Вопросы и ответы об AWS Identity and Access Management (IAM)

Вопрос. Что представляют собой роли IAM и каков принцип их работы?
Роли AWS Identity and Access Management (IAM) позволяют получать доступ к AWS с использованием учетных данных системы безопасности с ограниченным сроком действия. Каждая роль обладает набором разрешений на выполнение запросов к сервисам AWS, и она не связана с конкретным пользователем или группой. Напротив, роли выполняют такие доверенные сущности, как поставщики удостоверений или сервисы AWS. Дополнительную информацию см. в разделе роли IAM.

Вопрос. Почему следует использовать роли IAM?
Роли IAM следует использовать для предоставления доступа к вашим аккаунтам AWS с использованием данных для доступа с ограниченным сроком действия. Это делается в соответствии с рекомендациями по безопасности. Авторизованные удостоверения, которые могут принадлежать сервисам или пользователям AWS вашего поставщика удостоверений, могут принимать роли для выполнения запросов к AWS. Чтобы предоставить роли привилегии, подключите к ней политику IAM. Дополнительную информацию см. в разделе Распространенные сценарии для ролей.

Вопрос. Что представляют собой пользователи IAM и следует ли мне все еще использовать их?
Пользователи IAM являются удостоверениями с данными для доступа на длительный срок. Пользователей IAM можно использовать для сотрудников. В таком случае AWS рекомендует использовать поставщика удостоверений и федеративного доступа к AWS с применением принятия ролей. Также вы можете использовать роли для предоставления нескольким аккаунтам доступа к сервисам и возможностям, таким как функции AWS Lambda. В некоторых сценариях вам могут понадобиться пользователи IAM с ключами доступа, которым предоставлены данные для доступа к вашему аккаунту AWS на длительный срок. Для этих сценариев AWS рекомендует применять информацию о последнем использовании IAM для частой ротации данных для доступа и удаления неиспользуемых данных для доступа. Дополнительную информацию см. в разделе Обзор управления удостоверениями в AWS: пользователи.

Вопрос. Что такое политики IAM?
В политиках IAM определяются разрешения для сущностей, которые вы к ним подключаете. Например, чтобы предоставить доступ для роли IAM, подключите к ней политику. Разрешения в политике определяют, разрешены ли запросы или запрещены. Также можно добавлять политики к некоторым ресурсам, например к корзинам Amazon S3, чтобы предоставлять непосредственный доступ для нескольких аккаунтов. Кроме того, можно добавлять политики в организацию или организационное подразделение AWS, чтобы ограничить доступ для нескольких аккаунтов. Сервисы AWS обрабатывают эти политики, когда роль IAM делает запрос. Дополнительную информацию см. в разделе Политики на основе удостоверений.

Вопрос. Как предоставить доступ к сервисам и ресурсам с использованием IAM?
Чтобы предоставить доступ к сервисам и ресурсам с использованием AWS Identity and Access Management (IAM), подключите политики IAM к ролям и ресурсам. Вы можете начать с подключения политик, управляемых AWS, которыми владеет и которые обновляет AWS. Они доступны во всех аккаунтах AWS. Если вы знаете, какие разрешения требуются именно для ваших примеров использования, то можете создать политики, управляемые клиентами, и подключить их к ролям. Для некоторых ресурсов AWS предусмотрен способ предоставления доступа путем определения политики, которая подключается к ресурсам, например к корзинам Amazon S3. Эти политики на основе ресурсов дают возможность предоставлять нескольким аккаунтам непосредственный доступ к ресурсам, к которым они подключены. Дополнительную информацию см. в разделе Управление доступом к ресурсам AWS.

Вопрос. Как создавать политики IAM?
Чтобы назначить разрешения для роли или ресурса, создайте политику в виде документа JavaScript Object Notation (JSON), где определены разрешения. В этот документ включены положения, которые разрешают или запрещают доступ к определенным действиям, ресурсам и условиям сервиса. После создания политики вы можете подключить ее к одной или нескольким ролям AWS, чтобы предоставить разрешения своему аккаунту AWS. Чтобы предоставить нескольким аккаунтам непосредственный доступ к таким ресурсам, как корзины Amazon S3, пользуйтесь политиками на основе ресурсов. Создавайте политики с помощью консоли IAM, API AWS или интерфейса командной строки AWS. Дополнительную информацию см. в разделе Создание политик IAM.

