- Безопасность, идентификация и соответствие требованиям›
- AWS Identity and Access Management
Вопросы и ответы об Управлении идентификацией и доступом AWS (IAM)
Общие вопросы
Что такое Управление идентификацией и доступом AWS (IAM)?
IAM обеспечивает точный контроль доступа во всех сервисах AWS. С помощью IAM вы можете управлять доступом к сервисам и ресурсам в определенных условиях. Используйте политики IAM для управления разрешениями для сотрудников и систем, предоставляя наименьшие привилегии. Дополнительная плата за использование сервиса IAM не взимается. Дополнительную информацию см. в разделе Что такое IAM?
Как работает веб-сервис IAM и как его можно использовать?
IAM предоставляет функции аутентификации и авторизации для сервисов AWS. Этот сервис определяет, разрешен ли запрос AWS или запрещен. По умолчанию доступ запрещен и предоставляется только тогда, когда это явно разрешено в политике. Политики можно подключать к ролям и ресурсам, чтобы контролировать доступ во всех сервисах AWS. Дополнительную информацию см. в разделе Общие сведения о принципе работы IAM.
Что такое разрешения с минимальными привилегиями?
Когда вы предоставляете разрешения с использованием политик IAM, давайте только те разрешения, которые необходимы для выполнения задачи. Это называется предоставлением наименьшей привилегии. Чтобы применить разрешения с минимальными привилегиями в IAM, необходимо определить меры, которые следует принимать по отношению к определенным ресурсам в определенных условиях. Дополнительную информацию см. в разделе Управление доступом к ресурсам AWS.
Как начать использовать IAM?
Чтобы начать использовать IAM для управления разрешениями на доступ к сервисам и ресурсам AWS, создайте роль IAM и предоставьте ей разрешения. Для сотрудников создайте роль, которую может выполнять поставщик удостоверений. Для систем создайте роль, которую может выполнять используемый вами сервис, такой как Amazon EC2 или AWS Lambda. После создания роли можно подключить к ней политику, чтобы предоставить те разрешения, которые отвечают вашим требованиям. На первых порах вы можете еще не знать, какие именно разрешения вам нужны, поэтому можно начать с более широких. Политики, управляемые AWS, предоставляют разрешения, которые помогут вам начать работу. Они доступны во всех аккаунтах AWS. Впоследствии ограничьте разрешения, определив политики, управляемые клиентом, которые специфичны для ваших примеров использования. Вы можете создавать политики и роли и управлять ими с помощью консоли IAM, API AWS или интерфейса командной строки AWS. Дополнительную информацию см. в разделе Начало работы с IAM.
Ресурсы по IAM
Что представляют собой роли IAM и каков принцип их работы?
Роли Управления идентификацией и доступом AWS (IAM) позволяют получать доступ к AWS с использованием учетных данных системы безопасности с ограниченным сроком действия. Каждая роль обладает набором разрешений на выполнение запросов к сервисам AWS, и она не связана с конкретным пользователем или группой. Напротив, роли выполняют такие доверенные сущности, как поставщики удостоверений или сервисы AWS. Дополнительную информацию см. в разделе роли IAM.
Почему следует использовать роли IAM?
Роли IAM следует использовать для предоставления доступа к вашим аккаунтам AWS с использованием данных для доступа с ограниченным сроком действия. Это делается в соответствии с рекомендациями по безопасности. Авторизованные удостоверения, которые могут принадлежать сервисам или пользователям AWS вашего поставщика удостоверений, могут принимать роли для выполнения запросов к AWS. Чтобы предоставить роли привилегии, подключите к ней политику IAM. Дополнительную информацию см. в разделе Распространенные сценарии для ролей.
Что представляют собой пользователи IAM и следует ли мне все еще использовать их?
