Начало работы с AWS (часть 11)

Опубликовано: 7 Марта, 2023
Начало работы с AWS (часть 11)

  • Начало работы с AWS (часть 2)
  • Начало работы с AWS (часть 3)
  • Начало работы с AWS (часть 4)
  • Начало работы с AWS (часть 5)
  • Начало работы с AWS (часть 6)
  • Начало работы с AWS (часть 7)
  • Начало работы с AWS (часть 8)
  • Начало работы с AWS (часть 9)
  • Начало работы с AWS (часть 10)
  • Начало работы с AWS (часть 12)
  • Начало работы с AWS (часть 13)
  • Начало работы с AWS (часть 14)

Введение

Мы изучили AWS Identity and Access Management (IAM) — веб-сервис, который позволяет создавать пользователей и управлять ими, а также назначать разрешения пользователей с помощью политик для управления доступом к облачной среде AWS. В предыдущих двух статьях этой серии мы сначала рассмотрели, как документы политик используются для определения политик, которые вы можете использовать для управления доступом к ресурсам в вашей среде AWS, а затем мы рассмотрели, как вы можете создать пользовательскую политику, скопировав существующую. Управляемая политика AWS и использование ее в качестве отправной точки или шаблона. В этой следующей статье мы рассмотрим два других способа создания настраиваемых политик, чтобы вы могли более детально контролировать ресурсы в вашей среде AWS, чем существующие политики, управляемые AWS, позволяют по умолчанию.

Способ 2: Генератор политик

Как мы упоминали в предыдущей статье этой серии, генератор политик — это инструмент, похожий на мастера, который позволяет вам создавать пользовательскую политику на основе служб, доступ к которым будет контролировать политика, и действий, которые должны быть разрешены пользователями или группами, к которым полис прилагается. Вы можете запустить генератор политик, нажав кнопку «Создать политику» на странице «Политики» консоли IAM, а затем нажав кнопку «Выбрать», показанную на рисунке 1 ниже:

Рисунок 1: Шаг 1 создания новой политики с помощью параметра «Генератор политик».

В этом пошаговом руководстве мы будем использовать генератор политик для создания новой настраиваемой политики, которая позволит пользователям и группам пользователей, на которых распространяется эта политика, получать доступ к платежной информации AWS для любых ресурсов, работающих в веб-сервисе Amazon Elastic Compute Cloud (EC2) в вашей среде AWS. Для этого вы начнете с настройки параметров политики на странице мастера редактирования разрешений, показанной здесь:

Рисунок 2: Шаг 2 создания новой политики с помощью параметра «Генератор политик».

Поскольку мы хотим предоставить целевым пользователям и группам доступ к платежной информации AWS, мы оставим для параметра «Эффект» значение «Разрешить», которое используется по умолчанию.

Если щелкнуть элемент управления списком сервисов AWS, отобразится диапазон различных сервисов AWS, которые можно выбрать для создания пользовательской политики:

Рисунок 3: Шаг 3 создания новой политики с помощью параметра «Генератор политик».

Поскольку мы хотим, чтобы наша новая политика предоставляла пользователям доступ к ресурсам EC2, мы выберем Amazon EC2 в качестве сервиса AWS на странице «Редактировать разрешения» (см. рисунок ниже). Если щелкнуть элемент управления списком действий, отобразятся дополнительные параметры для нашей политики:

Рисунок 4: Шаг 4 создания новой политики с помощью параметра «Генератор политик».

Прежде чем мы пойдем дальше, давайте кратко поговорим об именах ресурсов Amazon (ARN), поскольку нам нужно указать это, когда мы используем генератор политик для создания новой политики.

В стороне от имен ресурсов Amazon (ARN)

Ресурсы в облаке AWS обычно идентифицируются двумя способами: по понятному имени и по имени ресурса Amazon (ARN). Хотя понятные имена определяются пользователем, в ARN используется стандартизированный формат, который однозначно идентифицирует ресурс в облаке AWS. Хорошим примером этого являются учетные записи пользователей IAM.

Еще в части 6 этой серии мы создали учетную запись пользователя с именем Bob_Smith и сделали эту учетную запись членом созданной нами новой группы под названием «Администраторы», которая предоставила своим членам полные административные привилегии над ресурсами в вашей среде AWS (за исключением специальных привилегий, таких как доступ к вашей Платежная информация).

Если мы выберем страницу «Пользователи» в консоли IAM и щелкнем пользователя Bob_Smith, мы сможем открыть страницу, которая отображает свойства этого пользователя, как показано здесь:

Рисунок 5: Подробная информация о свойствах пользователя IAM Bob_Smith.

