#amazon-web-services #amazon-iam
#amazon-web-services #amazon-iam
Вопрос:
Если к пользователю в AWS AdministratorAccess подключена политика, у него есть полный доступ к AWS для этой учетной записи. Но с границами разрешений, привязанными к этому пользователю, его доступ может быть ограничен. Например, предположим, что для пользователя установлены границы разрешений AmazonDynamoDBFullAccess , тогда полный доступ ограничен только DynamoDB.
В чем реальная выгода вышеуказанного подхода, можно было бы просто удалить AdministratorAccess политику и привязать AmazonDynamoDBFullAccess ее к пользователю для достижения тех же ограничений / разрешений.
Есть ли что-нибудь еще, что нужно понять?
Комментарии:
1. Я чувствовал, что эта статья объяснила это довольно хорошо: easytocloud.com/?p=2544
Ответ №1:
Это не является целью границ разрешений IAM, и это не способ, которым он работает.
От границ разрешений для объектов IAM — AWS Identity и управление доступом:
AWS поддерживает границы разрешений для объектов IAM (пользователей или ролей). Граница разрешений — это расширенная функция использования управляемой политики для установки максимальных разрешений, которые политика на основе идентификации может предоставить объекту IAM. Границы разрешений объекта позволяют ему выполнять только те действия, которые разрешены как его политиками, основанными на идентификации, так и его границами разрешений.
Чтобы объяснить на примере, предположим, что разработчику требуется разрешение на создание роли IAM в своих обязанностях по разработке программного обеспечения. Это может быть очень опасным для назначения разрешений, поскольку они могут создать роль с полными правами администратора, тем самым предоставляя себе еще больше желаемых разрешений.
Чтобы ограничить их возможности, разработчику можно добавить границу разрешений, чтобы он мог создавать роль IAM, только если определенная им роль привязана к границе разрешений, которая ограничивает разрешения роли (например, чтобы ее можно было использовать только для доступа к S3 и DynamoDB, но не к другимсервисы). Это может немного сбить с толку, но думайте об этом как о наборе правил, которые должны быть привязаны к любым разрешениям, которые они предоставляют, чтобы они не могли предоставлять полные разрешения. Это способ предоставить им разрешения, но ограничивает те разрешения, которые они могут предоставлять другим организациям.
Эта концепция полностью отделена от назначения политик, управляемых IAM, которые вы упоминаете в своем вопросе. В большинстве случаев вполне достаточно назначить политику, управляемую IAM. Границы разрешений действительно применяются только тогда, когда у кого-то есть разрешение на создание новых объектов IAM.
Комментарии:
1. за подробное объяснение 1. Итак, если пользователь может создавать новые роли IAM и его границы установлены на
AmazonDynamoDBFullAccess. Созданные новые пользователи также будут иметь там разрешение, ограниченноеAmazonDynamoDBFullAccess, например, DynamoDB. Это то, что я понимаю?2. Закрыть, но нет.
AmazonDynamoDBFullAccessэто «управляемая политика». Границы разрешений также являются политикой, но определяются отдельно. Пользователю IAM может быть предоставлено разрешение на создание роли IAM или другого пользователя IAM, но только в том случае, если он прикрепит границу разрешений, которая ограничивает назначаемые им разрешения. Это немного похоже на таблички для учащихся на автомобиле — у них есть разрешения, но некоторые правила переопределяют эти разрешения, чтобы ограничить то, что они могут делать.3. довольно интересно узнать ->
An IAM User can be given permission to create an IAM Role or another IAM User, but only if they attach the Permission Boundary. Таким образом, создатель должен ограничить нового пользователя границами, к которым ограничен сам создатель.4. Не обязательно. От пользователя IAM может потребоваться прикрепить границу разрешений, которая ограничивает разрешения, которые они могут «передавать», но я думаю (?), Что на самом деле у них самих может быть больше разрешений. Пожалуйста, ознакомьтесь с документацией и поиграйте с ней, поскольку это может быть довольно запутанной концепцией (и я могу ошибаться!).
5. Стоит отметить, что собственные документы AWS рекомендуют применять границы не к пользователям, а к политикам, которые они создают.