Hvordan du oppretter kundeadministrerte retningslinjer i AWS-dummies

Når du opprinnelig lager din AWS-konto (Amazon Web Services), er det bare en AWS-administrert policy på plass: AdministratorAccess. Etter at du har opprettet den første brukeren og logget inn på AWS ved hjelp av den nye administratorkontoen din, kan du imidlertid få tilgang til et stort antall AWS-administrerte retningslinjer.

Når det er mulig, bør du bruke AWS-administrerte retningslinjer for å sikre at politikken mottar automatiske oppdateringer som reflekterer endringer i AWS-funksjonaliteten. Når du bruker en kundehåndtert politikk, må du utføre nødvendige oppdateringer manuelt. Følgende trinn får deg i gang med å bruke kundehåndterte retningslinjer.

1. Logg på AWS ved hjelp av administratorkontoen din.
2. Naviger til IAM Management Console .
3. Velg retningslinjer i navigasjonsruten. Du ser siden Velkommen til Administrerte retningslinjer.

   

   Siden Velkommen til Administrerte retningslinjer forklarer retningslinjenees bruk og kommer i gang.
4. Klikk på Start. Du ser en liste over tilgjengelige AWS-administrerte retningslinjer, som vist. Hvert av policynavnene begynner med ordet Amazon (for å vise at det er en AWS-forvaltet policy), etterfulgt av servicenavnet (EC2 i figuren), eventuelt etterfulgt av målet for tillatelsen (som ContainerRegistry) og slutter med den slags tillatelse gitt (for eksempel FullAccess). Når du lager dine egne kundehåndterte retningslinjer, er det godt å følge samme praksis for å gjøre navnene lettere å bruke og konsistente med deres AWS-administrerte kolleger.

   

   Listen over AWS-administrerte retningslinjer er relativt lang.

   Merk at retningslinjelisten forteller deg antall enheter knyttet til en policy slik at du vet om en policy faktisk er i bruk. Du kan også se policyopprettelsestiden og den tiden noen redigerte sist. Symbolet på venstre side av policyen viser policy type, som er en stilisert kube for AWS-administrerte retningslinjer.

   Før du oppretter en kundestyrt policy, må du sørge for at det ikke finnes noen AWS-administrert policy som tjener samme formål. Bruk av AWS-styrt policy er enklere, mindre feilgjennomgjorte, og gir automatiske oppdateringer etter behov.

5. Klikk på Opprett politikk.

   

   AWS tilbyr tre alternativer for å skape kundehåndterte retningslinjer.

   Du ser siden Opprett politikk, vist. AWS gir tre alternativer for å opprette en ny policy (i henhold til kompleksitet):

   • Kopier en AWS Managed Policy: En AWS-styrt policy fungerer som utgangspunkt. Deretter gjør du endringer som kreves for å tilpasse retningslinjene for dine behov.Fordi dette alternativet bidrar til at du oppretter en brukbar policy og krever det minste arbeidet, bør du bruke det når det er mulig. Dette eksemplet forutsetter at du kopierer en eksisterende AWS-styrt policy fordi du ofte følger denne ruten.
   • Policy Generator: Avhenger av et wizard-grensesnitt for å enten tillate eller nekte handlinger mot en AWS-tjeneste. Du kan tildele tillatelse til bestemte ressurser (i noen tilfeller) ved hjelp av et Amazon-ressursnavn, ARN, eller til alle ressurser (ved hjelp av en *, asterisk). (Diskusjonen beskriver hvordan du oppretter og bruker ARNer.) En policy kan inneholde flere tillatelser, som hver vises som en uttalelse i retningslinjene. Etter at du har definert retningslinjer, viser veiviseren policydokumentet, som du kan redigere manuelt hvis ønskelig. Veiviseren bruker policy-dokumentet for å generere politikken. Dette er det beste alternativet når du trenger en enkelt policy for å dekke flere tjenester.
   • Lag din egen policy: Definerer en policy helt for hånd. Alt du ser er retningslinjedokumentsiden, som du må fylle ut manuelt ved hjelp av passende syntaks og grammatikk. Diskusjonen forteller deg mer om hvordan du oppretter en policy helt manuelt. Du bruker bare dette alternativet når det er nødvendig, fordi tiden som er involvert i å lage dokumentet er betydelig, og potensialet for feil er høyt.
6. Klikk på Kopier en AWS-styrt policy.

   Du ser en liste over AWS-administrerte retningslinjer.

   

   Velg politikken du vil endre.
7. Klikk Velg ved siden av AWS-Managed policyen du vil bruke som grunnlag for din kundestyrte policy. Eksemplet bruker AmazonEC2FullAccess-policyen som utgangspunkt, men de samme trinnene gjelder for å endre andre retningslinjer. Du ser siden for gjennomgangspolitikk vist.

   

   Siden for gjennomgangspolicy viser detaljene om retningslinjene du endrer.

   Begynn med en policy som har for mange rettigheter og å fjerne rettighetene du ikke vil ha, er betydelig lettere enn å starte med en policy som har for få rettigheter og legger til rettighetene du trenger. Legge til rettigheter innebærer å skrive nye oppføringer i politidokumentet, som krever detaljert kunnskap om politikk. Fjerne rettigheter betyr å markere de riktige setningene du ikke vil ha og slette dem.

8. Skriv inn et nytt navn i feltet Politikknavn.

   Eksemplet bruker MyCompanyEC2FullAccessNoCloudWatch som policy navn.

9. Endre beskrivelsesfeltet etter behov for å definere endringene som er gjort. Eksemplet legger til at politikken ikke tillater tilgang til CloudWatch.
10. Endre policydokumentfeltet etter behov for å gjenspeile policyendringer. Eksemplet fjerner følgende politikkavdeling fra dokumentet:

    {

    "Effekt": "Tillat",

    "Tiltak": "Cloudwatch: *",

    "Ressurs": " * "

    },

    Pass på at du legger til og fjerner kommaer mellom retningslinjer etter behov, eller at retningslinjene ikke fungerer som forventet.

11. Klikk på Valider policy. Hvis endringene du har gjort, fungerer som ønsket, ser du en Denne policyen er gyldig suksessmelding øverst på siden. Bekreft alltid retningslinjene dine før du lager den.
12. Klikk på Opprett politikk. Du ser en suksessmelding på siden Politikk, pluss en ny oppføring for retningslinjene dine, som vist. Vær oppmerksom på at retningslinjene dine ikke inneholder et policy type ikon. Mangelen på et ikon gjør det enklere å finne policyen i listen.

    

    AWS forteller deg når du har lagt til en ny policy.