Hur man skapar kundadministrerade policyer i AWS - dummies

När du inledningsvis skapar ditt AWS-konto (Amazon Web Services) har endast en AWS-hanterad policy på plats: AdministratorAccess. När du har skapat den första användaren och loggat in på AWS med ditt nya administratörskonto kan du dock få tillgång till ett stort antal AWS-hanterade policyer.

När det är möjligt bör du använda AWS-hanterade policyer för att försäkra dig om att politiken får automatiska uppdateringar som speglar förändringar i AWS-funktionaliteten. När du använder en kundhanterad policy måste du utföra alla nödvändiga uppdateringar manuellt. Följande steg får dig att börja använda kundhanterade policyer.

1. Logga in på AWS med ditt administratörskonto.
2. Navigera till IAM Management Console .
3. Välj Policy i navigeringsfönstret. Du hittar sidan Välkommen till Administrerade policyer.

   

   På sidan Välkommen till Administrerade policies förklaras policyens användningar och startar dig.
4. Klicka på Starta. Du ser en lista över tillgängliga AWS-hanterade policyer, som visas. Var och en av de politiska namnen börjar med ordet Amazon (för att visa att det är en AWS-hanterad policy) följt av servicenamnet (EC2 i figuren), eventuellt följt av målet för tillståndet (som ContainerRegistry) och slutar med den typ av tillstånd som beviljats ​​(till exempel FullAccess). När du skapar dina egna kundhanterade policyer är det bra att följa samma övning för att göra namnen enklare att använda och överensstämma med sina AWS-hanterade motsvarigheter.

   

   Listan över AWS-hanterade policyer är relativt lång.

   Observera att policylistan anger hur många enheter som är kopplade till en policy så att du vet om en policy faktiskt används. Du kan också se policy skapandetiden och den tid som någon senast redigerade den. Symbolen till vänster om policyn visar policy typen, som är en stiliserad kub för AWS-hanterade policyer.

   Innan du skapar en kundhanterad policy, se till att det inte finns någon AWS-hanterad policy som fungerar med samma syfte. Att använda den AWS-hanterade politiken är enklare, mindre felaktig och ger automatiska uppdateringar efter behov.

5. Klicka på Skapa policy.

   

   AWS erbjuder tre alternativ för att skapa kundstyrda policyer.

   Du ser sidan Skapa policy, visas. AWS erbjuder tre alternativ för att skapa en ny policy (i enlighet med komplexitet):

   • Kopiera en AWS-hanterad policy: En AWS-hanterad policy fungerar som utgångspunkt. Du gör då ändringar som krävs för att anpassa policyen för dina behov.Eftersom det här alternativet hjälper till att säkerställa att du skapar en användbar policy och kräver minst arbete, bör du använda det när det är möjligt. I det här exemplet förutsätts att du kopierar en befintlig AWS-hanterad policy eftersom du oftast följer den här rutten.
   • Policy Generator: Beroende på ett wizardligt gränssnitt för att antingen tillåta eller neka åtgärder mot en AWS-tjänst. Du kan tilldela behörighet till specifika resurser (i vissa fall) med hjälp av ett Amazon-resursnamn, ARN eller till alla resurser (med en *, asterisk). (Diskussionen beskriver hur man skapar och använder ARN: er.) En policy kan innehålla flera behörigheter, som alla visas som ett uttalande inom policyn. När du har definierat policy visar guiden dig policydokumentet, som du kan redigera manuellt om du vill. Guiden använder policydokumentet för att generera policyen. Det här är det bästa alternativet när du behöver en enda policy för att täcka flera tjänster.
   • Skapa din egen policy: Definierar en policy helt för hand. Allt du ser är policydokumentsidan, som du måste fylla i manuellt med lämplig syntax och grammatik. Diskussionen berättar mer om hur man helt enkelt skapar en policy. Du använder endast det här alternativet när det är nödvändigt eftersom tiden för att skapa dokumentet är stor och risken för fel är hög.
6. Klicka på Kopiera en AWS-hanterad policy.

   Du ser en lista över AWS-hanterade policyer.

   

   Välj den policy du vill ändra.
7. Klicka på Välj bredvid den AWS-Managed policy som du vill använda som grund för din kundstyrda policy. Exemplet använder AmazonEC2FullAccess-policyen som utgångspunkt, men samma steg gäller för att ändra andra policyer. Du får se sidan för granskningspolicy som visas.

   

   Sidan för granskningspolicy visar detaljerna om den policy du ändrar.

   Börja med en policy som har för många rättigheter och ta bort de rättigheter du inte vill ha, är betydligt enklare än att börja med en policy som har för få rättigheter och lägger till de rättigheter du behöver. Att lägga till rättigheter innebär att du skriver in nya uppgifter i policydokumentet, vilket kräver en detaljerad kunskap om politiken. Att ta bort rättigheter betyder att du markerar rätt uttalanden du inte vill ha och raderar dem.

8. Skriv ett nytt namn i fältet Policy Name.

   Exemplet använder MyCompanyEC2FullAccessNoCloudWatch som policynamn.

9. Ändra fältet Beskrivning efter behov för att definiera de ändringar som gjorts. I exemplet läggs till att policyn inte tillåter åtkomst till CloudWatch.
10. Ändra fältet Policy Document efter behov för att avspegla policyändringar. Exemplet tar bort följande policy avsnitt från dokumentet:

    {

    "Effekt": "Tillåt",

    "Åtgärd": "Cloudwatch: *",

    "Resurs": " * "

    },

    Se till att du lägger till och tar bort kommatecken mellan politiken efter behov eller att politiken inte fungerar som förväntat.

11. Klicka på Validera policy. Om de ändringar du gjorde fungerade som avsedda, ser du ett meddelande om detta policy är Giltigt framgång högst upp på sidan. Bekräfta alltid din policy innan du skapar den.
12. Klicka på Skapa policy. Du ser ett framgångsmeddelande på sidan Politik, plus en ny post för din policy, som visas. Observera att din policy inte innehåller en ikon för policy typ. Bristen på en ikon gör att politiken lättare finns i listan.

    

    AWS berättar när du har lagt till en ny policy.