Точный контроль доступа IAM

AWS Identity and Access Management (IAM) обеспечивает надежный контроль доступа, который помогает задать разрешения, определяющие, кто и при каких условиях может получить доступ к тем или иным ресурсам AWS. Используйте точный контроль доступа, чтобы обезопасить свои ресурсы AWS при перемещении за счет предоставления наименьших привилегий. 

Как это работает: В IAM вы с помощью политик определяете, кто может получить доступ к вашим ресурсам AWS. Вы привязываете политики к ролям IAM в своих учетных записях AWS и к своим ресурсам AWS. IAM проверяет каждый запрос к AWS, сравнивая его с вашими политиками, а затем одобряет либо отклоняет его. Дополнительные сведения см. в разделе «Как работает IAM» Руководства пользователя IAM.

Язык политики IAM: Язык политики IAM, получивший название JSON, позволяет вам максимально точно устанавливать требования к предоставлению доступа, используя соответствующие действия, ресурсы и элементы условий в политиках. Дополнительные сведения см. в Справочнике по языку политики IAM JSON.

Типы политик для предоставления доступа: IAM позволяет гибко привязывать политики как к вашим ролям IAM, так и к ресурсам AWS, которые поддерживают использование политик на основе ресурсов. Параметры доступа совместно определяются политиками на основе идентификационных данных и политиками на основе ресурсов. Дополнительные сведения о типах политик см. в разделе Политики и разрешения в IAM Руководства пользователя IAM.

Превентивные ограничения: Превентивные ограничения помогают установить границы максимальных разрешений, доступных для ваших ролей IAM. Вы можете использовать политики управления службами, границы разрешений и политики сеансов, чтобы ограничить разрешения, которые могут быть предоставлены той или иной роли IAM. Дополнительная информация об установке превентивных ограничений содержится в разделе Периметры данных в AWS.

Управление доступом на основе атрибутов (ABAC): Используйте метод ABAC для предоставления конкретных разрешений на основе атрибутов, привязанных к ролям IAM, таким как отделы и должности. В случае предоставления доступа к отдельным ресурсам на основе атрибутов вам не нужно будет обновлять политики для каждого добавляемого ресурса. Подробнее см. в разделе ABAC для AWS.

Чтобы больше узнать об оптимальном управлении разрешениями, см. раздел Как IAM Access Analyzer помогает предоставлять разрешения с минимальными привилегиями. Также ознакомьтесь с разделом Идентификация в AWS: новая технология управления разрешениями, чтобы больше узнать о точном контроле доступа в IAM.