С помощью разрешений можно предоставлять доступ к ресурсам AWS. Разрешения предоставляются объектам IAM (пользователям, группам и ролям), при этом по умолчанию у этих объектов отсутствуют какие-либо разрешения. Другими словами, объекты IAM не могут выполнять никаких действий на платформе AWS, пока им не предоставлены необходимые разрешения. Чтобы предоставить объектам разрешения, можно назначить правило, которое будет определять тип доступа, действия, которые могут быть выполнены, а также ресурсы, на которых могут выполняться определенные действия. Кроме того, можно указать любые условия, которые должны выполняться для разрешения или запрещения доступа.

Become an IAM policy master in 60 minutes or less (55:35)

Чтобы назначить разрешения для пользователя, группы, роли или ресурса, создайте политику, которая позволит указать следующее.

  • Actions. Разрешенные действия для сервиса AWS. Например, можно разрешить пользователю вызывать действие Amazon S3 ListBucket. Любые действия, которые вы явно не разрешаете выполнять, запрещаются.
  • Resources. Ресурсы AWS, для которых разрешено выполнять определенные действия. Например, список корзин Amazon S3, для которых вы разрешаете пользователю выполнять действие ListBucket. Пользователи не могут получить доступ к тем ресурсам, для которых вы явно не предоставляете разрешения.
  • Effect. Разрешать или запрещать доступ. Поскольку по умолчанию доступ запрещен, вы обычно создаете правила, которые разрешают определенные действия.
  • Conditions. Условия, которые должны выполняться, чтобы применялась политика. Например, можно разрешить доступ только к определенным корзинам S3, если пользователь подключается с определенного диапазона IP-адресов или использует при входе в систему многофакторную аутентификацию.

Политики создаются с помощью визуального редактора или в формате JSON. Политика состоит из одного или нескольких выражений, каждое из которых описывает один набор разрешений. Подробнее о языке правил см. в справке по правилам AWS IAM.

Визуальный редактор проведет вас через процесс предоставления разрешений с помощью правил IAM без необходимости писать правила в формате JSON (при этом возможность создавать и редактировать правила в JSON сохраняется). Правило, показанное на следующем снимке экрана, было создано с помощью визуального редактора. Оно предоставляет разрешение на пять действий Amazon S3 типа List и Read для корзины S3 и объектов в SampleBucket, префикс которых начинается с MyPrefix.

ManagePermissions_JC_1117_a

При использовании для управления разрешениями Консоли управления AWS можно просматривать сводную информацию о правиле. В сводной информации о правиле перечислены уровень доступа, ресурсы и условия для каждого сервиса, определенного в правиле (см. пример на приведенных ниже снимках экрана). Чтобы было легче понять разрешения, определенные в правиле, действия каждого сервиса AWS разбиты на четыре категории по уровню доступа: List, Read, Write и Permissions management.

JC1final-UPDATED031017-a

Вы можете выбрать предопределенное правило под управлением AWS или создать собственное, используя генератор правил. Подробнее см. в разделе Обзор правил IAM Руководства по использованию IAM.

Подробнее об управлении учетными данными AWS IAM

Перейти на страницу управления учетными данными
Готовы приступить к разработке?
Начать работу с AWS IAM
Возникли дополнительные вопросы?
Свяжитесь с нами