Начало работы с AWS (часть 12)

Опубликовано: 7 Марта, 2023
Начало работы с AWS (часть 12)

  • Начало работы с AWS (часть 2)
  • Начало работы с AWS (часть 3)
  • Начало работы с AWS (часть 4)
  • Начало работы с AWS (часть 5)
  • Начало работы с AWS (часть 6)
  • Начало работы с AWS (часть 7)
  • Начало работы с AWS (часть 8)
  • Начало работы с AWS (часть 9)
  • Начало работы с AWS (часть 10)
  • Начало работы с AWS (часть 11)
  • Начало работы с AWS (часть 13)
  • Начало работы с AWS (часть 14)

Введение

Давайте начнем с краткого обзора того, что мы уже рассмотрели в этой короткой серии статей о том, как начать работу с Amazon Web Services (AWS):

  • В части 1 описывался уровень бесплатного использования Amazon Web Services (AWS) и то, как вы можете подписаться на него, чтобы иметь возможность тестировать AWS в течение 12 месяцев.
  • Во второй части были рассмотрены различные инструменты управления и разработки, предоставляемые Amazon для создания облачных ресурсов и управления ими в AWS.
  • В части 3 описаны некоторые шаги, которые вы можете использовать для защиты своей учетной записи AWS в случае взлома вашей учетной записи.
  • В части 4 был представлен AWS Identity and Access Management (IAM) — веб-сервис, который позволяет создавать пользователей и управлять ими, а также назначать разрешения пользователей для вашей облачной среды AWS.
  • В части 5 описаны функции консоли IAM и создание удобного псевдонима для идентификатора вашей учетной записи AWS, чтобы убедиться, что вы не сгенерировали никаких ключей доступа для своей корневой учетной записи AWS.
  • В части 6 показано, как создать нового пользователя с правами администратора, чтобы использовать этого пользователя вместо корневой учетной записи для управления средой AWS.
  • В части 7 рассматривалось, как внедрить многофакторную аутентификацию (MFA) для добавления дополнительного уровня защиты вашей корневой учетной записи AWS и учетным записям пользователей IAM, а также обсуждались преимущества и недостатки использования MFA для защиты учетных записей AWS, особенно вашей корневой учетной записи.
  • В части 8 было рассмотрено, как можно использовать политики IAM для назначения разрешений на управление доступом к ресурсам AWS.
  • В части 9 объяснялось, как документы политик используются для определения политик, которые можно использовать для управления доступом к ресурсам в вашей среде AWS.
  • В части 10 показано, как создавать собственные политики для более детального контроля над ресурсами в вашей среде AWS.
  • В части 11 были рассмотрены некоторые дополнительные способы создания настраиваемых политик для более детального контроля над ресурсами в вашей среде AWS.

Итак, что касается AWS Identity and Access Management (IAM), мы рассмотрели, как создавать пользователей, группы и политики IAM и управлять ими. Что мы еще не рассмотрели, так это роли IAM, поэтому давайте рассмотрим эту тему сейчас.

Что такое роли?

Хотя вы можете использовать политики для назначения разрешений группам или отдельным пользователям, чтобы предоставить или запретить им доступ к ресурсам AWS, бывают случаи, когда этого недостаточно. Например, допустим, вы хотите разрешить пользователю, которого вы создали в своей собственной среде AWS, доступ к ресурсу в другой среде AWS, который связан с другой учетной записью AWS.

Простой сценарий, в котором это может понадобиться, — это если в вашей организации есть две учетные записи AWS, одна с именем «Разработка», а другая — «Производство». Пользователи в вашей среде разработки могут создавать и тестировать новые приложения и службы. Затем, после завершения тестирования, вы хотите иметь возможность предоставить приложение или службу в рабочей среде, чтобы они работали там, чтобы ваш бизнес мог их использовать.

Для этого вы можете создать роль в производственной среде, которая предоставляет пользователям или группам, использующим эту роль, разрешения, необходимые им для создания, настройки и управления приложением или службой, когда они находятся в производственной среде. По сути, здесь вы будете делегировать разрешения, действующие в одной учетной записи AWS, чтобы пользователи другой учетной записи AWS могли использовать эти разрешения, когда они необходимы.

Типы ролей

Вы можете создать новую роль, выбрав страницу «Роли» в консоли IAM и нажав кнопку «Создать новую роль», как показано на следующем рисунке:

Рисунок 1. Новые роли можно создавать с помощью страницы «Роли» в консоли IAM.

