Вопросы и ответы об Управлении идентификацией и доступом AWS (IAM)

Общие вопросы

IAM обеспечивает точный контроль доступа во всех сервисах AWS. С помощью IAM вы можете управлять доступом к сервисам и ресурсам в определенных условиях. Используйте политики IAM для управления разрешениями для сотрудников и систем, предоставляя наименьшие привилегии. Дополнительная плата за использование сервиса IAM не взимается. Дополнительную информацию см. в разделе Что такое IAM?

IAM предоставляет функции аутентификации и авторизации для сервисов AWS. Этот сервис определяет, разрешен ли запрос AWS или запрещен. По умолчанию доступ запрещен и предоставляется только тогда, когда это явно разрешено в политике. Политики можно подключать к ролям и ресурсам, чтобы контролировать доступ во всех сервисах AWS. Дополнительную информацию см. в разделе Общие сведения о принципе работы IAM.

Когда вы предоставляете разрешения с использованием политик IAM, давайте только те разрешения, которые необходимы для выполнения задачи. Это называется предоставлением наименьшей привилегии. Чтобы применить разрешения с минимальными привилегиями в IAM, необходимо определить меры, которые следует принимать по отношению к определенным ресурсам в определенных условиях. Дополнительную информацию см. в разделе Управление доступом к ресурсам AWS.

Чтобы начать использовать IAM для управления разрешениями на доступ к сервисам и ресурсам AWS, создайте роль IAM и предоставьте ей разрешения. Для сотрудников создайте роль, которую может выполнять поставщик удостоверений. Для систем создайте роль, которую может выполнять используемый вами сервис, такой как Amazon EC2 или AWS Lambda. После создания роли можно подключить к ней политику, чтобы предоставить те разрешения, которые отвечают вашим требованиям. На первых порах вы можете еще не знать, какие именно разрешения вам нужны, поэтому можно начать с более широких. Политики, управляемые AWS, предоставляют разрешения, которые помогут вам начать работу. Они доступны во всех аккаунтах AWS. Впоследствии ограничьте разрешения, определив политики, управляемые клиентом, которые специфичны для ваших примеров использования. Вы можете создавать политики и роли и управлять ими с помощью консоли IAM, API AWS или интерфейса командной строки AWS. Дополнительную информацию см. в разделе Начало работы с IAM.

Ресурсы по IAM

Роли Управления идентификацией и доступом AWS (IAM) позволяют получать доступ к AWS с использованием учетных данных системы безопасности с ограниченным сроком действия. Каждая роль обладает набором разрешений на выполнение запросов к сервисам AWS, и она не связана с конкретным пользователем или группой. Напротив, роли выполняют такие доверенные сущности, как поставщики удостоверений или сервисы AWS. Дополнительную информацию см. в разделе роли IAM.

Роли IAM следует использовать для предоставления доступа к вашим аккаунтам AWS с использованием данных для доступа с ограниченным сроком действия. Это делается в соответствии с рекомендациями по безопасности. Авторизованные удостоверения, которые могут принадлежать сервисам или пользователям AWS вашего поставщика удостоверений, могут принимать роли для выполнения запросов к AWS. Чтобы предоставить роли привилегии, подключите к ней политику IAM. Дополнительную информацию см. в разделе Распространенные сценарии для ролей.

Пользователи IAM являются удостоверениями с данными для доступа на длительный срок. Пользователей IAM можно использовать для сотрудников. В таком случае AWS рекомендует использовать поставщика удостоверений и федеративного доступа к AWS с применением принятия ролей. Также вы можете использовать роли для предоставления нескольким аккаунтам доступа к сервисам и возможностям, таким как функции AWS Lambda. В некоторых сценариях вам могут понадобиться пользователи IAM с ключами доступа, которым предоставлены данные для доступа к вашему аккаунту AWS на длительный срок. Для этих сценариев AWS рекомендует применять информацию о последнем использовании IAM для частой ротации данных для доступа и удаления тех из них, которые не используются. Дополнительную информацию см. в разделе Обзор управления удостоверениями в AWS: пользователи.

