AWS Identity and Access Management (IAM)

Используйте точные разрешения в сервисах и ресурсах AWS

AWS Identity and Access Management (IAM) обеспечивает точный контроль доступа во всех сервисах AWS. С помощью IAM вы можете указать, кто может получать доступ к определенным сервисам и ресурсам и при каких условиях. Благодаря политикам IAM вы управляете разрешениями для сотрудников и систем, выдавая разрешения с наименьшими привилегиями.

IAM – это возможность аккаунта AWS, которая предоставляется без дополнительной платы. Если вы уже зарегистрированы в AWS, чтобы начать работу с IAM, войдите в Консоль управления AWS.

Примеры использования

С помощью IAM вы можете управлять разрешениями AWS для сотрудников и рабочих нагрузок. Для сотрудников мы рекомендуем использовать AWS Single Sign-On (AWS SSO), чтобы управлять доступами к аккаунтам AWS и разрешениями в пределах аккаунтов. С AWS SSO можно с легкостью назначать роли и политики IAM и управлять ими в масштабах всей организации. Для рабочих нагрузок используйте роли и политики IAM и выдавайте только необходимые разрешения.

Включите точный контроль доступа

Используя политики IAM, предоставляйте доступ к определенным API сервисов и ресурсам AWS. Вы также можете определить конкретные условия для предоставления доступа, например определенная организация AWS или использование определенного сервиса AWS. 

Установите ограничения разрешений и периметры данных во всей организации AWS

Благодаря AWS Organizations вы можете использовать политики управления сервисами (SCP) для установления ограничений разрешений, которым будут соответствовать все пользователи и роли IAM в аккаунтах организации. Независимо от того, начинаете ли вы работать с SCP или они у вас уже есть, можно использовать консультанта по доступу IAM для того, чтобы уверенно ограничивать разрешения.

Создавайте разрешения с минимальными привилегиями благодаря IAM Access Analyzer

Достижение принципа минимальных привилегий – это непрерывный цикл выдачи подходящих точных разрешений по мере появления требований. IAM Access Analyzer помогает оптимизировать настройку, проверку и уточнение разрешений.

Автоматически масштабируйте точные разрешения с помощью ABAC

Управление доступом на основе атрибутов (ABAC) – это стратегия авторизации для создания детализированных разрешений на базе пользовательских атрибутов, таких как отдел, рабочая роль и название команды. С помощью ABAC можно сократить количество разрешений, необходимых для точного управления аккаунтом AWS.

Как это работает

Благодаря точным разрешениям IAM вы можете определять, кто получает доступ. Затем IAM применяет эти разрешения к каждому запросу. По умолчанию доступ запрещен и возможен только в том случае, когда выбрано значение «Разрешено» 

Изображение с принципами работы IAM