Вопрос. Что такое политики, управляемые AWS, и когда их следует использовать?
Политики, управляемые AWS, создаются и администрируются AWS. Они относятся к распространенным примерам использования. Для начала вы можете предоставить более широкие разрешения с использованием политик, управляемых AWS, которые доступны в вашем аккаунте AWS и являются общими для всех аккаунтов AWS. По мере уточнения требований вы можете ограничивать разрешения, определив управляемые клиентом политики, которые специфичны для ваших примеров использования. Это делается для того, чтобы обеспечить минимальные привилегии. Дополнительную информацию см. в разделе Политики, управляемые AWS.

Вопрос. Что такое политики, управляемые клиентом, и когда их следует использовать?
Чтобы предоставить только те разрешения, которые необходимы для выполнения задач, вы можете создать политики, управляемые клиентом и специфичные для ваших примеров использования и ресурсов. Используйте политики, управляемые клиентами, чтобы ограничивать разрешения в соответствии со специфическими требованиями. Дополнительную информацию см. в разделе Политики, управляемые клиентом.

Вопрос. Что такое встроенные политики и когда их следует использовать?
Такие политики встраиваются в определенные роли IAM и свойственны именно им. Используйте встроенные политики, если хотите поддерживать между политикой и удостоверением, к которому она применена, строгое отношение «один к одному». Например, вы можете предоставить права доступа администратора, чтобы убедиться, что они не подключены к другим ролям. Дополнительную информацию см. в разделе Встроенные политики.

Вопрос. Что такое политики на основе ресурсов и когда их следует использовать?
Политики на основе ресурсов – это политики предоставления разрешений, подключенные к ресурсам. Политики на основе ресурсов можно подключать, например, к корзинам Amazon S3, очередям Amazon SQS, конечным точкам VPC и ключам шифрования AWS Key Management Service. Список сервисов, которые поддерживают политики на основе ресурсов см. в разделе Сервисы AWS, которые работают с IAM. Пользуйтесь политиками на основе ресурсов, чтобы предоставлять нескольким аккаунтам непосредственный доступ. С помощью политик на основе ресурсов вы можете указать, кто имеет доступ к ресурсу и какие действия с ним может выполнять. Дополнительную информацию см. в разделе Политики на основе удостоверений и политики на основе ресурсов.

Вопрос. Что такое управление доступом на основе ролей (RBAC)?
RBAC предоставляет способ назначения разрешений в зависимости от профессиональных обязанностей, которые за пределами AWS называются ролью. IAM предоставляет RBAC, определяя роли IAM с разрешениями, которые соответствуют профессиональным обязанностям. Впоследствии можно предоставить отдельным пользователям доступ для принятия на себя этих ролей и выполнения определенных профессиональных обязанностей. С помощью RBAC вы можете контролировать доступ, просматривая каждую роль IAM и подключенные к ней разрешения. Дополнительную информацию см. в разделе Сравнение ABAC с традиционной моделью RBAC.

Вопрос. Как предоставить доступ с использованием RBAC?
Рекомендуется предоставлять доступ только к определенным действиям и ресурсам сервиса для выполнения каждой задачи. Это называется предоставлением минимальных привилегий. Когда сотрудники добавляют новые ресурсы, вам необходимо обновлять политики, чтобы предоставлять доступ к этим ресурсам.

Вопрос. Что такое контроль доступа на основе атрибутов (ABAC)?
ABAC – это стратегия авторизации, в которой определены разрешения на основе атрибутов. В AWS эти атрибуты называются тегами. Их можно определять для ресурсов AWS, ролей IAM и в сеансах ролей. С использованием ABAC вы определяете набор разрешений на основе значения тега. Вы можете предоставить точные разрешения для определенных ресурсов, затребовав, чтобы теги роли или сеанса совпадали с тегами ресурса. Например, вы можете создать политику, которая предоставляет разработчикам доступ к ресурсам, отмеченным тегом «разработчики». ABAC полезно применять в средах, которые быстро расширяются, предоставляя разрешения для ресурсов при их создании с определенными тегами. Дополнительную информацию см. в разделе Контроль доступа на основе атрибутов для AWS.

