Come creare criteri gestiti dai clienti in AWS - dummies

Quando crei inizialmente l'account AWS (Amazon Web Services), è presente una sola politica gestita da AWS: AdministratorAccess. Tuttavia, dopo aver creato il primo utente e aver effettuato l'accesso ad AWS utilizzando il nuovo account amministratore, è possibile accedere a un gran numero di politiche gestite da AWS.

Quando possibile, è necessario utilizzare le politiche gestite da AWS per garantire che la politica riceva aggiornamenti automatici che riflettono le modifiche nella funzionalità AWS. Quando si utilizza una politica gestita dal cliente, è necessario eseguire manualmente gli eventuali aggiornamenti richiesti. I seguenti passaggi consentono di iniziare a utilizzare le politiche gestite dai clienti.

1. Accedi ad AWS usando il tuo account amministratore.
2. Passare alla IAM Management Console .
3. Seleziona criteri nel riquadro di navigazione. Viene visualizzata la pagina Benvenuto nelle politiche gestite.

   

   La pagina Benvenuto nelle politiche gestite spiega gli usi delle policy e ti consente di iniziare.
4. Fai clic su Inizia. Viene visualizzato un elenco di criteri gestiti da AWS disponibili, come mostrato. Ciascun nome della politica inizia con la parola Amazon (per mostrare che si tratta di una politica gestita da AWS), seguita dal nome del servizio (EC2 nella figura), facoltativamente seguita dalla destinazione dell'autorizzazione (come ContainerRegistry) e che termina con il tipo di permesso concesso (come FullAccess). Quando si creano le proprie politiche gestite dai clienti, è opportuno seguire la stessa pratica per rendere i nomi più facili da usare e coerenti con le controparti gestite da AWS.

   

   L'elenco delle politiche gestite da AWS è relativamente lungo.

   Si noti che l'elenco delle policy indica il numero di entità associate a un criterio in modo da sapere se un criterio è effettivamente in uso. Puoi anche vedere il tempo di creazione della politica e l'ora in cui qualcuno l'ha modificato. Il simbolo sul lato sinistro della politica mostra il tipo di politica, che è un cubo stilizzato per le politiche gestite da AWS.

   Prima di creare un criterio gestito dal cliente, accertarsi che non esistano criteri gestiti da AWS che abbiano lo stesso scopo. L'uso della politica gestita da AWS è più semplice, meno incline agli errori e fornisce aggiornamenti automatici in base alle esigenze.

5. Fai clic su Crea politica.

   

   AWS offre tre opzioni per la creazione di politiche gestite dal cliente.

   Viene visualizzata la pagina Crea politica. AWS offre tre opzioni per la creazione di una nuova politica (in ordine di complessità):

   • Copia una politica gestita da AWS: Una politica gestita da AWS funge da punto di partenza. Quindi si apportano le modifiche necessarie per personalizzare la politica in base alle proprie esigenze.Poiché questa opzione consente di creare una politica utilizzabile e richiede il minimo lavoro, è consigliabile utilizzarla ogni volta che è possibile. In questo esempio si presuppone che copi una politica gestita da AWS esistente perché segui questa route più spesso.
   • Generatore di norme: si basa su un'interfaccia wizardlike per consentire o negare azioni contro un servizio AWS. È possibile assegnare l'autorizzazione a risorse specifiche (in alcuni casi) utilizzando un Nome risorsa Amazon, ARN o tutte le risorse (utilizzando *, asterisco). (La discussione descrive come creare e utilizzare gli ARN.) Una politica può contenere più autorizzazioni, ognuna delle quali appare come una dichiarazione all'interno della politica. Dopo aver definito i criteri, la procedura guidata mostra il documento della politica, che è possibile modificare manualmente se lo si desidera. La procedura guidata utilizza il documento della politica per generare la politica. Questa è l'opzione migliore da utilizzare quando è necessario un singolo criterio per coprire più servizi.
   • Crea il tuo criterio: Definisce una politica completamente a mano. Tutto ciò che vedi è la pagina del documento della politica, che devi compilare manualmente usando la sintassi e la grammatica appropriate. La discussione ti dice di più su come creare un criterio completamente manualmente. Questa opzione viene utilizzata solo quando è necessario perché il tempo richiesto per la creazione del documento è notevole e il potenziale di errore è elevato.
6. Fare clic su Copia una politica gestita da AWS.

   Viene visualizzato un elenco di criteri gestiti da AWS.

   

   Scegli la politica che desideri modificare.
7. Fare clic su Seleziona accanto alla politica gestita da AWS che si desidera utilizzare come base per la politica gestita dal cliente. L'esempio utilizza la politica AmazonEC2FullAccess come punto di partenza, ma gli stessi passaggi si applicano alla modifica di altri criteri. Viene visualizzata la pagina delle norme di revisione.

   

   La pagina Polizza di revisione mostra i dettagli sulla politica che stai modificando.

   Iniziare con una politica che ha troppi diritti e rimuovere i diritti che non si desidera è significativamente più facile che iniziare con una politica che ha pochi diritti e aggiunge i diritti necessari. L'aggiunta di diritti comporta la digitazione di nuove voci nel documento della politica, che richiede una conoscenza dettagliata delle politiche. Rimuovere i diritti significa evidenziare le dichiarazioni giuste che non vuoi e cancellarle.

8. Digitare un nuovo nome nel campo Nome politica.

   L'esempio utilizza MyCompanyEC2FullAccessNoCloudWatch come nome della politica.

9. Modificare il campo Descrizione come necessario per definire le modifiche apportate. L'esempio aggiunge che la politica non consente l'accesso a CloudWatch.
10. Modificare il campo Documento della politica secondo necessità per riflettere i cambiamenti delle politiche. L'esempio rimuove la seguente sezione politica dal documento:

    {

    "Effetto": "Consenti",

    "Azione": "cloudwatch: *",

    "Risorsa": " * "

    },

    Assicurarsi di aggiungere e rimuovere virgole tra le politiche secondo necessità, altrimenti il ​​criterio non funzionerà come previsto.

11. Fai clic su Convalida criteri. Se le modifiche apportate funzionano come previsto, viene visualizzato un messaggio di successo Questo criterio è valido nella parte superiore della pagina. Convalida sempre la tua politica prima di crearla.
12. Fai clic su Crea politica. Viene visualizzato un messaggio di successo nella pagina Politiche, oltre a una nuova voce per la politica, come mostrato. Si noti che la politica non include un'icona del tipo di politica. La mancanza di un'icona rende la politica più facile da trovare nell'elenco.

    

    AWS ti dice quando hai aggiunto con successo una nuova politica.