Управление группой IAM

Создание группы IAM

Вы можете создать одну или несколько групп IAM под своей учетной записью пользователя. С помощью групп IAM удобно управлять правами пользователей IAM: пользователи IAM, которых вы добавите в состав группы IAM, унаследует права S3 и IAM, которые вы связали с группой.

Примечание
При создании новой группы IAM по умолчанию у нее нет доступа к службе S3. Вам нужно будет выдать ей доступ после создания

Чтобы создать новую группу IAM под своей учетной записью пользователя, сделайте следующее:

1. Перейдите в раздел IAM → IAM Group.

2. На странице Manage IAM Group нажмите Add New Group.

3. В открывшемся окне заполните информацию о группе:

  • Group Name (обязательное)
    • Допустимы только буквы, цифры, тире и знаки подчеркивания.
    • Каждая группа IAM под одной родительской учетной записью пользователя должна иметь уникальное имя.
  • Path (необязательное)
    • Путь - это необязательный способ идентификации положения группы в организационной структуре. Например, если имя группы "Quality_Assurance", вы можете указать такой путь, как "/MyCompany/Engineering/" (если группа QA является частью инженерного подразделения вашей компании).
    • Путь не влияет на привилегии группы или на то, какие пользователи могут быть включены в группу.

4. Нажмите Save.

Управление существующими группами IAM

На странице Manage IAM Group по умолчанию все ваши группы будут перечислены в алфавитном порядке, причем одновременно будут отображаться 10 групп. Вы можете перемещаться по алфавитному списку, по 10 групп за раз, используя кнопки Next и Previous в правом нижнем углу.

Также вы можете использовать поле Search для поиска группы. Чтобы найти конкретную группу, введите ее название. Чтобы искать среди названий или путей групп (если вы их указывали), введите часть названия или пути в поле.

Когда нужная группа отобразится в списке, щелкните ее имя. Откроется окно Manage IAM Group для группы.

На этой странице вы можете управлять правами группы и членством пользователей в группе.

Примечание
Вы также можете изменить имя группы или путь к ней, нажав Edit Group.

Управление членством пользователя в группе IAM

Пользователь IAM может быть членом одной или нескольких групп IAM. Когда пользователь IAM входит в группу, он наследует разрешения, связанные с этой группой. Вы можете управлять членством пользователя в группе либо со страницы Manage IAM Group, либо со страницы Manage IAM User.

Чтобы управлять членством пользователя в группе со страницы Manage IAM Group:

1. Перейдите на вкладку IAM Users.

2. Нажмите Add IAM User.

3. Щелкните в поле Name of the IAM User и выберите пользователя из выпадающего списка. В списке отображаются все пользователи IAM, созданные под вашей учетной записью, которые в настоящее время не принадлежат к данной группе IAM.

Если под вашей учетной записью много пользователей IAM и вы хотите отфильтровать выпадающий список, введите что-нибудь в поле. Это сократит выпадающий список, ограничив его пользователями, имена которых совпадают с введенным текстом.


4. После выбора пользователя из списка нажмите Add. Пользователь появится в списке пользователей, входящих в группу.

Чтобы удалить пользователя из группы IAM, в списке пользователей, входящих в группу, в колонке Actions пользователя нажмите Delete from Group.

Управление правами группы IAM

Группы IAM создаются для того, чтобы выдать им определенные права, которые будут унаследованы всеми членами группы. К каждой группе IAM можно прикрепить одну или несколько политик IAM. Если к группе прикреплено несколько политик, то члены группы наследуют все разрешения и запреты этих политик. Если в политиках существуют конфликты, например, одна политика разрешает определенное действие, а другая политика его запрещает, то приоритет имеет запрет, и пользователю не разрешается выполнять это действие.

При добавлении политики в группу вы можете либо прикрепить существующую управляемую политику (многократно используемую политику, которую вы уже создали на странице Manage IAM Policy) к группе, либо создать встроенную политику для группы (политику специально для этой группы, которая “встраивается” в группу). Встроенная политика может пригодиться, если вы хотите создать политику только для конкретной группы и быть уверенным, что никакая другая группа или пользователь никогда не будут использовать эту политику.

Чтобы добавить политику в группу IAM, сделайте следующее:

1. На странице Manage IAM Group перейдите на вкладку IAM Policies.

2. Нажмите Add IAM Policy.

3. В открывшемся окне выберите, какую политику прикрепить к группе.

  • Прикрепить существующую управляемую политику к группе: выберите Managed Policy, щелкните в поле Name of the IAM Policy, выберите политику из раскрывающегося списка и нажмите Add.
  • Создать новую встроенную политику для группы: выберите Inline Policy, укажите имя политики, а затем щелкните в поле Policy Document, чтобы открыть редактор создания политики. Подробнее о работе с этим редактором см. в разделе Создание управляемой политики IAM. Хотя этот шаг взят из инструкции по созданию управляемой политики, функциональность редактора встроенной политики такая же.

После прикрепления управляемой или встроенной политики к группе, пользователи в группе получат разрешения, определенные этой политикой.

Редактирование встроенной политики группы

На вкладке IAM Policies в окне Manage IAM Group отображается список политик, которые в настоящее время связаны с группой. Чтобы отредактировать встроенную политику, справа от названия политики нажмите View Document. Откроется окно IAM Policy Document Detail с описанием политики.

Чтобы отредактировать политику, щелкните в поле Policy Document, внесите свои правки, затем нажмите Save. Разрешения пользователей группы будут обновлены в соответствии с изменениями.

Примечание
Система не поддерживает редактирование управляемых политик. Редактирование поддерживается только для встроенных политик

Удаление политики для пользователя

На вкладке IAM Policies в окне Manage IAM Group отображается список политик, которые в настоящее время связаны с группой. Чтобы удалить политику, в столбце Actions нажмите Detach from Group (для управляемой политики) или Delete from Group (для встроенной политики).

При удалении политики из группы IAM члены группы теряют все права и доступы, которые давала удаленная политика.

Удаление группы IAM

Перед удалением группы IAM необходимо:

  • Удалить всех пользователей IAM, которые находятся в группе. Вам не нужно удалять пользователей IAM из системы - вам нужно только удалить их из группы.
  • Удалить все встроенные политики, прикрепленные к группе.

Чтобы удалить группу IAM, сделайте следующее:

1. Найдите группу в разделе Manage IAM Group. При необходимости используйте поиск по названию/пути группы.

2. В столбце Actions напротив группу, которую вы хотите удалить, нажмите Delete

3. Подтвердите, что вы хотите удалить группу.

Телеграм канал
Салатовая телега
Полезные статьи и анонсы бесплатных вебинаров про дата-центры, облака, ИБ и телеком