В политиках IAM определяются разрешения для сущностей, которые вы к ним подключаете. Например, чтобы предоставить доступ для роли IAM, подключите к ней политику. Разрешения в политике определяют, разрешены ли запросы или запрещены. Также можно добавлять политики к некоторым ресурсам, например к корзинам Amazon S3, чтобы предоставлять непосредственный доступ для нескольких аккаунтов. Кроме того, можно добавлять политики в организацию или организационное подразделение AWS, чтобы ограничить доступ для нескольких аккаунтов. Сервисы AWS обрабатывают эти политики, когда роль IAM делает запрос. Дополнительную информацию см. в разделе Политики на основе удостоверений.

Предоставление доступа

Чтобы предоставить доступ к сервисам и ресурсам с использованием Управления идентификацией и доступом AWS (IAM), подключите политики IAM к ролям и ресурсам. Вы можете начать с подключения политик, управляемых AWS, которыми владеет и которые обновляет AWS. Они доступны во всех аккаунтах AWS. Если вы знаете, какие разрешения требуются именно для ваших примеров использования, то можете создать политики, управляемые клиентами, и подключить их к ролям. Для некоторых ресурсов AWS предусмотрен способ предоставления доступа путем определения политики, которая подключается к ресурсам, например к корзинам Amazon S3. Эти политики на основе ресурсов дают возможность предоставлять нескольким аккаунтам непосредственный доступ к ресурсам, к которым они подключены. Дополнительную информацию см. в разделе Управление доступом к ресурсам AWS.

Чтобы назначить разрешения для роли или ресурса, создайте политику в виде документа JavaScript Object Notation (JSON), где определены разрешения. В этот документ включены положения, которые разрешают или запрещают доступ к определенным действиям, ресурсам и условиям сервиса. После создания политики вы можете подключить ее к одной или нескольким ролям AWS, чтобы предоставить разрешения своему аккаунту AWS. Чтобы предоставить нескольким аккаунтам непосредственный доступ к таким ресурсам, как корзины Amazon S3, пользуйтесь политиками на основе ресурсов. Создавайте политики с помощью консоли IAM, API AWS или интерфейса командной строки AWS. Дополнительную информацию см. в разделе Создание политик IAM.

Политики, управляемые AWS, создаются и администрируются AWS. Они относятся к распространенным примерам использования. Для начала вы можете предоставить более широкие разрешения с использованием политик, управляемых AWS, которые доступны в вашем аккаунте AWS и являются общими для всех аккаунтов AWS. По мере уточнения требований вы можете ограничивать разрешения, определив управляемые клиентом политики, которые специфичны для ваших примеров использования. Это делается для того, чтобы обеспечить минимальные привилегии. Дополнительную информацию см. в разделе Политики, управляемые AWS.

Чтобы предоставить только те разрешения, которые необходимы для выполнения задач, вы можете создать политики, управляемые клиентом и специфичные для ваших примеров использования и ресурсов. Используйте политики, управляемые клиентами, чтобы ограничивать разрешения в соответствии со специфическими требованиями. Дополнительную информацию см. в разделе Политики, управляемые клиентом.

Такие политики встраиваются в определенные роли IAM и свойственны именно им. Используйте встроенные политики, если хотите поддерживать между политикой и удостоверением, к которому она применена, строгое отношение «один к одному». Например, вы можете предоставить права доступа администратора, чтобы убедиться, что они не подключены к другим ролям. Дополнительную информацию см. в разделе Встроенные политики.

Политики на основе ресурсов – это политики предоставления разрешений, подключенные к ресурсам. Политики на основе ресурсов можно подключать, например, к корзинам Amazon S3, очередям Amazon SQS, конечным точкам VPC и ключам шифрования AWS Key Management Service. Список сервисов, которые поддерживают политики на основе ресурсов см. в разделе Сервисы AWS, которые работают с IAM. Пользуйтесь политиками на основе ресурсов, чтобы предоставлять нескольким аккаунтам непосредственный доступ. С помощью политик на основе ресурсов вы можете указать, кто имеет доступ к ресурсу и какие действия с ним может выполнять. Дополнительную информацию см. в разделе Политики на основе удостоверений и политики на основе ресурсов.

RBAC предоставляет способ назначения разрешений в зависимости от профессиональных обязанностей, которые за пределами AWS называются ролью. IAM предоставляет RBAC, определяя роли IAM с разрешениями, которые соответствуют профессиональным обязанностям. Впоследствии можно предоставить отдельным пользователям доступ для принятия на себя этих ролей и выполнения определенных профессиональных обязанностей. С помощью RBAC вы можете контролировать доступ, просматривая каждую роль IAM и подключенные к ней разрешения. Дополнительную информацию см. в разделе Сравнение ABAC с традиционной моделью RBAC.

