Cum se creează politicile gestionate de clienți în AWS - dummies

Când creați inițial contul dvs. AWS (Amazon Web Services), există o singură politică administrată de AWS: AdministratorAccess. Cu toate acestea, după ce creați primul utilizator și vă conectați la AWS utilizând noul cont de administrator, puteți accesa un număr mare de politici gestionate de AWS.

Ori de câte ori este posibil, ar trebui să utilizați politicile gestionate de AWS pentru a vă asigura că politica primește actualizări automate care reflectă modificările în funcționalitatea AWS. Atunci când utilizați o politică gestionată de client, trebuie să efectuați manual orice actualizare necesară. Următorii pași încep să utilizați politicile gestionate de clienți.

1. Conectați-vă la AWS utilizând contul de administrator.
2. Navigați la Consola de management IAM .
3. Selectați Policies în panoul de navigare. Veți vedea pagina Bine ați venit la politicile gestionate.

   

   Pagina Bun venit la Politicile gestionate explică folosirea politicilor și vă începe să începeți.
4. Faceți clic pe Începeți. Vedeți o listă a politicilor disponibile gestionate de AWS, după cum se arată. Fiecare dintre denumirile de polițe începe cu cuvântul Amazon (pentru a arăta că este o politică gestionată de AWS), urmată de numele serviciului (EC2 din figură), opțional urmat de obiectivul permisiunii (cum ar fi ContainerRegistry) și se termină cu tipul de permisiune acordat (cum ar fi FullAccess). Atunci când creați propriile politici gestionate de clienți, este bine să urmați aceeași practică pentru a face numele mai ușor de utilizat și în concordanță cu omologii lor gestionați de AWS.

   

   Lista politicilor gestionate de AWS este relativ lungă.

   Rețineți că lista de politici vă indică numărul entităților atașate la o politică, astfel încât să știți dacă o politică este efectiv utilizată. De asemenea, puteți vedea timpul de creare a politicii și momentul în care cineva a editat-o ​​ultima dată. Simbolul din partea stângă a politicii arată tipul de politică, care este un cub stilizat pentru politicile gestionate de AWS.

   Înainte de a crea o politică gestionată de clienți, asigurați-vă că nu există o politică administrată de AWS care să acționeze în același scop. Folosirea politicii gestionate de AWS este mai simplă, mai puțin predispusă la erori și oferă actualizări automate după cum este necesar.

5. Faceți clic pe Creare politică.

   

   AWS oferă trei opțiuni pentru crearea de politici gestionate de clienți.

   Se afișează pagina Creare politică. AWS oferă trei opțiuni pentru crearea unei noi politici (în ordinea complexității):

   • Copiați o politică gestionată de AWS: O politică gestionată de AWS acționează ca punct de plecare. Faceți apoi modificări necesare pentru a personaliza politica pentru nevoile dvs.Deoarece această opțiune vă ajută să vă asigurați că creați o politică utilizabilă și necesită cea mai mică muncă, ar trebui să o utilizați ori de câte ori este posibil. Acest exemplu presupune că copiați o politică existentă gestionată de AWS deoarece frecvent urmați acest traseu.
   • Generator de polițe: Se referă la o interfață asemănătoare cu expertul pentru a permite sau a refuza acțiuni împotriva unui serviciu AWS. Puteți atribui permisiunea anumitor resurse (în unele cazuri) utilizând un nume de resursă Amazon, ARN sau pentru toate resursele (folosind *, asterisc). (Discuția descrie modul de creare și utilizare a ARN-urilor.) O politică poate conține mai multe permisiuni, fiecare dintre acestea apărând ca o declarație în cadrul politicii. După ce definiți politicile, expertul vă arată documentul de politică, pe care îl puteți edita manual dacă doriți. Expertul utilizează documentul de politică pentru a genera politica. Aceasta este cea mai bună opțiune de utilizat atunci când aveți nevoie de o singură politică pentru a acoperi mai multe servicii.
   • Creați o politică proprie: Definește o politică complet manuală. Tot ce vedeți este pagina documentului de politică, pe care trebuie să o completați manual utilizând sintaxa și gramatica corespunzătoare. Discuția vă spune mai multe despre cum să creați o politică complet manual. Utilizați această opțiune numai atunci când este necesar, deoarece timpul implicat în crearea documentului este substanțial și potențialul de eroare este mare.
6. Faceți clic pe Copiați o politică gestionată de AWS.

   Vedeți o listă a politicilor gestionate de AWS.

   

   Alegeți politica pe care doriți să o modificați.
7. Faceți clic pe Selectați lângă politica gestionată de AWS pe care doriți să o utilizați ca bază pentru politica gestionată de clienți. Exemplul folosește politica AmazonEC2FullAccess ca punct de pornire, dar aceiași pași se aplică modificării altor politici. Vedeți pagina de politică de revizuire afișată.

   

   Pagina Politică de revizuire afișează detaliile despre politica pe care o modificați.

   Începând cu o politică care are prea multe drepturi și eliminând drepturile pe care nu le doriți, este mult mai simplă decât să începeți cu o politică care are prea puține drepturi și să adăugați drepturile de care aveți nevoie. Adăugarea drepturilor implică introducerea unor noi intrări în documentul de politică, care necesită o cunoaștere detaliată a politicilor. Eliminarea drepturilor înseamnă evidențierea declarațiilor corecte pe care nu le doriți și le ștergeți.

8. Introduceți un nou nume în câmpul Nume de politică.

   Exemplul folosește MyCompanyEC2FullAccessNoCloudWatch ca nume de politică.

9. Modificați câmpul Descriere după cum este necesar pentru a defini modificările efectuate. Exemplul adaugă faptul că politica nu permite accesul la CloudWatch.
10. Modificați câmpul Document de politică după cum este necesar pentru a reflecta modificările de politică. Exemplul elimină următoarea secțiune a politicii din document: {

    "Efect": "Permite",

    "Acțiune": "cloudwatch: * "

    },

    Asigurați-vă că adăugați și eliminați virgule între politici, după cum este necesar, sau politica nu va funcționa conform așteptărilor.

    Faceți clic pe Validare politică.

    Dacă modificările pe care le-ați realizat funcționează conform destinației, veți vedea un mesaj de succes al acestei politici care este valabil în partea de sus a paginii. Verificați întotdeauna politica dvs. înainte de ao crea.

11. Faceți clic pe Creare politică. Veți vedea un mesaj de succes pe pagina Politici, plus o nouă înregistrare pentru politica dvs., după cum se arată. Rețineți că politica dvs. nu include o pictogramă tip de politică. Lipsa unei pictograme face politica mai ușor de găsit în listă.
12. AWS vă spune când ați adăugat cu succes o politică nouă.