Что такое AWS IAM? Краткое введение

Что такое AWS IAM?

Управление идентификацией и доступом (IAM) — это служба для управления пользователями, разрешениями пользователей и учетными данными безопасности, такими как ключи доступа в AWS. Благодаря всем этим функциям с помощью IAM вы можете предоставить общий доступ к своему аккаунту AWS. Вы также можете создать доступ к нескольким учетным записям (учетные записи разработчиков, предварительные учетные записи, рабочие учетные записи).

Идентификационные данные IAM

Тип пользователей с IAM

В IAM есть разные типы пользователей:

  • Корневой пользователь: учетная запись, с которой вы зарегистрировались при создании учетной записи AWS. Amazon рекомендует не использовать эту учетную запись для повседневных операций. Вам следует создать учетную запись администратора IAM, если вам нужен полный административный доступ.
  • Пользователь IAM: вы можете создавать своих собственных пользователей, следуя принципу наименьших привилегий. Когда вы создаете пользователя IAM, ему нужно будет войти в систему по специальному URL-адресу, разработанному для вашей учетной записи AWS.

Группы с IAM

Вы также можете создавать группы, которые позволяют назначать разрешения коллекции пользователей. У вас может быть группа разработчиков, группа администраторов базы данных и так далее. Обратите внимание, что группы допускают наследование разрешений.

Рекомендуется использовать группы для назначения разрешений, а не назначать их непосредственно пользователям.

Аутентификация с помощью IAM

Существует три способа аутентификации пользователя IAM:

  • Имя пользователя/пароль: это, вероятно, самый очевидный способ аутентификации пользователя IAM.
  • Ключ доступа. Имея идентификатор ключа доступа и секретный ключ, вы можете пройти аутентификацию в AWS.
  • Ключ доступа/токен сеанса: это позволяет вам временно аутентифицироваться с помощью токена сеанса и вашего ключа доступа.

IAM-роли

Роль IAM похожа на пользователя, однако с ней не связаны никакие учетные данные (пароль или ключи доступа). Пользователь IAM может иметь роль для временного владения различными разрешениями для конкретной задачи и определенной продолжительности.

IAM-политики

Политики могут предоставлять или отказывать им в разрешении на выполнение определенной задачи в AWS. Они могут быть привязаны к пользователям, группам или ролям. Политики представлены в виде объектов JSON.

Вот пример:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "ec2:Describe*",
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": "elasticloadbalancing:Describe*",
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "cloudwatch:ListMetrics",
        "cloudwatch:GetMetricStatistics",
        "cloudwatch:Describe*"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": "autoscaling:Describe*",
      "Resource": "*"
    }
  ]
}

Если вы хотите узнать, как редактировать политики IAM, я написал статью, в которой объясняю, как редактировать политики корзины S3: https://florianbouron.medium.com/introduction-to-amazon-simple-storage- сервис-s3-5d0cc31237e?sk=de39f5a8181e31a2984111bf6f429465

Дополнительные материалы на plainenglish.io