Пользователи IAM являются удостоверениями с данными для доступа на длительный срок. Пользователей IAM можно использовать для сотрудников. В таком случае AWS рекомендует использовать поставщика удостоверений и федеративного доступа к AWS с применением принятия ролей. Также вы можете использовать роли для предоставления нескольким аккаунтам доступа к сервисам и возможностям, таким как функции AWS Lambda. В некоторых сценариях вам могут понадобиться пользователи IAM с ключами доступа, которым предоставлены данные для доступа к вашему аккаунту AWS на длительный срок. Для этих сценариев AWS рекомендует применять информацию о последнем использовании IAM для частой ротации данных для доступа и удаления тех из них, которые не используются. Дополнительную информацию см. в разделе Обзор управления удостоверениями в AWS: пользователи.
Что такое политики IAM?
В политиках IAM определяются разрешения для сущностей, которые вы к ним подключаете. Например, чтобы предоставить доступ для роли IAM, подключите к ней политику. Разрешения в политике определяют, разрешены ли запросы или запрещены. Также можно добавлять политики к некоторым ресурсам, например к корзинам Amazon S3, чтобы предоставлять непосредственный доступ для нескольких аккаунтов. Кроме того, можно добавлять политики в организацию или организационное подразделение AWS, чтобы ограничить доступ для нескольких аккаунтов. Сервисы AWS обрабатывают эти политики, когда роль IAM делает запрос. Дополнительную информацию см. в разделе Политики на основе удостоверений.
Предоставление доступа
Как предоставить доступ к сервисам и ресурсам с использованием IAM?
Чтобы предоставить доступ к сервисам и ресурсам с использованием Управления идентификацией и доступом AWS (IAM), подключите политики IAM к ролям и ресурсам. Вы можете начать с подключения политик, управляемых AWS, которыми владеет и которые обновляет AWS. Они доступны во всех аккаунтах AWS. Если вы знаете, какие разрешения требуются именно для ваших примеров использования, то можете создать политики, управляемые клиентами, и подключить их к ролям. Для некоторых ресурсов AWS предусмотрен способ предоставления доступа путем определения политики, которая подключается к ресурсам, например к корзинам Amazon S3. Эти политики на основе ресурсов дают возможность предоставлять нескольким аккаунтам непосредственный доступ к ресурсам, к которым они подключены. Дополнительную информацию см. в разделе Управление доступом к ресурсам AWS.
Как создавать политики IAM?
Чтобы назначить разрешения для роли или ресурса, создайте политику в виде документа JavaScript Object Notation (JSON), где определены разрешения. В этот документ включены положения, которые разрешают или запрещают доступ к определенным действиям, ресурсам и условиям сервиса. После создания политики вы можете подключить ее к одной или нескольким ролям AWS, чтобы предоставить разрешения своему аккаунту AWS. Чтобы предоставить нескольким аккаунтам непосредственный доступ к таким ресурсам, как корзины Amazon S3, пользуйтесь политиками на основе ресурсов. Создавайте политики с помощью консоли IAM, API AWS или интерфейса командной строки AWS. Дополнительную информацию см. в разделе Создание политик IAM.
Что такое политики, управляемые AWS, и когда их следует использовать?
Политики, управляемые AWS, создаются и администрируются AWS. Они относятся к распространенным примерам использования. Для начала вы можете предоставить более широкие разрешения с использованием политик, управляемых AWS, которые доступны в вашем аккаунте AWS и являются общими для всех аккаунтов AWS. По мере уточнения требований вы можете ограничивать разрешения, определив управляемые клиентом политики, которые специфичны для ваших примеров использования. Это делается для того, чтобы обеспечить минимальные привилегии. Дополнительную информацию см. в разделе Политики, управляемые AWS.
Что такое политики, управляемые клиентом, и когда их следует использовать?
Чтобы предоставить только те разрешения, которые необходимы для выполнения задач, вы можете создать политики, управляемые клиентом и специфичные для ваших примеров использования и ресурсов. Используйте политики, управляемые клиентами, чтобы ограничивать разрешения в соответствии со специфическими требованиями. Дополнительную информацию см. в разделе Политики, управляемые клиентом.
Что такое встроенные политики и когда их следует использовать?
Такие политики встраиваются в определенные роли IAM и свойственны именно им. Используйте встроенные политики, если хотите поддерживать между политикой и удостоверением, к которому она применена, строгое отношение «один к одному». Например, вы можете предоставить права доступа администратора, чтобы убедиться, что они не подключены к другим ролям. Дополнительную информацию см. в разделе Встроенные политики.