Рекомендуется предоставлять доступ только к определенным действиям и ресурсам сервиса для выполнения каждой задачи. Это называется предоставлением минимальных привилегий. Когда сотрудники добавляют новые ресурсы, вам необходимо обновлять политики, чтобы предоставлять доступ к этим ресурсам.

ABAC – это стратегия авторизации, в которой определены разрешения на основе атрибутов. В AWS эти атрибуты называются тегами. Их можно определять для ресурсов AWS, ролей IAM и в сеансах ролей. С использованием ABAC вы определяете набор разрешений на основе значения тега. Вы можете предоставить точные разрешения для определенных ресурсов, затребовав, чтобы теги роли или сеанса совпадали с тегами ресурса. Например, вы можете создать политику, которая предоставляет разработчикам доступ к ресурсам, отмеченным тегом «разработчики». ABAC полезно применять в средах, которые быстро расширяются, предоставляя разрешения для ресурсов при их создании с определенными тегами. Дополнительную информацию см. в разделе Контроль доступа на основе атрибутов для AWS.

Чтобы предоставить доступ с использованием ABAC, сначала определите ключи и значения тегов, которые требуется использовать для контроля доступа. Затем убедитесь, что ваша роль IAM имеет соответствующие ключи и значения тегов. Если эта роль используется несколькими удостоверениями, вы можете также определить ключи и значения тегов сеансов. После этого убедитесь, что вашим ресурсам назначены соответствующие ключи и значения тегов. Также вы можете потребовать, чтобы пользователи создавали ресурсы с соответствующими тегами и ограничить доступ к их изменению. После того как вы назначите теги, определите политику, которая предоставляет доступ к определенным действиям и типам ресурсов, но только в случае, если теги роли или сеанса совпадают с тегами ресурса. Подробное учебное пособие, которое демонстрирует, как пользоваться ABAC в AWS, см. в разделе Учебное пособие по IAM: определение разрешений для доступа к ресурсам AWS на основе тегов.

Ограничение доступа

При использовании AWS Identity and Access Management (IAM) доступ полностью запрещен по умолчанию и требуется политика, предоставляющая доступ. При управлении большим количеством разрешений может потребоваться ввести ограничения разрешений и ограничить доступ для всех аккаунтов. Для ограничения доступа определите в любой политике оператор Deny. Если к запросу на доступ применен оператор Deny, то он всегда имеет приоритет перед оператором Allow. Например, если разрешен доступ ко всем действиям в AWS, но запрещен к IAM, то будет запрещена отправка любых запросов к IAM. Оператор Deny можно включить в политику любого типа, в том числе на основе удостоверений, ресурсов и в политики контроля сервисов в AWS Organizations. Дополнительную информацию см. в разделе Управление доступом с помощью сервиса Управления идентификацией и доступом AWS.

SCP подобны политикам IAM, и в них используется почти тот же синтаксис. Однако SCP не дают разрешений. Напротив, SCP разрешают или запрещают доступ к сервисам AWS для отдельных аккаунтов участников AWS Organizations или для групп аккаунтов в организационном подразделении. Действия, указанные в SCP, затрагивают всех пользователей и все роли IAM, в том числе пользователя root аккаунта участника. Дополнительную информацию см. в разделе Логика анализа политик

Анализ доступа

Сначала, когда вы обучаетесь и экспериментируете, можно предоставить более широкие разрешения. AWS рекомендует ограничивать разрешения по мере отработки примеров использования и предоставлять только необходимые разрешения в соответствии с принципом разрешений с минимальными привилегиями. AWS предоставляет инструменты, которые помогут вам ограничить разрешения. Вы можете начать с политик, управляемых AWS, которые создаются и администрируются AWS. Они относятся к распространенным примерам использования. По мере введения ограничений определяйте конкретные разрешения в политиках, управляемых клиентом. Чтобы определить, какие конкретно разрешения вам нужны, воспользуйтесь Анализатором доступа Управления идентификацией и доступом AWS (IAM), просматривайте журналы AWS CloudTrail и информацию о последней попытке доступа. Также вы можете воспользоваться Симулятором политик IAM, чтобы тестировать политики и устранять неполадки.

