AWS IAM применимые политики и связанные объекты
Задав этот вопрос, я немного покопался и нашел пару политик с:
{
"Effect":"Allow",
"Action":"*",
"Resource":"*"
}
в них.
Прочитав страницу логики оценки политик снова, мне выделяется второй шаг:
- Оцените все применимые политики.
Первая часть моего вопроса: как AWS определяет, какие политики применимы? Насколько я понимаю, это можно сделать, взглянув на Принцип и / или Ключи ресурсов.
НО: в IAM эти политики связывают сущности, которые, на мой взгляд, совпадают с принципами. Что касается второй части вопроса:что связанное лицо делает с политикой? Насколько я понимаю, все это говорит AWS, что политика применима к роли, но я не понимаю, как это работает с "Resource":"*" в политике.
так:
- Как AWS определяет, какие политики применимы?
- Что присоединенный объект делает с политикой?
- Делает
"Resource":"*"политика всегда применима?
1 ответ
1> Делая запрос (используя ключи доступа или консоль), вы передаете имя пользователя / имя роли. Допустим, вы получаете доступ к API через пользователя IAM. Таким образом, AWS проверит политику, привязанную к пользователю, политику, связанную с группой IAM (если есть). Кроме того, он также проверяет, существует ли какая-либо основанная на ресурсе политика, например, политика сегмента S3, тематическая политика SNS, которая определяется ресурсом в запросе.
2> Политика ничего не делает, если вы не присоединяете ее к сущности IAM или любым ресурсам (для политики на основе ресурсов). Присоединенный объект (я думаю, что вы имеете в виду объекты IAM) используются для определения принципала и, в свою очередь, сообщают, где проверять разрешение (является ли он пользователем IAM, затем проверяют членство в группе IAM и т. Д.).
3> Ресурс:* означает, что эта политика разрешает любые ресурсы AWS. Таким образом, политика, которую вы упомянули, будет переводить: Разрешить ("Эффект":"Разрешить") каждое действие ("Действие":"") на всех ресурсах ("Ресурс":"").
Надеюсь это поможет..