Что такое политики на основе ресурсов и когда их следует использовать?
Политики на основе ресурсов – это политики предоставления разрешений, подключенные к ресурсам. Политики на основе ресурсов можно подключать, например, к корзинам Amazon S3, очередям Amazon SQS, конечным точкам VPC и ключам шифрования AWS Key Management Service. Список сервисов, которые поддерживают политики на основе ресурсов см. в разделе Сервисы AWS, которые работают с IAM. Пользуйтесь политиками на основе ресурсов, чтобы предоставлять нескольким аккаунтам непосредственный доступ. С помощью политик на основе ресурсов вы можете указать, кто имеет доступ к ресурсу и какие действия с ним может выполнять. Дополнительную информацию см. в разделе Политики на основе удостоверений и политики на основе ресурсов.
Что такое управление доступом на основе ролей (RBAC)?
RBAC предоставляет способ назначения разрешений в зависимости от профессиональных обязанностей, которые за пределами AWS называются ролью. IAM предоставляет RBAC, определяя роли IAM с разрешениями, которые соответствуют профессиональным обязанностям. Впоследствии можно предоставить отдельным пользователям доступ для принятия на себя этих ролей и выполнения определенных профессиональных обязанностей. С помощью RBAC вы можете контролировать доступ, просматривая каждую роль IAM и подключенные к ней разрешения. Дополнительную информацию см. в разделе Сравнение ABAC с традиционной моделью RBAC.
Как предоставить доступ с использованием RBAC?
Рекомендуется предоставлять доступ только к определенным действиям и ресурсам сервиса для выполнения каждой задачи. Это называется предоставлением минимальных привилегий. Когда сотрудники добавляют новые ресурсы, вам необходимо обновлять политики, чтобы предоставлять доступ к этим ресурсам.
Что такое контроль доступа на основе атрибутов (ABAC)?
ABAC – это стратегия авторизации, в которой определены разрешения на основе атрибутов. В AWS эти атрибуты называются тегами. Их можно определять для ресурсов AWS, ролей IAM и в сеансах ролей. С использованием ABAC вы определяете набор разрешений на основе значения тега. Вы можете предоставить точные разрешения для определенных ресурсов, затребовав, чтобы теги роли или сеанса совпадали с тегами ресурса. Например, вы можете создать политику, которая предоставляет разработчикам доступ к ресурсам, отмеченным тегом «разработчики». ABAC полезно применять в средах, которые быстро расширяются, предоставляя разрешения для ресурсов при их создании с определенными тегами. Дополнительную информацию см. в разделе Контроль доступа на основе атрибутов для AWS.
Как предоставить доступ с использованием ABAC?
Чтобы предоставить доступ с использованием ABAC, сначала определите ключи и значения тегов, которые требуется использовать для контроля доступа. Затем убедитесь, что ваша роль IAM имеет соответствующие ключи и значения тегов. Если эта роль используется несколькими удостоверениями, вы можете также определить ключи и значения тегов сеансов. После этого убедитесь, что вашим ресурсам назначены соответствующие ключи и значения тегов. Также вы можете потребовать, чтобы пользователи создавали ресурсы с соответствующими тегами и ограничить доступ к их изменению. После того как вы назначите теги, определите политику, которая предоставляет доступ к определенным действиям и типам ресурсов, но только в случае, если теги роли или сеанса совпадают с тегами ресурса. Подробное учебное пособие, которое демонстрирует, как пользоваться ABAC в AWS, см. в разделе Учебное пособие по IAM: определение разрешений для доступа к ресурсам AWS на основе тегов.
Ограничение доступа
Как ограничить доступ с помощью IAM?
