Jak korzystać z polityk zarządzanych przez klienta w AWS IAM Identity Center dla zaawansowanych przypadków użycia

26 października 2022

Jak korzystać z polityk zarządzanych przez klienta w AWS IAM Identity Center dla zaawansowanych przypadków użycia

Szukasz prostszego sposobu zarządzania uprawnieniami na wszystkich swoich kontach AWS? Być może łączysz swojego dostawcę tożsamości (IdP) z każdym kontem i dzielisz uprawnienia i autoryzację między zespoły chmury i tożsamości, ale potrzebujesz prostszego modelu administracyjnego. Być może korzystasz z AWS IAM Identity Center (następcy AWS Single Sign-On), ale brakuje Ci miejsca w zestawie polityk uprawnień; lub potrzebujesz sposobu na zachowanie wzorów do naśladowania podczas dostosowywania polityk na każdym koncie, aby odwoływały się do ich konkretnych zasobów. A może rozważasz IAM Identity Center jako alternatywę dla federacji na konto, ale potrzebujesz sposobu na ponowne wykorzystanie utworzonych już polityk zarządzanych przez klienta. Dobre wieści! Teraz możesz użyć polityk zarządzanych przez klienta (CMPs) i granic uprawnień (PB), aby pomóc w tych bardziej zaawansowanych sytuacjach.

W tym poście wyjaśnimy, jak korzystać z CMPS i PB z IAM Identity Center, aby rozwiązać te kwestie. Opiszemy, jak działa IAM Identity Center, jak tego typu polityki współpracują z IAM Identity Center oraz jak najlepiej korzystać z CMP i PB z IAM Identity Center. Pokażemy Ci również, jak skonfigurować i używać CMP we wdrożeniu IAM Identity Center.

IAM Identity Center

 

Dzięki IAM Identity Center możesz centralnie zarządzać dostępem do wielu kont AWS i aplikacji biznesowych, jednocześnie zapewniając użytkownikom w miejscu logowanie typu single sign-on z wybranym przez Ciebie systemem tożsamości. Zamiast zarządzać tożsamością na każdym koncie indywidualnie, IAM Identity Center zapewnia jedno miejsce do łączenia istniejącego dostawcy tożsamości, usług domenowych Microsoft Active Directory (AD DS) lub użytkowników siły roboczej utworzonych bezpośrednio w AWS. Ponieważ IAM Identity Center integruje się z AWS Organizations, zapewnia również centralne miejsce do definiowania ról, przypisywania ich do użytkowników i grup oraz zapewnia użytkownikom portal, w którym mogą uzyskać dostęp do przypisanych im kont.

Dzięki AWS Identity Center zarządzasz dostępem do kont, tworząc i przypisując zestawy uprawnień. Są to szablony ról AWS Identity and Access Management (IAM), które definiują (między innymi), jakie polityki należy uwzględnić w roli. Jeśli dopiero zaczynasz, możesz dołączyć polityki zarządzane AWS do zestawu uprawnień. Te polityki, utworzone przez zespoły serwisowe AWS, umożliwiają rozpoczęcie pracy bez konieczności uczenia się, jak tworzyć polityki uprawnień IAM w formacie JSON.

W bardziej zaawansowanych przypadkach, w których nie możesz wystarczająco wyrazić polityk za pomocą polityk wbudowanych, możesz utworzyć niestandardową politykę w zestawie uprawnień. Gdy przypisujesz zestaw uprawnień do użytkowników lub grup na określonym koncie, IAM Identity Center tworzy rolę na podstawie szablonu, a następnie kontroluje dostęp typu single sign-on logowania do roli. Podczas tworzenia ról IAM Identity Center dołącza określone polityki zarządzane przez AWS i dodaje do roli dowolne niestandardowe polityki jako polityki wbudowane. Te niestandardowe polityki muszą mieścić się w przydziale uprawnień 10 240 znaków dla polityk wbudowanych.