Внедрение принципа минимальных привилегий – это непрерывный цикл выдачи подходящих точных разрешений по мере возникновения требований. IAM Access Analyzer помогает оптимизировать управление разрешениями на каждом шагу этого цикла. Благодаря созданию политики с помощью Анализатора доступа IAM можно подготовить детализированную политику на основе записанной в журналах активности доступа. Значит, после создания и запуска приложения вы можете готовить политики, предоставляющие только необходимые разрешения для работы с приложением. В основе проверки политики с помощью IAM Access Analyzer – более 100 проверок, что позволяет авторизовать и проверить безопасные и функциональные политики. Вы можете использовать их во время создания новых политик или для проверки существующих. Публичные и межаккаунтные выводы с Анализатором доступа IAM помогут вам проверить и уточнить доступ, разрешенный политиками ресурсов за пределами вашей организации или аккаунта AWS. Дополнительную информацию см. в разделе Использование Анализатора доступа IAM.

Некоторые пользователи, роли и разрешения IAM в вашем аккаунте AWS могут оказаться невостребованными. Рекомендуем удалять их, чтобы реализовать принцип доступа с минимальными привилегиями. Для проверки пользователей IAM вы можете просмотреть время последней попытки использования пароля и ключа доступа. Для проверки ролей можно просмотреть время последней попытки использования роли. Эта информация доступна в консоли IAM, в API и SDK. Информация о последней попытке использования помогает вам определить, какие пользователи и роли больше не используются, чтобы безопасно удалить их. Также вы можете ограничить разрешения, просмотрев информацию о сервисе и последней попытке доступа, чтобы определить, какие разрешения не используются. Дополнительную информацию см. в разделе Ограничение доступа в AWS с использованием информации о последней попытке доступа.

Симулятор политик IAM анализирует выбранные вами политики и определяет действующие разрешения для каждого указанного действия. Используйте симулятор политик для тестирования политик на основе удостоверений и ресурсовограничений разрешений IAM и SCP, а также для устранения соответствующих неполадок. Дополнительную информацию см. в разделе Тестирование политик IAM с помощью симулятора политик IAM.

В рамках настраиваемых проверок политик Анализатор доступа IAM проверяет соответствие политик IAM вашим стандартам безопасности перед развертыванием. Настраиваемые проверки политик используют возможности автоматизированных рассуждений (доказуемого обеспечения безопасности, подкрепленного математическим доказательством), что позволяет специалистам по безопасности заблаговременно выявлять несоответствующие требованиям изменения в политиках. Например, изменения политики IAM, которые налагают меньше ограничений, чем в предыдущей версии. Службы безопасности могут использовать эти проверки для оптимизации процессов, автоматического утверждения политик, соответствующих их стандартам безопасности, и проведения более тщательных проверок несоответствующих политик. Этот новый вид проверки обеспечивает более высокий уровень безопасности в облаке. Специалисты по безопасности и разработке могут автоматизировать анализ политик в любом масштабе, интегрируя настраиваемые проверки в инструменты и среды, в которых разрабатываются политики, например в конвейеры CI/CD.

IAM Access Analyzer упрощает проверку неиспользуемого доступа, чтобы помочь вам получить наименьшие привилегии. Специалисты по безопасности могут использовать IAM Access Analyzer, чтобы отслеживать неиспользуемый доступ в своей организации AWS и автоматизировать процесс определения объема разрешений. При включении анализатора неиспользуемого доступа, Анализатор доступа IAM будет постоянно анализировать ваши аккаунты для выявления неиспользуемого доступа и создавать централизованную информационную панель с полученными данными. Информационная панель помогает специалистам по безопасности централизованно анализировать полученные данные и определять приоритет аккаунтов в зависимости от объема полученных данных. Специалисты по безопасности могут использовать панель аналитики для централизованного анализа результатов и определения приоритета проверки аккаунтов в зависимости от объема полученных данных. Полученные данные отражают неиспользуемые роли, неиспользуемые ключи доступа для пользователей IAM и неиспользуемые пароли для пользователей IAM. Для активных ролей и пользователей IAM в полученных данных отражаются неиспользуемые сервисы и действия.

Узнайте, как начать работу с IAM

Перейти на страницу начала работы
Готовы приступить к разработке?
Начало работы с IAM
Есть вопросы?
Связаться с нами