Hvordan man opretter kundestyrede politikker i AWS - dummies

Når du oprindeligt opretter din AWS-konto (Amazon Web Services), er der kun en AWS-administreret politik på plads: AdministratorAccess. Når du har oprettet den første bruger og logger ind på AWS med din nye administratorkonto, kan du imidlertid få adgang til et stort antal AWS-administrerede politikker.

Når det er muligt, skal du bruge de AWS-forvaltede politikker for at sikre, at politikken modtager automatiske opdateringer, der afspejler ændringer i AWS-funktionaliteten. Når du bruger en kundestyret politik, skal du foretage de nødvendige opdateringer manuelt. Følgende trin får dig i gang med at bruge kundestyrede politikker.

1. Log ind på AWS ved hjælp af din administratorkonto.
2. Naviger til IAM Management Console .
3. Vælg Politikker i navigationsruden. Du kan se siden Velkommen til Administrerede politikker.

   

   Siden Velkommen til Administrerede politikker forklarer politikernes brug og får dig i gang.
4. Klik på Start. Du kan se en liste over tilgængelige AWS-administrerede politikker, som vist. Hvert af politiknavne starter med ordet Amazon (for at vise, at det er en AWS-styret politik) efterfulgt af servicenavnet (EC2 i figuren), eventuelt efterfulgt af målet for tilladelsen (som ContainerRegistry) og slutter med den slags tilladelse, der gives (f.eks. FullAccess). Når du opretter dine egne kundestyrede politikker, er det godt at følge den samme praksis for at gøre navne lettere at bruge og i overensstemmelse med deres AWS-administrerede modparter.

   

   Listen over AWS-styrede politikker er relativt lang.

   Bemærk, at politiklisten fortæller dig, hvor mange enheder der er knyttet til en politik, så du ved, om en politik faktisk er i brug. Du kan også se politikens oprettelsestid og den tid, som nogen sidst redigerede den. Symbolet på venstre side af politikken viser politiktypen, som er en stiliseret terning til AWS-styrede politikker.

   Inden du opretter en kundestyret politik, skal du sikre dig, at der ikke findes nogen AWS-administreret politik, der tjener samme formål. Brug af AWS-styret politik er enklere, mindre fejlgenereret og giver automatiske opdateringer efter behov.

5. Klik på Opret politik.

   

   AWS giver tre muligheder for at oprette kundestyrede politikker.

   Du får vist siden Opret politik, der vises. AWS giver tre muligheder for at oprette en ny politik (i overensstemmelse med kompleksitet):

   • Kopier en AWS Managed Policy: En AWS-styret politik fungerer som udgangspunkt. Du foretager derefter ændringer, der er nødvendige for at tilpasse politikken til dine behov.Fordi denne mulighed hjælper med at sikre, at du opretter en brugbar politik og kræver det mindste arbejde, bør du bruge det, når det er muligt. Dette eksempel forudsætter, at du kopierer en eksisterende AWS-styret politik, fordi du oftest følger denne rute.
   • Policy Generator: Tillader en wizardlig grænseflade til enten at tillade eller nægte handlinger mod en AWS-tjeneste. Du kan tildele tilladelse til bestemte ressourcer (i nogle tilfælde) ved hjælp af et Amazon-ressourcenavn, ARN eller til alle ressourcer (ved hjælp af en *, asterisk). (Diskussionen beskriver, hvordan man opretter og bruger ARN'er.) En politik kan indeholde flere tilladelser, der hver især fremgår som en erklæring i politikken. Når du har defineret politikker, viser guiden dig politidokumentet, som du kan redigere manuelt, hvis det ønskes. Guiden bruger politidokumentet til at generere politikken. Dette er den bedste mulighed at bruge, når du har brug for en enkelt politik til at dække flere tjenester.
   • Opret din egen politik: Definerer en politik helt for hånd. Alt du ser er politidokumentsiden, som du skal udfylde manuelt ved hjælp af passende syntaks og grammatik. Diskussionen fortæller dig mere om, hvordan du opretter en politik helt manuelt. Du bruger kun denne indstilling, når det er nødvendigt, fordi tiden der er involveret i oprettelsen af ​​dokumentet er væsentlig, og muligheden for fejl er høj.
6. Klik på Kopier en AWS-styret politik.

   Du ser en liste over AWS-administrerede politikker.

   

   Vælg den politik, du vil ændre.
7. Klik på Vælg ud for den AWS-Managed-politik, du vil bruge som grundlag for din kundestyrede politik. Eksemplet bruger AmazonEC2FullAccess-politikken som udgangspunkt, men de samme trin gælder for ændring af andre politikker. Du kan se siden for gennemgangspolitik, der vises.

   

   Siden Review Policy viser detaljerne om den politik, du ændrer.

   Begyndende med en politik, der har for mange rettigheder og fjerner de rettigheder, du ikke vil have, er betydeligt lettere end at starte med en politik, der har for få rettigheder og tilføjer de rettigheder, du har brug for. Tilføjelse af rettigheder indebærer at skrive nye poster i politidokumentet, som kræver en detaljeret viden om politikker. Fjernelse af rettigheder betyder at fremhæve de rigtige udsagn, du ikke vil have og slette dem.

8. Indtast et nyt navn i feltet Politiknavn.

   Eksemplet bruger MyCompanyEC2FullAccessNoCloudWatch som politiknavn.

9. Rediger feltet Beskrivelse efter behov for at definere de foretagne ændringer. Eksemplet tilføjer, at politikken ikke tillader adgang til CloudWatch.
10. Rediger feltet Politikdokument efter behov for at afspejle politiske ændringer. Eksemplet fjerner følgende politikafsnit fra dokumentet:

    {

    "Effekt": "Tillad",

    "Handling": "Cloudwatch: *",

    "Ressource": " * "

    },

    Sørg for, at du tilføjer og fjerner kommaer mellem politikker efter behov, eller politikken virker ikke som forventet.

11. Klik på Valider politik. Hvis de ændringer, du har foretaget, fungerer som det er beregnet, ser du en Denne politik er gyldig succesmeddelelse øverst på siden. Bekræft altid din politik, før du opretter den.
12. Klik på Opret politik. Du ser en succesmeddelelse på siden Politikker plus en ny post til din politik som vist. Bemærk, at din politik ikke indeholder et politiktypeikon. Manglen på et ikon gør politikken lettere at finde på listen.

    

    AWS fortæller dig, hvornår du har tilføjet en ny politik.