IAM dostarcza również dwa inne typy niestandardowych polityk, które zwiększają elastyczność podczas zarządzania dostępem na kontach AWS. Polityki zarządzane przez klienta (CMP) to samodzielne polityki, które tworzysz i które możesz dołączyć do ról na swoich kontach AWS, aby przyznać lub odmówić dostępu do zasobów AWS. Granice uprawnień (PB) zapewniają zaawansowaną funkcję, która określa maksymalne uprawnienia, jakie może mieć rola. Zarówno w przypadku CMP, jak i PB tworzysz niestandardowe polityki na swoim koncie, a następnie dołączasz je do ról. IAM Identity Center obsługuje teraz dołączanie obu tych elementów do zestawów uprawnień, dzięki czemu możesz obsługiwać przypadki, w których polityki AWS Managed Policies i polityki wbudowane mogą nie wystarczyć.

Jak CMP i PB współpracują z IAM Identity Center

 

Chociaż możesz tworzyć użytkowników uprawnień IAM do zarządzania dostępem do kont i zasobów AWS, AWS zaleca używanie w tym celu ról zamiast użytkowników uprawnień IAM. Role działają jak tożsamość (czasami nazywana  IAM principal) i przypisujesz uprawnienia (polityki oparte na tożsamości) do roli. Jeśli do przyjęcia roli używasz konsoli AWS Management Console lub interfejsu AWS Command Line Interface otrzymujesz uprawnienia roli, którą przyjąłeś. Dzięki prostszemu sposobowi utrzymywania użytkowników i grup w jednej lokalizacji AWS oraz możliwości centralnego zarządzania i przypisywania ról, AWS zaleca korzystanie z IAM Identity Center do zarządzania dostępem do kont AWS.

W tej nowej wersji IAM Identity Center masz możliwość określenia nazw CMP i jednego PB w swoim zestawie uprawnień (role definition). Spowoduje to zmianę sposobu, w jaki IAM Identity Center przydziela role na kontach. Gdy przypisujesz użytkownika lub grupę do zestawu uprawnień, IAM Identity Center sprawdza konto docelowe, aby sprawdzić, czy są obecne wszystkie określone CMP i PB. Jeśli wszystkie są obecne, IAM Identity Center tworzy rolę na koncie i dołącza określone polityki. Jeśli brakuje któregokolwiek z określonych CMP lub PB, IAM Identity Center odrzuci utworzenie roli.

To wszystko brzmi dość prosto, ale istnieją ważne implikacje do rozważenia.

Jeśli zmodyfikujesz zestaw uprawnień, IAM Identity Center zaktualizuje odpowiednie role na wszystkich kontach, do których przypisałeś ten zestaw uprawnień. To, co różni się podczas korzystania z CMP i PB, polega na tym, że IAM Identity Center nie jest zaangażowany w tworzenie ani utrzymywanie CMP lub PB. Twoim obowiązkiem jest upewnienie się, że CMP i PB są tworzone i zarządzane na wszystkich kontach, do których przypisujesz zestawy uprawnień, które używają CMP i PB. Oznacza to, że musisz zachować ostrożność przy nazywaniu, tworzeniu i utrzymywaniu tych polityk na swoich kontach, aby uniknąć niezamierzonych konsekwencji. Na przykład, jeśli nie zastosujesz konsekwentnie zmian do CMP na wszystkich swoich kontach, zachowanie utworzonej roli IAM Identity Center będzie się różnić między kontami.

Korzyści polityk zarządzanych przez klienta (CMP)

 

Używając CMP z zestawami uprawnień, zyskujesz cztery główne korzyści:

  1. Jeśli łączysz się bezpośrednio ze swoimi kontami i masz już CMP, możesz ponownie użyć swoich CMP z zestawami uprawnień w IAM Identity Center. W dalszej części tego wpisu opiszemy wyjątki.
  2. Jeśli brakuje Ci miejsca we wbudowanych politykach zestawu uprawnień, możesz dodać CMP, aby zwiększyć zagregowany rozmiar Twoich polityk.

