Video: Privacy, Security, Society - Computer Science for Business Leaders 2016 2024
Wanneer u uw AWS (Amazon Web Services) -account aanmaakt, is er slechts één door AWS beheerd beleid: AdministratorAccess. Nadat u echter de eerste gebruiker hebt gemaakt en zich bij AWS hebt aangemeld met uw nieuwe beheerdersaccount, hebt u toegang tot een groot aantal door AWS beheerde beleidsregels.
Gebruik waar mogelijk het door AWS beheerde beleid om ervoor te zorgen dat het beleid automatische updates ontvangt die wijzigingen in de AWS-functionaliteit weerspiegelen. Wanneer u een door de klant beheerd beleid gebruikt, moet u alle vereiste updates handmatig uitvoeren. De volgende stappen helpen u om door de klant beheerd beleid te gebruiken.
- Meld u aan bij AWS met uw beheerdersaccount.
- Navigeer naar de IAM Management Console .
- Selecteer Beleid in het navigatievenster. U ziet de pagina Welkom bij beheerd beleid. De pagina Welcome to Managed Policies beschrijft de gebruiken van het beleid en helpt u op weg.
- Klik op Aan de slag. U ziet een lijst met beschikbare AWS-beheerde beleidsregels, zoals weergegeven. Elk van de beleidsnamen begint met het woord Amazon (om aan te geven dat het een AWS-beheerd beleid is), gevolgd door de servicenaam (EC2 in de afbeelding), optioneel gevolgd door het doelwit van de machtiging (zoals ContainerRegistry) en het einde met het soort verleende toestemming (zoals FullAccess). Bij het maken van uw eigen door de klant beheerde beleid is het goed om dezelfde werkwijze te volgen om de namen gemakkelijker te gebruiken en consistent te maken met hun AWS-beheerde collega's.
Houd er rekening mee dat in de beleidslijst het aantal entiteiten wordt vermeld dat aan een beleid is gekoppeld, zodat u weet of een beleid daadwerkelijk wordt gebruikt. U kunt ook de tijd zien voor het maken van het beleid en de tijd waarop iemand deze voor het laatst heeft bewerkt. Het symbool aan de linkerkant van het beleid toont het beleidstype, dat een gestileerde kubus is voor door AWS beheerd beleid.
Voordat u een door de klant beheerd beleid maakt, moet u ervoor zorgen dat er geen door AWS beheerd beleid bestaat dat hetzelfde doel dient. Het gebruik van het AWS-beheerde beleid is eenvoudiger, minder gevoelig voor fouten en biedt indien nodig automatische updates.
- Klik op Beleid maken.
AWS biedt drie opties voor het maken van door de klant beheerd beleid.
U ziet de pagina Beleid maken, weergegeven. AWS biedt drie opties voor het maken van een nieuw beleid (in volgorde van complexiteit):
- Een door AWS beheerd beleid kopiëren: Een door AWS beheerd beleid fungeert als een startpunt. U brengt vervolgens wijzigingen aan om het beleid aan uw behoeften aan te passen.Omdat deze optie ervoor zorgt dat u een bruikbaar beleid maakt en het minste werk vereist, moet u het zo veel mogelijk gebruiken. In dit voorbeeld wordt ervan uitgegaan dat u een bestaand door AWS beheerd beleid kopieert omdat u deze route het vaakst volgt.
- Beleidsgenerator: vertrouwt op een wizardachtige interface om acties toe te staan of te weigeren tegen een AWS-service. U kunt de machtiging toewijzen aan specifieke bronnen (in sommige gevallen) met behulp van een Amazon Resource Name, ARN of aan alle bronnen (met behulp van een *, asterisk). (In de discussie wordt beschreven hoe ARN's kunnen worden gemaakt en gebruikt.) Een beleid kan meerdere machtigingen bevatten, die elk worden weergegeven als een statement binnen het beleid. Nadat u beleidsregels hebt gedefinieerd, toont de wizard u het beleidsdocument, dat u desgewenst handmatig kunt bewerken. De wizard gebruikt het beleidsdocument om het beleid te genereren. Dit is de beste optie om te gebruiken wanneer u één beleid nodig hebt om meerdere services te dekken.
- Maak uw eigen beleid: Definieert een beleid volledig met de hand. Het enige dat u ziet is de beleidsdocumentpagina, die u handmatig moet invullen met de juiste syntaxis en grammatica. De discussie vertelt u meer over hoe u een beleid volledig handmatig kunt maken. U gebruikt deze optie alleen als dat nodig is omdat de tijd die gemoeid is met het maken van het document aanzienlijk is en de kans op fouten groot is.
- Klik op Door AWS beheerd beleid kopiëren.
U ziet een lijst met door AWS beheerd beleid.
Kies het beleid dat u wilt wijzigen. - Klik op Selecteren naast het door AWS beheerde beleid dat u wilt gebruiken als basis voor uw door klanten beheerde beleid. Het voorbeeld maakt gebruik van het AmazonEC2FullAccess-beleid als uitgangspunt, maar dezelfde stappen zijn van toepassing op het wijzigen van ander beleid. U ziet de pagina Beoordelingsbeleid weergegeven.
De pagina Beoordelingsbeleid bevat de details over het beleid dat u aan het wijzigen bent.
Beginnen met een beleid met te veel rechten en het verwijderen van de rechten die u niet wilt, is aanzienlijk eenvoudiger dan te beginnen met een beleid dat te weinig rechten heeft en de rechten toevoegt die u nodig hebt. Het toevoegen van rechten houdt het typen van nieuwe vermeldingen in het beleidsdocument in, wat een gedetailleerde kennis van het beleid vereist. Rechten verwijderen betekent dat u de juiste uitspraken die u niet wilt, markeert en ze verwijdert.
- Typ een nieuwe naam in het veld Beleidsnaam.
Het voorbeeld gebruikt MyCompanyEC2FullAccessNoCloudWatch als de naam van het beleid.
- Wijzig het veld Beschrijving naar behoefte om de gemaakte wijzigingen te definiëren. Het voorbeeld voegt eraan toe dat het beleid toegang tot CloudWatch niet toestaat.
- Wijzig het veld Beleidsdocument zo nodig om beleidswijzigingen weer te geven. Het voorbeeld verwijdert de volgende beleidssectie uit het document:
{
"Effect": "Allow",
"Action": "cloudwatch: *",
"Resource": " * "
},
Zorg ervoor dat u zo nodig komma's toevoegt en verwijdert tussen beleidsregels of dat het beleid niet werkt zoals verwacht.
- Klik op Beleid valideren. Als de wijzigingen die u hebt aangebracht werken zoals bedoeld, ziet u de melding 'Dit beleid is geldig' boven aan de pagina. Bevestig altijd uw beleid voordat u het maakt.
- Klik op Beleid maken. U ziet een succesbericht op de pagina Beleid, plus een nieuw item voor uw beleid, zoals weergegeven. Houd er rekening mee dat uw beleid geen pictogram van het type beleid bevat. Het ontbreken van een pictogram maakt het beleid gemakkelijker te vinden in de lijst. AWS vertelt u wanneer u met succes een nieuw beleid heeft toegevoegd.