На приведенном выше снимке экрана показано, что этого пользователя IAM можно идентифицировать двумя способами в вашей среде AWS:

  • По его дружественному имени
  • По его ARN, имеющему форму

Общий формат IAM ARN выглядит следующим образом:

Здесь идентифицирует продукт AWS (в данном примере это ), — это регион, в котором находится ресурс (это всегда остается пустым для ресурсов IAM), — это строка чисел, представляющая идентификатор вашей учетной записи AWS, а — это строка. который идентифицирует конкретный ресурс, к которому вы пытаетесь получить доступ, по имени и пути.

Теперь давайте вернемся к нашему пошаговому руководству с использованием генератора политик и закончим создание нашей новой политики.

Использование генератора политик (продолжение)

Поскольку мы хотим, чтобы эта политика позволяла целевым пользователям иметь доступ ко всем без исключения ресурсам, относящимся к облачной службе Amazon EC2, мы выберем All Actions Selected в списке Actions, как показано на следующем рисунке:

Рисунок 6: Шаг 5 создания новой политики с помощью параметра «Генератор политик».

Затем мы укажем подстановочный знак («*») в текстовом поле имени ресурса Amazon (ARN), как показано ниже. Как видно из информации в нижней части следующего снимка экрана, указание подстановочного знака в этом текстовом поле приводит к тому, что наша новая политика применяется к любым ресурсам, имеющим следующий ARN:

arn:aws:ec2:us-east-1:<numeric_string>:instance/*

Как видно из этого ARN, регион us-east-1 в настоящее время связан с учетной записью AWS, используемой для этого пошагового руководства. Кроме того, строка instance/* указывает, что политика будет применяться ко всем экземплярам (виртуальным машинам), работающим в этом регионе EC2 и принадлежащим используемой учетной записи AWS.

Рисунок 7: Шаг 6 создания новой политики с помощью параметра «Генератор политик».

Нажав кнопку «Следующий шаг», мы перейдем на страницу «Обзор политики», где мы можем подробно изучить JSON, который будет использоваться для определения нашей новой политики:

Рис. 8. Шаг 7 создания новой политики с помощью параметра «Генератор политик».

Наконец, нажатие кнопки «Создать политику» приводит к созданию новой пользовательской политики.

Способ 3: создайте собственную политику

Третий способ создания новой пользовательской политики — использование редактора политик. Это запускается нажатием кнопки «Выбрать» рядом с «Создать собственную политику», как показано внизу этого снимка экрана:

Рисунок 9: Шаг 1 создания новой политики с помощью параметра «Создать собственную политику».

Страница «Просмотр политики» — это редактор политики, и здесь вы можете указать понятное имя и описание для своей политики, а затем либо ввести, либо скопировать/вставить в текстовое поле «Документ политики» JSON, который будет использоваться для определения вашей новой политики:

Рисунок 10: Шаг 2 создания новой политики с помощью параметра «Создать собственную политику».

Очевидно, что для использования редактора политик вам необходимо хорошо понимать синтаксис JSON, который мы кратко описали в части 9 этой серии. После того, как вы ввели или скопировали JSON для своей политики, обязательно нажмите кнопку «Проверить политику», чтобы проверить, есть ли какие-либо синтаксические ошибки в вашем JSON. Это всегда следует делать до того, как вы попытаетесь нажать кнопку «Создать политику», иначе вы можете получить поврежденную политику, применение которой к пользователям или группам может привести к непредвиденным результатам.

  • Начало работы с AWS (часть 2)
  • Начало работы с AWS (часть 3)
  • Начало работы с AWS (часть 4)
  • Начало работы с AWS (часть 5)
  • Начало работы с AWS (часть 6)
  • Начало работы с AWS (часть 7)
  • Начало работы с AWS (часть 8)
  • Начало работы с AWS (часть 9)
  • Начало работы с AWS (часть 10)
  • Начало работы с AWS (часть 12)
  • Начало работы с AWS (часть 13)
  • Начало работы с AWS (часть 14)
Облачные вычисления

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Вопросы безопасности для облачных вычислений (часть 5) — быстрая эластичность
9 Марта, 2023
Использование Hyper-V для создания частного облака (часть 6)
9 Марта, 2023
Начало работы с VMware vCloud Director (часть 1)
9 Марта, 2023
Вопросы безопасности для облачных вычислений (часть 4) — объединение ресурсов
9 Марта, 2023
Сценарии развертывания облачной сетевой инфраструктуры Microsoft с Windows Server 8 (часть 1) — традиционный центр обработки данных
9 Марта, 2023
Вопросы безопасности для облачных вычислений (часть 3) — широкий доступ к сети
9 Марта, 2023
Использование Hyper-V для создания частного облака (часть 5)
9 Марта, 2023
System Center 2012 и управление облаком
9 Марта, 2023