Polityki często muszą odnosić się do zasobów specyficznych dla konta według Amazon Resource Name (ARN). Zaprojektowanie polityk wbudowanych, które zrobią to poprawnie na wszystkich kontach, może być trudne, a w niektórych przypadkach może nie być możliwe. Określając CMP w zestawie uprawnień, możesz dostosować CMP na każdym z twoich kont, aby odwoływać się do zasobów konta. Gdy IAM Identity Center tworzy rolę i dołącza CMP konta, polityki używane przez rolę wygenerowaną przez IAM Identity Center są teraz specyficzne dla konta. Podkreślamy ten przykład w dalszej części tego postu.

  1. Otrzymujesz korzyści z centralnej lokalizacji do definiowania swoich ról, co zapewnia widoczność wszystkich polityk, które są używane na kontach, do których przypisałeś zestawy uprawnień. Dzięki temu masz listę nazw CMP i PB, które powinieneś monitorować pod kątem zmian na swoich kontach. Pomoże to zapewnić prawidłowe utrzymanie polityk.

Rozważania i dobre praktyki

 

Jeśli dopiero zaczynasz, spróbuj najpierw użyć polityk zarządzanych przez AWS w myśl zasady rozpocznij prosto, unikaj złożoności. Dzięki zarządzanym politykom nie musisz znać polityki JSON, aby rozpocząć pracę. Jeśli potrzebujesz bardziej zaawansowanych polityk, zacznij od utworzenia wbudowanych polityk niestandardowych opartych na tożsamości w zestawie uprawnień. Polityki te są udostępniane jako polityki wbudowane i będą takie same na wszystkich Twoich kontach. Jeśli potrzebujesz większych polityk lub bardziej zaawansowanych możliwości, użyj CMP jako następnej opcji. W większości przypadków możesz osiągnąć to, czego potrzebujesz, dzięki politykom wbudowanym i zarządzanym przez klienta. Kiedy nie możesz osiągnąć swojego celu za pomocą CMP, użyj PB. Aby uzyskać informacje o zamierzonych przypadkach użycia dla PB, zobacz wpis Kiedy i gdzie używać granic uprawnień IAM.

Granice uprawnień nie ograniczają administratorów IAM Identity Center, którzy tworzą zestawy uprawnień — administratorzy IAM Identity Center, których upoważniasz do tworzenia zestawów uprawnień, mogą tworzyć wbudowane polityki i dołączać CMP i PB do zestawów uprawnień bez ograniczeń. Polityki granic uprawnień określają maksymalne uprawnienia roli i maksymalne uprawnienia, które rola może udzielić w ramach konta tylko za pośrednictwem uprawnień. Na przykład PB mogą ustawić maksymalne uprawnienia roli, która używa uprawnień do tworzenia innych ról do użytku przez kod lub usługi. Jednak PB nie ustawia maksymalnych uprawnień twórcy zestawu uprawnień IAM Identity Center. Co to znaczy? Załóżmy, że utworzyłeś zestaw uprawnień administratora IAM Identity Center, do którego dołączono PB, i przypisałeś go Janowi Kowalskiemu. Kowalski może następnie zalogować się do IAM Identity Center i modyfikować zestawy uprawnień za pomocą dowolnej polityki, niezależnie od tego, co umieścisz w PB. PB nie ogranicza polityk, które Kowalski może umieścić w zestawie uprawnień.

Krótko mówiąc, używaj PB tylko dla ról, które muszą tworzyć role uprawnień IAM do użytku przez kod lub usługi. Nie używaj PB dla zestawu uprawnień, które upoważniają administratorów IAM Identity Center, którzy tworzą zestawy uprawnień.

