Como criar políticas de IAM na AWS

Como criar políticas de IAM na AWS
Para gerenciar as permissões para usuários e grupos de usuários do IAM, precisamos anexar políticas com eles. Essas políticas definem se um determinado usuário pode acessar um recurso específico em uma conta da AWS ou se um usuário pode fazer alterações em um serviço específico ou não.

Na AWS, você pode anexar uma política a um grupo que chamamos de política de grupo ou você pode anexar uma política diretamente a um usuário do IAM que é chamado como Política em linha. Geralmente, o método de política do grupo é preferido, pois isso permite que os administradores gerenciem e revisem facilmente as permissões do usuário. Se necessário, várias políticas podem ser anexadas a um único usuário ou grupo.

Há uma grande coleção de políticas disponíveis no console da AWS IAM, do qual você pode usar qualquer política de acordo com seus requisitos e essas políticas são chamadas Políticas gerenciadas da AWS. Mas muitas vezes em um determinado momento, você pode ser obrigado a definir permissões aos usuários de acordo com suas próprias necessidades para as quais você terá que criar uma política de IAM por conta própria.

A IAM Policy é um documento JSON (Javascript Object) que contém versão, ID e instrução. A declaração contém ainda SID, efeito, diretor, ação, recurso e condição. Esses elementos têm os seguintes papéis em uma política de IAM.

Versão: Simplesmente define a versão do idioma da política que você está usando. Geralmente, é estático e atualmente seu valor é 2012-10-17.

Declaração: É o principal corpo de uma política que define qual permissão é permitida ou negada a qual usuário para qual recurso. Uma política pode incluir mais de uma declaração.

Efeito: Pode ter um valor permitir ou negar dizer que você deseja dar esse acesso a um usuário ou deseja bloquear o acesso.

Diretor: Indica os usuários ou funções às quais a política específica se aplicará. Não é necessário em todos os casos.

Ação: Aqui descrevemos o que vamos permitir ou negar ao usuário. Essas ações são predefinidas pela AWS para cada serviço.

Recurso: Isso define o serviço ou recurso da AWS sobre o qual a ação será aplicada. É necessário em alguns casos ou pode ser opcional às vezes.

Doença: Este também é um elemento opcional. Simplesmente define certas condições sob as quais a política vai agir.

Tipos de políticas

Existem diferentes tipos de políticas que podemos criar na AWS. Não há diferença no método de criação para todos eles, mas eles diferem em termos de casos de uso. Esses tipos são explicados na seção a seguir.

Políticas baseadas em identidade

Políticas baseadas em identidade são usadas para governar permissões para usuários do IAM em contas da AWS. Eles podem ser classificados ainda mais como políticas gerenciadas que podem ser gerenciadas da AWS, que estão prontamente disponíveis para você usar sem nenhuma alteração, ou você pode criar políticas gerenciadas pelo cliente para dar controle preciso a um usuário específico sobre um recurso específico. Outros tipos de políticas baseadas em identidade são políticas embutidas que anexamos diretamente a um único usuário ou uma função.

Políticas baseadas em recursos

Eles são aplicados onde você precisa dar permissão para um serviço ou recurso específico da AWS, por exemplo. Estes são um tipo de políticas embutidas.

Limites de permissões

Limites de permissões definem o nível máximo de permissões um usuário ou grupo que eles podem obter. Eles substituem as políticas baseadas em identidade, portanto, se um acesso específico for negado por um limite de permissão, conceder essa permissão por meio da política baseada em identidade não funcionará.

Organizações Políticas de Controle de Serviço (SCPs)

As organizações da AWS são um tipo especial de serviço usado para gerenciar todas as contas e permissões em sua organização. Eles fornecem controle central para fornecer permissões a todas as contas de usuário em sua organização.

Listas de controle de acesso (ACLs)

Esses são tipos específicos de políticas que são usadas para permitir o acesso aos seus serviços da AWS em outra conta da AWS. Você não pode usá -los para dar permissões a um princípio da mesma conta, o princípio ou o usuário definitivamente precisa de outra conta da AWS.

