Точный контроль доступа IAM
Обзор
Управление идентификацией и доступом AWS (IAM) обеспечивает надежный контроль доступа и позволяет задать разрешения, определяющие, кто и при каких условиях может получить доступ к тем или иным ресурсам AWS. Используйте детализированный контроль доступа, чтобы защитить ресурсы AWS при внедрении принципа наименьших привилегий.
Как это работает
Как это работает. В IAM вы с помощью политик определяете, кто может получить доступ к вашим ресурсам AWS. Вы привязываете политики к ролям IAM в своих учетных записях AWS и к своим ресурсам AWS. IAM проверяет каждый запрос к AWS, сравнивая его с вашими политиками, а затем одобряет либо отклоняет его. Дополнительные сведения см. в разделе Общие сведения о принципе работы IAM Руководства пользователя IAM.
Язык политики IAM. Язык политики IAM, получивший название JSON, позволяет вам максимально точно устанавливать требования к предоставлению доступа, используя соответствующие действия, ресурсы и элементы условий в политиках. Дополнительные сведения см. в Справочнике по языку политики IAM JSON.
Типы политик для предоставления доступа. IAM позволяет гибко привязывать политики как к вашим ролям IAM, так и к ресурсам AWS, которые поддерживают использование политик на основе ресурсов. Параметры доступа совместно определяются политиками на основе идентификационных данных и политиками на основе ресурсов. Дополнительные сведения о типах политик см. в разделе Политики и разрешения в IAM Руководства пользователя IAM.
Превентивные ограничения. Превентивные ограничения помогают установить границы максимальных разрешений, доступных для ваших ролей IAM. Вы можете использовать политики управления службами, границы разрешений и политики сеансов, чтобы ограничить разрешения, которые могут быть предоставлены той или иной роли IAM. Дополнительная информация об установке превентивных ограничений содержится в разделе Периметры данных в AWS.
Контроль доступа на основе атрибутов (ABAC). Используйте метод ABAC для предоставления конкретных разрешений на основе атрибутов, привязанных к ролям IAM, таким как отделы и должности. В случае предоставления доступа к отдельным ресурсам на основе атрибутов вам не нужно будет обновлять политики для каждого добавляемого ресурса. Подробнее см. в разделе ABAC для AWS.
Чтобы больше узнать об упрощении управления разрешениями, см. раздел Как IAM Access Analyzer помогает предоставлять разрешения с минимальными привилегиями. Также ознакомьтесь с разделом Идентификация в AWS: новая технология управления разрешениями, чтобы больше узнать о точном контроле доступа в IAM.