Twórz i używaj planu nazewnictwa polityk — IAM Identity Center nie bierze pod uwagę zawartości nazwanych polityk, które dołączasz do zestawu uprawnień. Jeśli przypiszesz zestaw uprawnień na wielu kontach, upewnij się, że wszystkie polityki, do których się odnoszą, mają tę samą intencję. Niewykonanie tego spowoduje nieoczekiwane i niespójne zachowanie ról między różnymi kontami. Wyobraź sobie CMP o nazwie „S3”, który przyznaje dostęp do odczytu S3 na koncie A, i inny CMP o nazwie „S3”, który przyznaje uprawnienia administracyjne S3 do wszystkich bucketów S3 na koncie B. Zestaw uprawnień, który dołącza polityka S3 i jest przypisywany do kont A i B będą w najlepszym razie mylące, ponieważ poziom dostępu jest zupełnie inny na każdym z kont. Lepiej jest mieć bardziej szczegółowe nazwy, takie jak „S3Reader” i „S3Admin”, dla swoich polityk i upewnić się, że są one identyczne, z wyjątkiem numerów ARN zasobów specyficznych dla konta.

Korzystaj z automatyzacji, aby udostępniać polityki na kontach — korzystanie z narzędzi, takich jak zestawy stosów AWS CloudFormation lub inne narzędzia infrastruktury jako kodu, może pomóc w zapewnieniu spójności nazewnictwa i polityk na wszystkich kontach. Pomaga również zmniejszyć prawdopodobieństwo, że administratorzy mogą modyfikować polityki w niepożądany sposób.

Polityki muszą odpowiadać możliwościom IAM Identity Center — chociaż IAM Identity Center obsługuje większość semantyki IAM, istnieją wyjątki:

  1. Jeśli używasz dostawcy tożsamości jako źródła tożsamości, IAM Identity Center przekazuje do IAM tylko atrybuty PrincipalTag, które przechodzą przez potwierdzenia SAML. IAM Identity Center nie przetwarza ani nie przekazuje innych potwierdzeń SAML do IAM. Jeśli masz CMP lub PB, które opierają się na innych informacjach z potwierdzeń SAML, nie będą działać. Na przykład IAM Identity Center nie zapewnia kluczy kontekstu uwierzytelniania wieloskładnikowego (MFA) ani SourceIdentity.
  2. Polityki zasobów, które odwołują się do nazw lub tagów ról w ramach polityk zaufania, nie działają z IAM Identity Center. Możesz użyć polityk zasobów, które używają kontroli dostępu opartej na atrybutach (ABAC). Nazwy ról IAM Identity Center nie są statyczne i nie można otagować ról tworzonych przez IAM Identity Center na podstawie jego zestawów uprawnień.

Jak korzystać z CMP z zestawami uprawnień

 

Teraz, gdy rozumiesz zestawy uprawnień i jak działają z CMP i PB, przyjrzyjmy się, jak możesz skonfigurować zestaw uprawnień do korzystania z CMP.

W tym przykładzie pokazujemy, jak używać jednego lub więcej zestawów uprawnień, które dołączają CMP, który umożliwia operacje Amazon CloudWatch do grupy logów określonych kont. W szczególności zestaw AllowCloudWatch_permission dołącza CMP o nazwie AllowCloudWatchForOperations. Kiedy przypisujemy zestaw uprawnień do dwóch oddzielnych kont, przypisani użytkownicy mogą wykonywać operacje CloudWatch tylko na grupach logów przypisanego konta. Ponieważ polityki operacyjne CloudWatch znajdują się w CMP, a nie w politykach wbudowanych, grupy logów mogą być specyficzne dla konta i możesz ponownie użyć CMP w innych zestawach uprawnień, jeśli chcesz, aby operacje CloudWatch były dostępne za pośrednictwem wielu zestawów uprawnień.

Uwaga: w tym poście pokazujemy, jak używać CMP, używając konsoli zarządzania uprawnień do tworzenia polityk i przypisań. Zalecamy, aby po nauczeniu się, jak to zrobić, utworzyć polityki za pomocą automatyzacji dla środowisk produkcyjnych. Przykładowo użyj AWS AWS CloudFormation. Celem tego przykładu jest zademonstrowanie, w jaki sposób można mieć polityki na dwóch oddzielnych kontach, które odnoszą się do różnych zasobów; coś, co jest trudniejsze do osiągnięcia przy użyciu polityk wbudowanych. Sam przypadek użycia nie jest aż tak zaawansowany, ale użycie CMP do odwoływania się do różnych zasobów na każdym koncie jest bardziej zaawansowanym pomysłem. Utrzymaliśmy to w prosty sposób, aby ułatwić skupienie się na funkcji niż na przypadku użycia.