При использовании AWS Identity and Access Management (IAM) доступ полностью запрещен по умолчанию и требуется политика, предоставляющая доступ. При управлении большим количеством разрешений может потребоваться ввести ограничения разрешений и ограничить доступ для всех аккаунтов. Для ограничения доступа определите в любой политике оператор Deny. Если к запросу на доступ применен оператор Deny, то он всегда имеет приоритет перед оператором Allow. Например, если разрешен доступ ко всем действиям в AWS, но запрещен к IAM, то будет запрещена отправка любых запросов к IAM. Оператор Deny можно включить в политику любого типа, в том числе на основе удостоверений, ресурсов и в политики контроля сервисов в AWS Organizations. Дополнительную информацию см. в разделе Управление доступом с помощью сервиса Управления идентификацией и доступом AWS.
Что такое политики управления сервисами (SCP) организации AWS и когда их следует использовать?
SCP подобны политикам IAM, и в них используется почти тот же синтаксис. Однако SCP не дают разрешений. Напротив, SCP разрешают или запрещают доступ к сервисам AWS для отдельных аккаунтов участников AWS Organizations или для групп аккаунтов в организационном подразделении. Действия, указанные в SCP, затрагивают всех пользователей и все роли IAM, в том числе пользователя root аккаунта участника. Дополнительную информацию см. в разделе Логика анализа политик.
Анализ доступа
Как предоставить разрешения с минимальными привилегиями?
Сначала, когда вы обучаетесь и экспериментируете, можно предоставить более широкие разрешения. AWS рекомендует ограничивать разрешения по мере отработки примеров использования и предоставлять только необходимые разрешения в соответствии с принципом разрешений с минимальными привилегиями. AWS предоставляет инструменты, которые помогут вам ограничить разрешения. Вы можете начать с политик, управляемых AWS, которые создаются и администрируются AWS. Они относятся к распространенным примерам использования. По мере введения ограничений определяйте конкретные разрешения в политиках, управляемых клиентом. Чтобы определить, какие конкретно разрешения вам нужны, воспользуйтесь Анализатором доступа Управления идентификацией и доступом AWS (IAM), просматривайте журналы AWS CloudTrail и информацию о последней попытке доступа. Также вы можете воспользоваться Симулятором политик IAM, чтобы тестировать политики и устранять неполадки.
Что такое Анализатор доступа IAM?
Внедрение принципа минимальных привилегий – это непрерывный цикл выдачи подходящих точных разрешений по мере возникновения требований. IAM Access Analyzer помогает оптимизировать управление разрешениями на каждом шагу этого цикла. Благодаря созданию политики с помощью Анализатора доступа IAM можно подготовить детализированную политику на основе записанной в журналах активности доступа. Значит, после создания и запуска приложения вы можете готовить политики, предоставляющие только необходимые разрешения для работы с приложением. В основе проверки политики с помощью IAM Access Analyzer – более 100 проверок, что позволяет авторизовать и проверить безопасные и функциональные политики. Вы можете использовать их во время создания новых политик или для проверки существующих. Настраиваемые проверки политик – это платная функция, позволяющая проверить соответствие политик, созданных разработчиками, указанным стандартам безопасности клиента перед развертыванием. Настраиваемые проверки политик используют возможности автоматизированных рассуждений (доказуемого обеспечения безопасности, подкрепленного математическим доказательством), что позволяет специалистам по безопасности заблаговременно выявлять несоответствующие требованиям изменения в политиках.
Публичные и межаккаунтные выводы с Анализатором доступа IAM помогут вам проверить и уточнить доступ, разрешенный политиками ресурсов за пределами вашей организации или аккаунта AWS. Дополнительную информацию см. в разделе Использование Анализатора доступа IAM. Функция анализа неиспользуемого доступа с помощью Анализатора доступа IAM постоянно анализирует ваши аккаунты для выявления неиспользуемого доступа и создает централизованную панель аналитики с полученными данными. Полученные данные отражают неиспользуемые роли, неиспользуемые ключи доступа для пользователей IAM и неиспользуемые пароли для пользователей IAM. Для активных ролей и пользователей IAM в полученных данных отражаются неиспользуемые сервисы и действия.
Как удалить неиспользуемые разрешения?
