С помощью разрешений можно предоставлять доступ к ресурсам AWS. Разрешения предоставляются объектам IAM (пользователям, группам и ролям), при этом по умолчанию у этих объектов отсутствуют какие-либо разрешения. Другими словами, объекты IAM не могут выполнять никаких действий на платформе AWS, пока им не предоставлены необходимые разрешения. Чтобы предоставить объектам разрешения, можно назначить политику, которая будет определять тип доступа, действия, которые могут быть выполнены, а также ресурсы, на которых могут выполняться определенные действия. Кроме того, можно указать любые условия, которые должны выполняться для разрешения или запрещения доступа.

How to Become an IAM Policy Ninja in 60 Minutes or Less
55:38
How to Become an AWS IAM Policy Ninja in 60 Minutes or Less

Начните работать с AWS бесплатно

Создать бесплатный аккаунт
или войти в Консоль

Уровень бесплатного пользования AWS включает 750 часов использования узла микрокэша Amazon ElastiCache.

Сведения об уровне бесплатного пользования AWS »

Чтобы назначить разрешения для пользователя, группы, роли или ресурса, создайте политику, которая позволит указать следующее.

  • Actions. Разрешенные действия для сервиса AWS. Например, можно разрешить пользователю вызывать действие Amazon S3 ListBucket. Любые действия, которые вы явно не разрешаете выполнять, запрещаются.
  • Resources. Ресурсы AWS, для которых разрешено выполнять определенные действия. Например, список корзин Amazon S3, для которых вы разрешаете пользователю выполнять действие ListBucket. Пользователи не могут получить доступ к тем ресурсам, для которых вы явно не предоставляете разрешения.
  • Effect. Разрешать или запрещать доступ. Поскольку по умолчанию доступ запрещен, вы обычно создаете политики, которые разрешают определенные действия.
  • Conditions. Условия, которые должны выполняться, чтобы применялась политика. Например, можно разрешить доступ только к определенным корзинам S3, если пользователь подключается с определенного диапазона IP-адресов или использует при входе в систему многофакторную аутентификацию.

Политики создаются с помощью визуального редактора или в формате JSON. Политика состоит из одного или нескольких выражений, каждое из которых описывает один набор разрешений. Подробнее о языке политик см. в справке по политикам AWS IAM.

Визуальный редактор проведет вас через процесс предоставления разрешений с помощью политик IAM без необходимости писать политики в формате JSON (при этом возможность создавать и редактировать политики в JSON сохраняется). Политика, показанная на следующем снимке экрана, была создана с помощью визуального редактора. Она предоставляет разрешение на пять действий Amazon S3 типа List и Read для корзины S3 и объектов в SampleBucket, префикс которых начинается с MyPrefix.

Снимок экрана визуального редактора

При использовании для управления разрешениями Консоли управления AWS можно просматривать сводную информацию о политике. В сводной информации о политике перечислены уровень доступа, ресурсы и условия для каждого сервиса, определенного в политике (см. пример на приведенных ниже снимках экрана). Чтобы было легче понять разрешения, определенные в политике, действия каждого сервиса AWS разбиты на четыре категории по уровню доступа: List, Read, Write и Permissions management.

Снимок экрана сводной информации о политике

Вы можете выбрать предопределенную политику под управлением AWS или создать собственную, используя генератор политик. Подробнее см. в разделе Обзор политик IAM Руководства по использованию IAM.