Wymagania wstępne

 

W tym przykładzie zakładamy, że wiesz, jak korzystać z AWS Management Console, tworzyć konta, nawigować między kontami i tworzyć polityki zarządzane przez klientów. Potrzebujesz również uprawnień administracyjnych, aby włączyć IAM Identity Center i tworzyć polityki na swoich kontach.

Zanim zaczniesz, włącz IAM Identity Center na swoim koncie zarządzania AWS Organizations w wybranym regionie AWS. Musisz utworzyć co najmniej dwa konta w swojej organizacji AWS. W tym przykładzie nazwy kont to member-account i member-account-1. Po skonfigurowaniu kont możesz opcjonalnie skonfigurować IAM Identity Center do administrowania na koncie delegowanego członka.

Konfiguracja zestaw uprawnień IAM Identity Center do korzystania z CMP

 

Postępuj zgodnie z tymi czterema procedurami, aby użyć CMP z zestawem uprawnień:

  1. Utwórz CMP o spójnych nazwach na kontach docelowych
  2. Utwórz zestaw uprawnień, który odwołuje się do utworzonego przez Ciebie CMP
  3. Przypisz grupy lub użytkowników do zestawu uprawnień na kontach, na których utworzyłeś CMP
  4. Przetestuj swoje zadania

Krok 1: Utwórz CMP o spójnych nazwach na kontach docelowych

W tym kroku utworzysz politykę zarządzaną przez klienta o nazwie AllowCloudWatchForOperations na dwóch kontach członkowskich. Polityka umożliwia użytkownikom operacji w chmurze dostęp do predefiniowanej grupy logów CloudWatch na koncie.

Aby utworzyć CMP na kontach docelowych

 

  1. Zaloguj się do AWS.

Uwaga: możesz zalogować się do IAM Identity Center, jeśli masz istniejące zestawy uprawnień, które umożliwiają tworzenie polityk na kontach członkowskich. Możesz też zalogować się przy użyciu IAM federation lub jako IAM user, który ma dostęp do ról, które umożliwiają przechodzenie do innych kont, na których można tworzyć polityki. Twoje logowanie powinno również dać Ci dostęp do roli, która może administrować zestawami uprawnień IAM Identity Center.

  1. Przejdź do konta członkowskiego organizacji AWS.

Uwaga: jeśli zalogowałeś się za pomocą IAM Identity Center, użyj strony portalu użytkownika, aby przejść do konta i roli. Jeśli logujesz się przy użyciu IAM federation lub jako użytkownik IAM, wybierz swoją nazwę logowania wyświetlaną w prawym górnym rogu konsoli zarządzania AWS, a następnie wybierz opcję switch role, jak pokazano na rysunku 1.

Jak korzystac z polityk zarzadzanych przez klienta w AWS IAM Identity Center dla zaawansowanych przypadkow uzycia

Rysunek 1: Opcja switch role dla użytkownika IAM lub federacji IAM

  1. Otwórz konsolę IAM.
  2. W panelu nawigacyjnym wybierz Policies.
  3. W prawym górnym rogu strony wybierz Create policy.
  4. Na stronie Create Policy wybierz zakładkę JSON.
  5. Wklej następujące politykę w polu tekstowym JSON. Zastąp identyfikatorem konta, w którym tworzona jest polityka.

Wskazówka: Aby skopiować numer konta, wybierz nazwę logowania wyświetlaną w prawym górnym rogu konsoli AWS Management Console, a następnie wybierz ikonę kopiowania obok identyfikatora konta, jak pokazano na rysunku 2.

