如何編寫有效的 IAM 政策
處理安全性時,身分識別與存取管理 (IAM) 概念是 AWS 服務中相當常用的機制,因此值得深入瞭解。IAM 由不同元件組成,對於初次使用的使用者來說可能非常複雜。本文目的是深入探索 IAM 及其概念,並制訂有效的 IAM 政策。
請務必牢記,IAM 與所有其他服務一樣,只是 AWS 必須提供的其中一項服務。不過,IAM 的效用就是以安全的方式整合這些服務。
什麼是 IAM 政策?
AWS IAM 是一項 Web 服務,可讓您安全管理使用者的 S3 資源存取權限。您可以使用 IAM 管理哪些人有權存取 AWS 資源 (認證)、可存取的資源以及資源存取方式 (授權)。
IAM 如何確保資源安全無虞?
您可以設定規則並與 IAM 身分 (使用者、使用者群組或角色) 建立關聯,藉此控管資源存取權限。政策是指定與身分或資源相關權限的物件。當 IAM 主體 (使用者或角色) 提交要求以有效實作規則時,大型儲存系統會檢查這些規則。政策中定義的權限決定允許或拒絕要求。大多數政策為 JSON 檔案。
IAM 規則會為活動執行方式以外的動作建立授權。如果政策允許 GetUser 動作,則具有該政策的使用者可透過 AWS 管理主控台、AWS CLI 或 AWS API 取得使用者資訊。建立 IAM 使用者時,您可以指定是否允許主控台或程式設計存取。如果允許主控台存取,IAM 使用者就能以使用者名稱和密碼登入。另一方面,如果允許程式設計存取,則使用者就能以存取金鑰使用 CLI 或 API。
IAM 政策如何最佳化 Seagate Lyve Cloud Storage?
Lyve Cloud 為 S3 物件儲存的補充元素。Seagate Lyve Cloud 為長期冷藏裝置增添安全性和可用性,並可與其他服務合作以加強備份和復原保護機制。IAM 政策可讓您在私人、公用、混合式及多重雲端環境中為 Lyve Cloud 儲存的個別物件自訂安全性措施和權限。
IAM 政策類型
AWS 提供的政策按照使用頻率由高到低顯示如下。若要進一步瞭解每個政策類別,請查看以下章節。
身分型政策
您可以將 IAM 身分連結至控管的內嵌政策 (使用者、使用者所屬群組或角色)。系統會透過身分型政策授予權限來進行識別。
資源型政策
您可以將資源連接至內嵌政策。最常見的資源型政策是與 S3 儲存貯體和 IAM 角色相關聯的政策。系統會透過資源型政策,將權限授予政策定義的主體。主體可能位於與資源相同或不同的帳戶中。
權限範圍
您可以運用代管政策來定義 IAM 實體 (使用者或角色) 的權限。這種政策會建立身分型政策可能提供給實體的最多權限,但不會發佈權限。權限範圍不會指定資源型政策可能發佈給物件的最多權限數。
Organizations SCP
您可以運用 AWS Organizations 服務控制政策 (SCP),設定組織或組織單位的帳戶成員可具備的最多權限數。SCP 會限制身分型或資源型規則提供給帳戶實體 (使用者或角色) 的權限,但不會授予權限。
存取控制清單 (ACL)
您可以使用 ACL 來限制其他帳戶主體存取資源。ACL 類似於資源型政策,卻是唯一不對政策文件使用 JSON 結構的政策形式。ACL 屬於橫跨多個帳戶並提供權限給指定主體的權限規則。無法使用 ACL 對屬於同一帳戶成員的實體授予權限。
工作階段政策
使用 AWS CLI 或 AWS API 假設角色或同盟使用者時,您可以傳遞進階工作階段規則。工作階段政策會依角色或使用者的身分型規則,限制授予工作階段的權限。這些政策定義與新建立的工作階段相關的權限,但不授予權限。
IAM 政策結構的重要元素
IAM 使用者
AWS IAM 使用者是您建立的實體,代表與 AWS 互動的任何人員或應用程式。AWS 使用者由名稱和認證組成。
具有管理員權限的 IAM 使用者與 AWS 帳戶根使用者不同。AWS 帳戶只會與一個 IAM 使用者相關聯。
IAM 身分
用於識別 IAM 資源並歸類的資源物件。政策可以附加到 IAM 身分。身分包括使用者、群組和角色。
IAM 資源
這類資源包含使用者、群組、角色、政策和身分識別提供者等物件。IAM 允許您新增、編輯和移除資源,與其他 AWS 服務一樣。
IAM 實體
AWS 使用 IAM 資源物件進行認證。其中包括 IAM 使用者和角色。
主體
以 AWS 帳戶根使用者、IAM 使用者或 IAM 角色登入 AWS 的應用程式或使用者。這包括同盟使用者和假設的角色。
角色
在 AWS 中,角色與使用者類似。因為角色是身分物件,且依據其權限政策來決定該身分所能執行的動作。不過角色與任何認證 (密碼或存取金鑰) 無關。任何人都能依需求來擔任個別角色,因此角色不會只由單一人員擔任。
如何編寫有效的 IAM 政策
您可以在 AWS 管理主控台中使用下列其中一種方法制訂客戶代管政策:
- JSON:貼上並修改已發佈的身分型政策範例。
- 視覺編輯器:使用視覺編輯器從頭開始建立新政策。如果使用視覺編輯器,則無需學習 JSON 語法。
- 匯入:從帳戶內匯入代管政策並修改。您可以匯入先前開發的 AWS 代管政策或客戶代管政策。
AWS 帳戶有 IAM 資源數量和容量限制。如需更多資訊,請查看 IAM 和 AWS STS 配額。
IAM 政策產生器:是否可以自動執行這個程序?
AWS Policy Generator 是一項工具,可用於開發規則來管理 AWS 產品和資源的存取。
新發行的 AWS Policy Generator 簡化目的為物件儲存的政策文件開發程序。首先,請選擇您要編寫的政策類型。
步驟 1:選取政策類型
政策內包含權限。可以建立下列類型的政策:IAM 政策、S3 儲存貯體政策、SNS 主題政策、VPC 端點政策及 SQS 佇列政策。
步驟 2:新增陳述式
陳述式會簡要敘述一個權限。請參閱下列可能用於陳述式的項目說明。
步驟 3:產生政策
加入陳述式後,即可產生政策。政策是一份以存取政策語言寫成的文件,包含一或多個陳述式。