Políticas de sessão

Eles são usados ​​para dar permissões temporárias aos usuários por um período limitado de tempo. Para isso, você precisa criar uma função de sessão e passar uma política de sessão para ela. As políticas geralmente são políticas em linha ou baseadas em recursos.

Métodos para criar políticas de IAM

Para criar uma política do IAM na AWS, você pode escolher entre um dos seguintes métodos:

  • Usando o AWS Management Console
  • Usando CLI (interface da linha de comando)
  • Usando o gerador de políticas da AWS

Na seção seguinte, vamos explicar cada método em detalhes.

Criando política de IAM usando o AWS Management Console

Faça login na sua conta da AWS e no tipo de barra de pesquisa IAM.

Selecione a opção IAM no menu de pesquisa, isso o levará ao seu painel IAM.

No menu do lado esquerdo, selecione Políticas para criar ou gerenciar políticas em sua conta da AWS. Aqui, você pode procurar políticas gerenciadas da AWS ou apenas clicar em Criar política no canto superior direito para criar uma nova política.

Aqui em Create Policy, você obtém duas opções; Você pode criar sua política usando o visual editor ou escrever um json definindo a política do IAM. Para criar uma política usando o Visual Editor, você precisa selecionar o serviço da AWS para o qual deseja criar uma política e selecionar as ações que deseja permitir ou negar. Depois disso, você seleciona o recurso sobre o qual esta política será aplicada e, finalmente, você pode adicionar uma declaração condicional sob a qual esta política é válida ou não. Aqui, você também precisa adicionar o efeito que eu.e., ou você deseja permitir ou negar essas permissões. Esta é uma maneira fácil de criar uma política.

Se você é amigável em escrever scripts e declarações JSON, pode optar por escrevê -lo em formato JSON adequado. Para isso, basta selecionar JSON no topo e você pode simplesmente escrever a política, mas precisa de um pouco mais de prática e experiência.

Criação da política do IAM usando a interface da linha de comando (CLI)

Se você deseja criar uma política do IAM usando a AWS CLI, pois a maioria dos profissionais prefere usar o CLI sobre o console de gerenciamento, basta executar o seguinte comando em sua AWS CLI.

$ aws iam create-policy-policy-name --documento político

A saída disso seria a seguinte:

Você também pode criar o arquivo json primeiro e depois executar o seguinte comando para criar uma política.

$ aws iam create-policy-policy-name --documento político

Então, assim você pode criar políticas de IAM usando a interface da linha de comando.

Criando política de IAM usando o gerador de políticas da AWS

Este é um método simples de criar uma política de IAM. É semelhante a um editor visual onde você não precisa escrever a política. Você só precisa definir seus requisitos e obterá sua política de IAM gerada.

Abra seu navegador e procure por gerador de políticas da AWS.

Primeiro, você precisa selecionar o tipo de política e, na próxima seção, você precisa fornecer os elementos da declaração JSON que incluem efeito, princípio, serviço da AWS, ações e recursos ARN e, opcionalmente, você também pode adicionar as instruções condicionais. Depois de fazer tudo isso, basta clicar no botão Adicionar instrução para gerar a política.

Depois de adicionar a declaração, ele começará a aparecer na seção abaixo. Para criar sua política agora, clique em gerar política e você obterá sua política no formato JSON.

Agora, você precisa simplesmente copiar esta política e anexar ao local onde deseja.

Então, você criou com sucesso uma política do IAM usando o AWS Policy Gerator.

Conclusão

As políticas de IAM são uma das partes mais importantes de uma estrutura de nuvem da AWS. Eles são usados ​​para governar as permissões para todos os usuários na conta. Eles definem se um membro pode acessar um determinado recurso e serviço. As políticas são geradas globalmente para que você não precise definir sua região. Nunca se deve tomar essas políticas como garantidas e, como elas são os principais elementos da segurança e privacidade.