Jak korzystac z polityk zarzadzanych przez klienta w AWS IAM Identity Center dla zaawansowanych przypadkow uzycia1

Rysunek 2: Jak skopiować number konta

{

    "Version": "2012-10-17",

    "Statement": [

        {

            "Action": [

                "logs:CreateLogStream",

                "logs:DescribeLogStreams",

                "logs:PutLogEvents",

                "logs:GetLogEvents"

            ],

            "Effect": "Allow",

            "Resource": "arn:aws:logs:us-east-1::log-group:OperationsLogGroup:*"

        },

        {

            "Action": [

                "logs:DescribeLogGroups"

            ],

            "Effect": "Allow",

            "Resource": "arn:aws:logs:us-east-1::log-group::log-stream:*"

        }

    ]

}

  1. Wybierz Next:Tags, a następnie Next:Review.
  2. Na stronie Create Policy/Review Policy w polu Name wpisz AllowCloudWatchForOperations. Jest to nazwa, której będziesz używać podczas dołączania CMP do zestawu uprawnień w następnej procedurze (krok 2).
  3. Powtórz kroki od 1 do 7 na co najmniej jednym innym koncie członkowskim. Pamiętaj, aby zastąpić element w polityce identyfikatorem konta każdego konta, na którym tworzysz politykę. Jedyną różnicą między politykami na każdym koncie jest w polityce.

Krok 2: Utwórz zestaw uprawnień, któru odwołuje się do utworzonego CMP

W tym momencie masz co najmniej dwa konta członkowskie zawierające tę samą politykę o tej samej nazwie polityki. Jednak ResourceARN w każdej polityce odnosi się do grup logów, które należą do odpowiednich kont. W tym kroku tworzysz zestaw uprawnień i dołączasz do niego politykę. Co ważne, do zestawu uprawnień dołączasz tylko nazwę polityki. Rzeczywiste powiązanie polityk z rolą, którą tworzy IAM Identity Center, ma miejsce, gdy przypiszesz zestaw uprawnień do użytkownika lub grupy w kroku 3.

Utworzenie zestawu uprawnień, która odwołuje się do CMP

 

  1. Zaloguj się na konto Organizations management lub konto administracji delegowanej IAM Identity Center.
  2. Otwórz konsolę IAM Identity Center.
  3. W panelu nawigacyjnym wybierz Permission Sets.
  4. Na ekranie wybierz Select Permission set type, następnie wybierz Custom permission Set  i kliknij Next.

Jak korzystac z polityk zarzadzanych przez klienta w AWS IAM Identity Center dla zaawansowanych przypadkow uzycia1

Rysunek 3: Wybieranie niestandardową zestaw uprawnień

5.Na stronie Specify policies and permissions boundary rozwiń opcję Customer managed policies i wybierz Attach policies.

Jak korzystac z polityk zarzadzanych przez klienta w AWS IAM Identity Center dla zaawansowanych przypadkow uzycia1

Rysunek 4: Określ polityki i granice uprawnień

6.W polu Policy names wprowadź nazwę polityki. Ta nazwa musi być zgodna z nazwą polityki utworzonej w kroku 1. W naszym przykładzie nazwa to AllowCloudWatchForOperations. Wybierz Next.

7. Na stronie Permission set details wprowadź nazwę swojego zestawu uprawnień. W tym przykładzie użyj AllowCloudWatch_PermissionSet. Możesz określić dodatkowe szczegóły dla swoich zestawów uprawnień, takie jak czas trwania sesji i stan przekazywania (są to łącza do wybranej strony AWS Management Consol).

Jak korzystac z polityk zarzadzanych przez klienta w AWS IAM Identity Center dla zaawansowanych przypadkow uzycia

Rysunek 5: Szczegóły zestawu uprawnień

8.Wybierz Dalej, a następnie wybierz Create.

Krok 3: Przypisywanie grupy lub użytkowników do zestawu uprawnień na kontach, na których utworzono CMP

W poprzednich krokach utworzyłeś politykę zarządzaną przez klienta na co najmniej dwóch kontach członkowskich oraz zestaw uprawnień z dołączonymi politykami zarządzanymi przez klienta. W tym kroku przypisujesz użytkowników do zestawu uprawnień na swoich kontach.

