Как создать минимальные и полные роли / разрешения IAM с учетом требований?

Question

Как создать минимальные и полные роли / разрешения IAM с учетом требований?

IAM предоставляет разработчикам средства контроля, чтобы ограничить, какие пользователи могут получать доступ к определенным службам, какие действия они могут выполнять и какие ресурсы доступны (виртуальные машины, экземпляры баз данных и т. Д.).

Учитывая список ресурсов, вызовов API и используемых служб, как можно создать минимальную (но достаточно свободную) роль или пользователя IAM для этого проекта?

Вдохновленный ответом Exelian на Jiew Meng in Есть ли способ определить, какие разрешения IAM мне действительно нужны для шаблона CloudFormation?:

Jiew Meng: "Я думаю, должен быть какой-то парсер, который с помощью шаблона CloudFormation может определить минимальный набор разрешений для него"
Exelian: "Я обсуждал это с несколькими инженерами AWS на конференции, и они ответили:" Не совсем ". Лучший способ - ничего не назначать и смотреть, какие ошибки он выдает".

0

amazon-web-services aws-iam

Источник

user4562156 31 июл '18 в 01:37

1 ответ

Другие вопросы по тегам amazon-web-services aws-iam

user751621 11 сен '18 в 03:38 2018-09-11 03:38 · Answer 1 · 2018-09-11 03:38

"Не совсем" все еще применяется. Вы должны вручную разработать свои роли и политики и протестировать их. Но есть несколько инструментов, которые могут помочь:

Генератор политик AWS и фрагменты шаблона управления идентификацией и доступом AWS для начала работы.
Заполните AWS IAM Reference, чтобы проверить детали.
Затем экспертная оценка и тестирование.