На первой странице мастера создания роли всегда предлагается начать с указания имени для новой роли:

Рисунок 2: Вы должны начать с указания имени для новой роли, которую вы создаете.

После того, как вы назвали свою новую роль, у вас есть три варианта, которые вы можете выбрать для типа новой роли, которую вы создадите. Вот эти три варианта:

  • Сервисные роли AWS
  • Роли для доступа между учетными записями
  • Роли для доступа к поставщику удостоверений

Давайте рассмотрим каждый из этих трех типов ролей.

Сервисные роли AWS

Роли сервиса AWS можно использовать, когда нужно делегировать разрешения сервису AWS, например сервису Amazon Elastic Cloud (EC2). На рис. 3 ниже показано, как можно использовать шаг 2 мастера создания роли, чтобы выбрать сервис AWS, которому вы хотите делегировать разрешения с новой ролью:

Рис. 3. Различные типы сервисных ролей AWS, которые можно создать с помощью мастера создания ролей в IAM.

После того как вы выберете сервис AWS на этой странице, мастер перейдет к шагу 4, где вы сможете прикрепить к своей новой роли до двух политик IAM.

Роли для доступа между учетными записями

Второй тип роли, которую вы можете создать, — это доступ к нескольким учетным записям. Это роли, которые можно использовать для делегирования доступа пользователей IAM к указанным ресурсам AWS. Примером здесь может служить описанный ранее сценарий разработки/производства, когда в вашей организации есть две учетные записи AWS, и вы хотите создать роль, которая предоставит пользователям одной учетной записи доступ к ресурсам другой учетной записи. Однако, как показано на рис. 4 ниже, вы также можете создавать роли доступа между учетными записями, которые позволяют пользователям учетной записи AWS из другой организации, над которой вы сами не имеете полномочий, получать доступ к ресурсам в вашей собственной учетной записи AWS:

Рисунок 4. Различные типы ролей для доступа между учетными записями, которые можно создать с помощью мастера создания роли в IAM.

Допустим, например, что вы владеете обеими учетными записями AWS. В этом случае вы выберете вариант «Предоставить доступ между вашими учетными записями AWS» на рисунке выше. Это приведет вас к шагу 3, где вас попросят ввести 12-значный идентификатор учетной записи AWS, в которой проживают пользователи IAM, роль которых вы будете использовать для предоставления доступа к вашей текущей среде AWS (учетная запись AWS, в которой вы создаете роль). Идентификатор учетной записи необходим для установления доверительных отношений с другой средой. После установления доверия с другой учетной записью вы выбираете до двух политик и завершаете создание роли.

Роли для доступа к поставщику удостоверений

Последний тип роли, который вы можете создать, — это роль для доступа к поставщику удостоверений. Вы создаете роль такого типа, когда хотите предоставить пользователям в среде, отличной от AWS, возможность доступа к ресурсам в вашей учетной записи AWS. Термин для такого рода вещей - федерация. Другими словами, вы создаете роли доступа поставщика удостоверений, чтобы установить федерацию между вашей учетной записью AWS (где находятся ваши ресурсы) и другой службой удостоверений, такой как Google, Facebook или Amazon Cognito.

AWS поддерживает федерацию с любым поставщиком удостоверений, соответствующим стандарту Open ID. Однако, как показано на рисунке ниже, вы также можете использовать роли доступа поставщика удостоверений для предоставления доступа к ресурсам AWS с помощью единого входа в Интернет (WebSSO) или языка разметки утверждений безопасности (SAML), поэтому существует большая гибкость в том, как вы можете использовать роли для интеграции AWS в существующую среду, которая поддерживает любой из этих стандартов идентификации.

Рисунок 5. Различные типы ролей для доступа к поставщику удостоверений, которые можно создать с помощью мастера создания роли в IAM.

Все, что потребуется, — это указать на шаге 3 сведения о поставщике удостоверений, чтобы мастер создания роли мог установить доверительные отношения между вашей учетной записью AWS и другой средой, в которой находятся пользователи, которым необходим доступ к вашим ресурсам AWS.

  • Начало работы с AWS (часть 2)
  • Начало работы с AWS (часть 3)
  • Начало работы с AWS (часть 4)
  • Начало работы с AWS (часть 5)
  • Начало работы с AWS (часть 6)
  • Начало работы с AWS (часть 7)
  • Начало работы с AWS (часть 8)
  • Начало работы с AWS (часть 9)
  • Начало работы с AWS (часть 10)
  • Начало работы с AWS (часть 11)
  • Начало работы с AWS (часть 14)