Aby przypisać grupy lub użytkowników do zestawu uprawnień

  1. Zaloguj się na konto zarządzania organizacjami lub konto administracji delegowanej IAM Identity Center.
  2. Otwórz konsolę IAM Identity Center.
  3. W panelu nawigacyjnym wybierz AWS accounts.

Jak korzystac z polityk zarzadzanych przez klienta w AWS IAM Identity Center dla zaawansowanych przypadkow uzycia1

Rysunek 6: Konto AWS

4.Do celów testowych w sekcji AWS Organization wybierz wszystkie konta, na których utworzyłeś politykę zarządzaną przez klienta. Oznacza to, że wszyscy użytkownicy lub grupy, które przypiszesz podczas procesu, będą mieli dostęp do roli AllowCloudWatch_PermissionSet na każdym koncie. Następnie w prawym górnym rogu wybierz Assign users or groups.

5.Wybierz zakładkę Users lub Groups a następnie wybierz użytkowników lub grupy, które chcesz przypisać do zestawu uprawnień. W tym kroku możesz wybrać wielu użytkowników i wiele grup. W tym przykładzie zalecamy wybranie jednego użytkownika, dla którego masz poświadczenia, aby móc zalogować się jako ten użytkownik, aby później przetestować konfigurację. Po wybraniu użytkowników lub grup, które chcesz przypisać, wybierz Next.

Jak korzystac z polityk zarzadzanych przez klienta w AWS IAM Identity Center dla zaawansowanych przypadkow uzycia

Rysunek 7: Przypisywanie użytkowników i grup do kont AWS

6.Wybierz zestaw uprawnień, który utworzyłeś w kroku 2 i wybierz Next.

7.Przejrzyj przypisywanych użytkowników i grupy i wybierz opcję Submit.

8.Zobaczysz komunikat, że IAM Identity Center konfiguruje konta. W tym kroku IAM Identity Center tworzy role na każdym z wybranych kont. Robi to dla każdego konta, więc szuka w koncie CMP, który określiłeś w zestawie uprawnień. Jeśli nazwa CMP, którą określiłeś w zestawie uprawnień jest zgodna z nazwą podaną podczas tworzenia CMP, IAM Identity Center tworzy rolę z zestawu uprawnień. Jeśli nazwy się nie zgadzają lub jeśli CMP nie jest obecny na koncie, do którego przypisałeś zestaw uprawnień, zobaczysz komunikat o błędzie powiązany z tym kontem. Po pomyślnym przesłaniu zobaczysz następujący komunikat: We reprovisioned your AWS accounts successfully and applied the updated permission set to the accounts.

Krok 4: Testowanie zadań

Gratulacje! Pomyślnie utworzyłeś CMP na wielu kontach AWS, utworzyłeś zestaw uprawnień i dołączyłeś CMP według nazwy i przypisałeś zestaw uprawnień do użytkowników i grup na kontach. Teraz nadszedł czas na przetestowanie wyników.

Aby przetestować zadania

 

  1. Otwórz konsolę IAM Identity Center.
  2. Przejdź do strony Settings.
  3. Skopiuj adres URL portalu użytkownika, a następnie wklej adres URL portalu użytkownika do przeglądarki.
  4. Po wyświetleniu się strony z żądaniem logowania, zaloguj się jako jeden z użytkowników, których przypisałeś do zestawu uprawnień.
  5. Portal użytkownika IAM Identity Center pokazuje konta i role, do których masz dostęp. W przykładzie pokazanym na rysunku 8 użytkownik ma dostęp do zestawu AllowCloudWatch_PermissionSet utworzonego na dwóch kontach.

Jak korzystac z polityk zarzadzanych przez klienta w AWS IAM Identity Center dla zaawansowanych przypadkow uzycia

Rysunek 8: Portal użytkownika

Jeśli wybierzesz AllowCloudWatch_PermissionSet na koncie member-account, będziesz mieć dostęp do grupy logów CloudWatch na koncie member-account. Jeśli wybierzesz rolę w member-account-1, będziesz mieć dostęp do grupy CloudWatch Log w member-account-1.