Вопрос. Как предоставить доступ с использованием ABAC?
Чтобы предоставить доступ с использованием ABAC, сначала определите ключи и значения тегов, которые требуется использовать для контроля доступа. Затем убедитесь, что ваша роль IAM имеет соответствующие ключи и значения тегов. Если эта роль используется несколькими удостоверениями, вы можете также определить ключи и значения тегов сеансов. После этого убедитесь, что вашим ресурсам назначены соответствующие ключи и значения тегов. Также вы можете потребовать, чтобы пользователи создавали ресурсы с соответствующими тегами и ограничить доступ к их изменению. После того как вы назначите теги, определите политику, которая предоставляет доступ к определенным действиям и типам ресурсов, но только в случае, если теги роли или сеанса совпадают с тегами ресурса. Подробное учебное пособие, которое демонстрирует, как пользоваться ABAC в AWS, см. в разделе Учебное пособие по IAM: определение разрешений для доступа к ресурсам AWS на основе тегов.

Вопрос. Как предоставить разрешения с минимальными привилегиями?
Сначала, когда вы обучаетесь и экспериментируете, можно предоставить более широкие разрешения. AWS рекомендует ограничивать разрешения по мере отработки примеров использования и предоставлять только необходимые разрешения в соответствии с принципом разрешений с минимальными привилегиями. AWS предоставляет инструменты, которые помогут вам ограничить разрешения. Вы можете начать с политик, управляемых AWS, которые создаются и администрируются AWS. Они относятся к распространенным примерам использования. По мере введения ограничений определяйте конкретные разрешения в политиках, управляемых клиентом. Чтобы определить, какие конкретно разрешения вам нужны, воспользуйтесь AWS Identity and Access Management (IAM) Access Analyzer, просматривайте журналы AWS CloudTrail и информацию о последней попытке доступа. Также вы можете воспользоваться симулятором политик IAM, чтобы тестировать политики и устранять неполадки.

Вопрос. Что такое IAM Access Analyzer?
Внедрение принципа минимальных привилегий – это непрерывный цикл выдачи подходящих точных разрешений по мере возникновения требований. IAM Access Analyzer помогает оптимизировать управление разрешениями на каждом шагу этого цикла. Благодаря созданию политики с помощью IAM Access Analyzer можно подготовить детализированную политику на основе записанной в журналах активности доступа. Значит, после создания и запуска приложения вы можете готовить политики, предоставляющие только необходимые разрешения для работы с приложением. В основе проверки политики с помощью Access Analyzer – более 100 проверок, что позволяет авторизовать и проверить безопасные и функциональные политики. Вы можете использовать их во время создания новых политик или для проверки существующих. Публичные и межаккаунтные выводы с IAM Access Analyzer помогут вам проверить и уточнить доступ, разрешенный политиками ресурсов за пределами вашей организации или аккаунта AWS. Дополнительную информацию см. в разделе Использование IAM Access Analyzer.

Вопрос. Как удалить неиспользуемые разрешения?
Некоторые пользователи, роли и разрешения IAM в вашем аккаунте AWS могут оказаться невостребованными. Рекомендуем удалять их, чтобы реализовать принцип доступа с минимальными привилегиями. Для проверки пользователей IAM вы можете просмотреть время последней попытки использования пароля и ключа доступа. Для проверки ролей можно просмотреть время последней попытки использования роли. Эта информация доступна в консоли IAM, в API и SDK. Информация о последней попытке использования помогает вам определить, какие пользователи и роли больше не используются, чтобы безопасно удалить их. Также вы можете ограничить разрешения, просмотрев информацию о сервисе и последней попытке доступа, чтобы определить, какие разрешения не используются. Дополнительную информацию см. в разделе Ограничение доступа в AWS с использованием информации о последней попытке доступа.

Вопрос. Что такое симулятор политик IAM и когда его следует использовать?
Симулятор политик IAM анализирует выбранные вами политики и определяет действующие разрешения для каждого указанного действия. Используйте симулятор политик для тестирования политик на основе удостоверений и ресурсов, ограничений разрешений IAM и SCP, а также для устранения соответствующих неполадок. Дополнительную информацию см. в разделе Тестирование политик IAM с помощью симулятора политик IAM.