Некоторые пользователи, роли и разрешения IAM в вашем аккаунте AWS могут оказаться невостребованными. Рекомендуем удалять их, чтобы реализовать принцип доступа с минимальными привилегиями. Для проверки пользователей IAM вы можете просмотреть время последней попытки использования пароля и ключа доступа. Для проверки ролей можно просмотреть время последней попытки использования роли. Эта информация доступна в консоли IAM, в API и SDK. Информация о последней попытке использования помогает вам определить, какие пользователи и роли больше не используются, чтобы безопасно удалить их. Также вы можете ограничить разрешения, просмотрев информацию о сервисе и последней попытке доступа, чтобы определить, какие разрешения не используются. Дополнительную информацию см. в разделе Ограничение доступа в AWS с использованием информации о последней попытке доступа.
Если вы включите анализатор неиспользуемого доступа в качестве платной функции, Анализатор доступа IAM будет постоянно анализировать ваши аккаунты для выявления неиспользуемого доступа и создавать централизованную панель аналитики с полученными данными. Информационная панель помогает специалистам по безопасности централизованно анализировать полученные данные и определять приоритет аккаунтов в зависимости от объема полученных данных. Специалисты по безопасности могут использовать панель аналитики для централизованного анализа результатов и определения приоритета проверки аккаунтов в зависимости от объема полученных данных. Полученные данные отражают неиспользуемые роли, неиспользуемые ключи доступа для пользователей IAM и неиспользуемые пароли для пользователей IAM. Для активных ролей и пользователей IAM в полученных данных отражаются неиспользуемые сервисы и действия. Это упрощает проверку неиспользуемого доступа для реализации наименьших привилегий. Используя эту функцию, вы платите за анализируемую роль IAM или пользователя IAM в месяц.
Что такое симулятор политик IAM и когда его следует использовать?
Симулятор политик IAM анализирует выбранные вами политики и определяет действующие разрешения для каждого указанного действия. Используйте симулятор политик для тестирования политик на основе удостоверений и ресурсов, ограничений разрешений IAM и SCP, а также для устранения соответствующих неполадок. Дополнительную информацию см. в разделе Тестирование политик IAM с помощью симулятора политик IAM.
Что такое настраиваемые проверки политик в Анализаторе доступа IAM?
В рамках настраиваемых проверок политик Анализатор доступа IAM проверяет соответствие политик IAM вашим стандартам безопасности перед развертыванием. Настраиваемые проверки политик используют возможности автоматизированных рассуждений (доказуемого обеспечения безопасности, подкрепленного математическим доказательством), что позволяет специалистам по безопасности заблаговременно выявлять несоответствующие требованиям изменения в политиках. Например, изменения политики IAM, которые налагают меньше ограничений, чем в предыдущей версии. Службы безопасности могут использовать эти проверки для оптимизации процессов, автоматического утверждения политик, соответствующих их стандартам безопасности, и проведения более тщательных проверок несоответствующих политик. Этот новый вид проверки обеспечивает более высокий уровень безопасности в облаке. Специалисты по безопасности и разработке могут автоматизировать анализ политик в любом масштабе, интегрируя настраиваемые проверки в инструменты и среды, в которых разрабатываются политики, например в конвейеры CI/CD.
Что такое неиспользуемый доступ в Анализаторе доступа IAM Access Analyzer?
IAM Access Analyzer упрощает проверку неиспользуемого доступа, чтобы помочь вам получить наименьшие привилегии. Специалисты по безопасности могут использовать IAM Access Analyzer, чтобы отслеживать неиспользуемый доступ в своей организации AWS и автоматизировать процесс определения объема разрешений. При включении анализатора неиспользуемого доступа, Анализатор доступа IAM будет постоянно анализировать ваши аккаунты для выявления неиспользуемого доступа и создавать централизованную информационную панель с полученными данными. Информационная панель помогает специалистам по безопасности централизованно анализировать полученные данные и определять приоритет аккаунтов в зависимости от объема полученных данных. Специалисты по безопасности могут использовать панель аналитики для централизованного анализа результатов и определения приоритета проверки аккаунтов в зависимости от объема полученных данных. Полученные данные отражают неиспользуемые роли, неиспользуемые ключи доступа для пользователей IAM и неиспользуемые пароли для пользователей IAM. Для активных ролей и пользователей IAM в полученных данных отражаются неиспользуемые сервисы и действия.