6.Przetestuj dostęp, wybierając Management Console dla AllowCloudWatch_PermissionSet na member-account.

7.Otwórz konsolę CloudWatch.

8.W panelu nawigacyjnym wybierz Log groups. Powinieneś mieć dostęp do grup logów, jak pokazano na rysunku 9.

Jak korzystac z polityk zarzadzanych przez klienta w AWS IAM Identity Center dla zaawansowanych przypadkow uzycia

Rysunek 9: Grupy logów CloudWatch

9. Otwórz konsolę IAM. Nie powinieneś mieć uprawnień, aby zobaczyć szczegóły na tej konsoli, jak pokazano na rysunku 10. Dzieje się tak, ponieważ AllowCloudWatch_PermissionSet zapewniał dostęp tylko do logów CloudWatch.

Jak korzystac z polityk zarzadzanych przez klienta w AWS IAM Identity Center dla zaawansowanych przypadkow uzycia

Rysunek 10: Zablokowany dostęp do konsoli uprawnień IAM

10. Wróć do portalu użytkownika IAM Identity Center.

11.Powtórz kroki od 4 do 8, używając member-account-1.

Odpowiedzi na najważniejsze pytania

 

Co się stanie, jeśli usunę CMP lub PB dołączoną do roli utworzonej przez IAM Identity Center? Uprawnienia uniemożliwiają usuwanie polityk powiązanych z rolami uprawnień IAM.

Jak mogę usunąć CMP lub PB dołączoną do roli utworzonej przez IAM Identity Center?

Usuń odniesienie CMP lub PB ze wszystkich swoich zestawów uprawnień. Następnie ponownie przydziel role na swoich kontach. To odłącza CMP lub PB od ról utworzonych przez IAM Identity Center. Jeśli polityki nie są używane przez inne role uprawnień IAM na Twoim koncie lub przez użytkowników uprawnień IAM, możesz je usunąć.

Co się stanie, jeśli zmodyfikuję CMP lub PB, który jest dołączony do roli obsługiwanej przez IAM Identity Center?

Rola IAM Identity Center przejmuje zmianę polityk następnym razem, gdy ktoś przejmie tę rolę.

Podsumowanie

 

W tym poście dowiedziałeś się, jak IAM Identity Center współpracuje z zarządzanymi przez klienta politykami i granicami uprawnień, które tworzysz na swoich kontach AWS. Poznałeś różne sposoby, w jakie ta funkcja może Ci pomóc oraz poznałeś niektóre z kluczowych zagadnień i dobrych praktyk, aby odnieść sukces we wdrożeniach. Obejmuje to zasadę uruchamiania prostych i unikania niepotrzebnie skomplikowanych konfiguracji. Pamiętaj o tych czterech zasadach:

  1. W większości przypadków możesz osiągnąć wszystko, czego potrzebujesz, zaczynając od niestandardowych (wbudowanych) polityk.
  2. Używaj polityk zarządzanych przez klienta w bardziej zaawansowanych przypadkach.
  3. Używaj polityk granic uprawnień tylko wtedy, gdy jest to konieczne
  4. Używaj CloudFormation do zarządzania politykami i uprawnieniami zarządzanymi przez klienta, zamiast zmuszać administratorów do ręcznego wdrażania ich na kontach.

Aby dowiedzieć się więcej o tej funkcji, zobacz IAM Identity Center User Guide.

Case Studies
Referencje

Bardzo sprawny kontakt z pracownikami Hostersi pozwolił nam pomyślną realizację naszego projektu i osiągnięcie założonych celów biznesowych. Jesteśmy pełni uznania dla kompetencji specjalistów Hostersi i jakości świadczonych przez nich usług.

Beata Kaczor
Dyrektor Zarządzający
W skrócie o nas
Specjalizujemy się w dostarczaniu rozwiązań IT w obszarach projektowania infrastruktury serwerowej, wdrażania chmury obliczeniowej, opieki administracyjnej i bezpieczeństwa danych.