Управление политиками IAM

Управляемая политика IAM - это независимая, многократно используемая политика, которую можно прикрепить к нескольким группам IAM и/или нескольким отдельным пользователям IAM. В большинстве случаев управляемые политики являются лучшим способом выдачи доступов группам и пользователям IAM.

Встроенная политика IAM - это политика, которую вы создаете для одной конкретной группы IAM или одного конкретного пользователя IAM. Эта политика существует исключительно как часть профиля этой группы или пользователя, и не может быть применена к другим группам или пользователям. Встроенная политика может пригодиться, если вы хотите создать политику только для конкретного пользователя и быть уверенным, что никакая другая группа или пользователь никогда не будут использовать эту политику.

Встроенные политики создаются на страницах управлением пользователем/группой (Manage IAM User или Manage IAM Group соответственно) и описаны в предыдущих разделах.

Страница Manage IAM Policy предназначена для создания и работы с управляемыми политиками IAM.

Создание управляемой политики IAM

Примечание
При создании новой управляемой политики IAM она не прикрепляется автоматически ни к одной из ваших групп или пользователей IAM. Вы должны прикрепить ее самостоятельно.

Чтобы создать новую управляемую политику IAM под своей учетной записью пользователя, сделайте следующее:

1. Перейдите на страницу IAM → IAM Policy.

2. На странице Manage IAM Policy нажмите Add New Policy.

3. Заполните поля в открывшейся панели:

  • Policy Name (обязательное)
    • Допускаются только буквы, цифры, тире и знаки подчеркивания
    • Имя должно быть уникальным для вашей учетной записи.
  • Path (необязательное)
    • Путь — это необязательный способ идентификации политики структуре организации. Например, если вы создаете политику для группы инженеров, вы можете указать путь "/MyCompany/Engineering/".
  • Policy Description (необязательное)
    • Описание политики, в котором вы можете кратко описать, какими доступами она управляет и для чего нужна.

4. Щелкните в поле Policy Document, чтобы открыть редактор Create Policy.

5. С помощью редактора Create Policy настройте права и доступы, которые будет выдавать эта политика.

  • В редакторе есть две вкладки: визуальный редактор (подходит для большинства пользователей, создающих политику) и редактор JSON (для опытных пользователей, предпочитающих писать политику непосредственно с помощью JavaScript Object Notation).
  • В визуальном редакторе:
    1. С помощью переключателя Switch to [S3/IAM] в правом верхнем углу редактора выберите, какими доступами будет управлять политика: S3 (например, создание бакетов и загрузка объектов) или IAM (например, создание групп и пользователей IAM).

      Поскольку действия S3 и IAM, перечисленные в редакторе, совместимы с API Amazon Web Services (AWS), вы можете обратиться к онлайн-документации AWS S3 или IAM, если вам нужна помощь с настройкой.

    2. Нажмите кнопку Add Additional Permission в нижней части редактора, чтобы настроить несколько “утверждений” в рамках одной политики. Каждое утверждение:
      • Может быть направлено либо на действия S3, либо на действия IAM.
      • Может либо разрешать, либо запрещать выполнение указанных вами действий. (Используйте переключатель Effect: Allow/Deny).
      • Может определить область действия ресурсов. (Используйте переключатель Resources, который позволяет применить утверждение ко всем ресурсам [по умолчанию] или только к указанному ресурсу или ресурсам).

Примечание
Консоль не поддерживает редактирование управляемой политики IAM после завершения ее создания, поэтому при создании этой политики убедитесь, что вы настроили все именно так, как вам нужно.

6. Когда вы закончите настройку разрешений политики, в редакторе Create Policy нажмите Save. Это закроет редактор Create Policy и вернет вас на страницу Manage IAM Policy.

7. На странице Manage IAM Policy нажмите Add.


Имя управляемой политики IAM появится в списке существующих политик.

Управление существующими управляемыми политиками

На странице Manage IAM Policy по умолчанию все ваши политики IAM перечислены в алфавитном порядке. Одновременно на странице будут отображаться 10 политик. Вы можете перемещаться по алфавитному списку, по 10 политик за раз, используя кнопки Next и Previous в правом нижнем углу.

Также вы можете использовать поле Search для поиска политики IAM. Чтобы найти конкретную политику, введите ее название. Чтобы искать среди названий или путей политик (если вы их указывали), введите часть названия или пути в поле.

Когда нужная управляемая политика отобразится в списке, щелкните ее имя. Откроется окно Manage IAM Policy для этой политики.

Здесь вы можете прикрепить или отсоединить управляемую политику IAM к группам и пользователям.

Примечание
Вы также можете просмотреть подробную информацию о политике в формате JSON, нажав кнопку View Document. Однако консоль не поддерживает редактирование содержимого существующей политики IAM.

Прикрепление или открепление управляемой политики IAM к группам и пользователям

Вы можете прикрепить управляемую политику IAM к группе IAM: в этом случае все пользователи IAM, входящие в эту группу, унаследуют разрешения, определенные этой политикой. Также вы можете прикрепить управляемую политику IAM к конкретному пользователю IAM: в этом случае только этот пользователь будет наследовать разрешения, определенные этой политикой.

Вы также можете прикрепить управляемую политику к нескольким группам и/или нескольким отдельным пользователям. Для этого вам нужно будет выполнить процесс прикрепления несколько раз (прикрепить политику к первой группе/пользователю, затем ко второй, и так далее).

Вы можете прикрепить управляемую IAM политику к группе/пользователю IAM либо на странице Manage IAM Policy (свойства политики), либо на странице Manage IAM Group/Manage IAM User (свойства группы/пользователя) соответственно.

Чтобы прикрепить управляемую IAM политику к группе на странице свойств политики, сделайте следующее:

1. На странице Manage IAM Policy перейдите на вкладку IAM Groups.

2. Нажмите кнопку Attach to Group.

3. Щелкните в поле Select the Group to attach the Policy to и выберите группу из выпадающего списка. В списке отображаются все группы IAM, созданные под вашей учетной записью пользователя, к которым в настоящее время не прикреплена эта управляемая политика IAM.


Если под вашей учетной записью много групп IAM и вы хотите отфильтровать выпадающий список, введите что-нибудь в это поле. Это сократит выпадающий список, ограничив его группами, названия которых совпадают с введенным текстом.


4. После выбора группы из списка нажмите кнопку Attach. После этого группа появится в списке групп, к которым прикреплена эта управляемая IAM политика.


Чтобы открепить политику от группы IAM, в списке групп, к которым прикреплена политика, в столбце Actions для группы нажмите Detach from Group.

Чтобы прикрепить политику к определенному пользователю IAM, следуйте инструкциям выше, но на странице Manage IAM Policy выберите вкладку IAM Users, а не вкладку IAM Groups.

Список прикрепленных к политике групп и пользователей

В любое время вы можете посмотреть, к каким группам и пользователям в настоящее время прикреплена управляемая политика IAM, зайдя на страницу Manage IAM Policy, а затем выбрав вкладки IAM Groups или IAM Users.

Удаление управляемой политики IAM

Перед удалением управляемой политики IAM необходимо открепить политику от всех групп IAM или пользователей, к которым она в настоящее время привязана.

Чтобы удалить управляемую политику IAM, сделайте следующее:

1. Найдите группу в разделе Manage IAM Policy. При необходимости используйте поиск по названию/пути политики.

2. В столбце Actions для политики, которую вы хотите удалить, нажмите Delete.

3. Подтвердите, что вы хотите удалить политику.

Телеграм канал
Салатовая телега
Полезные статьи и анонсы бесплатных вебинаров про дата-центры, облака, ИБ и телеком