliente para dar un control preciso a un usuario específico en un recurso específico. Otros tipos de políticas basadas en la identidad son políticas en línea que adjuntamos directamente a un solo usuario o un rol.
Políticas basadas en recursos
Estos se aplican donde debe dar permiso para un servicio o recurso de AWS específico, por ejemplo, si desea dar acceso de escritura a un usuario para un cubo S3. Estos son un tipo de políticas en línea.
Límites de permisos
Los límites de permisos establecen el nivel máximo de permisos un usuario o grupo que puede obtener. Anulan las políticas basadas en la identidad, por lo que si un acceso particular es niega mediante un límite de permiso, entonces otorgar ese permiso a través de la política basada en la identidad no funcionará.
Políticas de control de servicio de organizaciones (SCPS)
Las organizaciones de AWS son un tipo especial de servicio utilizado para administrar todas las cuentas y permisos en su organización. Proporcionan control central para dar permisos a todas las cuentas de usuario de su organización.
Listas de control de acceso (ACL)
Estos son tipos específicos de políticas que se utilizan para permitir el acceso a sus servicios de AWS a otra cuenta de AWS. No puede usarlos para dar permisos a un principio de la misma cuenta, el principio o el usuario definitivamente necesita de otra cuenta de AWS.
Políticas de sesión
Estos se utilizan para dar permisos temporales a los usuarios durante un período de tiempo limitado. Para esto, debe crear un rol de sesión y aprobarle una política de sesión. Las políticas son generalmente políticas en línea o basadas en recursos.
Métodos para crear políticas de IAM
Para crear una política de IAM en AWS, puede elegir uno de los siguientes métodos:
En la siguiente sección vamos a explicar cada método en detalle.
Creación de la política de IAM utilizando la consola de gestión de AWS
Inicie sesión en su cuenta de AWS y en el tipo de barra de búsqueda superior IAM.
Seleccione la opción IAM en el menú de búsqueda, esto lo llevará a su tablero IAM.
En el menú del lado izquierdo, seleccione políticas para crear o administrar políticas en su cuenta de AWS. Aquí, puede buscar políticas administradas de AWS o simplemente hacer clic en Crear política en la esquina superior derecha para crear una nueva política.
Aquí en Crear política, obtienes dos opciones; O puede crear su política usando el editor visual o escribir un JSON definiendo la política de IAM. Para crear una política utilizando el editor visual, debe seleccionar el servicio AWS para el que desea crear una política, luego seleccione las acciones que desea permitir o negar. Después de eso, selecciona el recurso sobre el cual se aplicará esta política y, por fin, puede agregar una declaración condicional bajo la cual esta política es válida o no. Aquí, también debes agregar el efecto I.mi., O quieres permitir o negar estos permisos. Esta es una manera fácil de crear una política.
Si es amigable con la escritura de guiones y declaraciones JSON, puede elegir escribirlo usted mismo en formato JSON adecuado. Para esto, simplemente seleccione JSON en la parte superior y simplemente puede escribir la política, pero necesita un poco más de práctica y experiencia.
Creación de la política IAM utilizando la interfaz de línea de comandos (CLI)
Si desea crear una política de IAM utilizando AWS CLI, como la mayoría de los profesionales prefieren usar CLI Over Management Console, simplemente necesita ejecutar el siguiente comando en su AWS CLI.
$ AWS IAM CREATE-POLICY--Nombre de la policía--documento de políticas
La salida de esto sería la siguiente:
También puede crear el archivo JSON primero y luego solo ejecutar el siguiente comando para crear una política.
$ AWS IAM CREATE-POLICY--Nombre de la policía--documento de políticas
Entonces, de esta manera puede crear políticas de IAM utilizando la interfaz de línea de comandos.
Creación de la política IAM utilizando el generador de políticas de AWS
Este es un método simple para crear una política de IAM. Es similar a un editor visual donde no necesita escribir la política usted mismo. Solo necesita definir sus requisitos y generará su política de IAM.
Abra su navegador y busque el generador de políticas de AWS.
Primero, debe seleccionar el tipo de política, y en la siguiente sección debe proporcionar los elementos de la declaración JSON que incluyen efecto, principio, servicio de AWS, acciones y recursos ARN y opcionalmente, también puede agregar las declaraciones condicionales. Después de haber hecho todo esto, simplemente haga clic en el botón Agregar instrucción para generar la política.
Una vez que haya agregado la declaración, comenzará a aparecer en la sección a continuación. Para crear su política ahora, haga clic en Generar la política y obtendrá su política en formato JSON.
Ahora, simplemente debe copiar esta política y adjuntar al lugar donde desea.
Por lo tanto, ha creado con éxito una política de IAM utilizando el generador de políticas de AWS.
Conclusión
Las políticas de IAM son una de las partes más importantes de una estructura de nubes de AWS. Estos se utilizan para gobernar los permisos a todos los usuarios de la cuenta. Definen si un miembro puede acceder a un determinado recurso y servicio o no. Las políticas se generan a nivel mundial para que no tenga que definir su región. Uno nunca debe dar por sentado estas políticas y, como son los elementos centrales de seguridad y privacidad.