Cara Mencipta Dasar Terurus Pelanggan di AWS - dummies

Apabila anda mula-mula membuat akaun AWS (Amazon Web Services) anda, hanya satu dasar yang diuruskan oleh AWS: AdministratorAccess. Walau bagaimanapun, selepas anda mencipta pengguna pertama dan log masuk ke AWS menggunakan akaun pentadbir baru anda, anda boleh mengakses sejumlah besar dasar yang diuruskan oleh AWS.

Sekiranya mungkin, anda harus menggunakan dasar yang diuruskan AWS untuk memastikan bahawa dasar menerima kemas kini automatik yang mencerminkan perubahan dalam fungsi AWS. Apabila menggunakan dasar yang diurus pelanggan, anda mesti melakukan kemas kini yang diperlukan secara manual. Langkah-langkah berikut membolehkan anda mula menggunakan dasar yang diurus pelanggan.

Log masuk ke AWS menggunakan akaun pentadbir anda.
Navigasi ke Konsol Pengurusan IAM .
Pilih Dasar dalam anak tetingkap Navigation. Anda melihat halaman Selamat Datang di halaman Dasar Terurus.

Selamat datang ke halaman Dasar Terurus menerangkan penggunaan dasar dan membuat anda bermula.
Klik Bermula. Anda melihat senarai dasar yang diuruskan oleh AWS, seperti yang ditunjukkan. Setiap nama dasar bermula dengan perkataan Amazon (untuk menunjukkan bahawa ia adalah dasar yang diuruskan oleh AWS), diikuti oleh nama perkhidmatan (EC2 dalam angka), secara opsyen diikuti oleh sasaran kebenaran (seperti ContainerRegistry), dan berakhir dengan jenis kebenaran yang diberikan (seperti FullAccess). Apabila membuat dasar pengurusan pelanggan anda sendiri, adalah baik untuk mengikuti amalan yang sama untuk menjadikan nama lebih mudah digunakan dan konsisten dengan rakan-rakan yang dikendalikan oleh AWS.

Senarai dasar yang diurus oleh AWS agak panjang.
Perhatikan bahawa senarai dasar memberitahu anda bilangan entiti yang dilampirkan pada dasar supaya anda tahu sama ada dasar sebenarnya sedang digunakan. Anda juga boleh melihat masa penciptaan dasar dan masa yang telah diedit oleh seseorang. Simbol di sebelah kiri dasar menunjukkan jenis dasar, yang merupakan kiub bergaya untuk dasar yang diuruskan oleh AWS.

Sebelum anda membuat dasar yang diurus pelanggan, pastikan tiada dasar yang diuruskan oleh AWS yang berfungsi dengan tujuan yang sama. Menggunakan dasar yang diuruskan oleh AWS adalah lebih mudah, kurang ralat rawan, dan menyediakan kemas kini automatik yang diperlukan.
Klik Cipta Dasar.

AWS menyediakan tiga pilihan untuk membuat dasar yang diurus pelanggan.
Anda melihat laman Dasar Buat, ditunjukkan. AWS menyediakan tiga pilihan untuk membuat dasar baru (mengikut kerumitan):

Salin Dasar Diuruskan AWS: Dasar yang diuruskan oleh AWS bertindak sebagai titik permulaan. Anda kemudian membuat perubahan yang diperlukan untuk menyesuaikan dasar untuk keperluan anda.Kerana pilihan ini membantu memastikan bahawa anda membuat dasar yang boleh digunakan dan memerlukan kerja yang paling sedikit, anda harus menggunakannya bila mungkin. Contoh ini menganggap bahawa anda menyalin dasar yang diuruskan oleh AWS yang sedia ada kerana anda mengikuti laluan ini paling kerap.

Penjana Dasar: Bergantung kepada antara muka wizard untuk sama ada membenarkan atau menolak tindakan terhadap perkhidmatan AWS. Anda boleh memberikan kebenaran kepada sumber tertentu (dalam beberapa kes) menggunakan Nama Sumber Daya Amazon, ARN, atau semua sumber (menggunakan *, asterisk). (Perbincangan menerangkan cara membuat dan menggunakan ARN.) Dasar boleh mengandungi beberapa kebenaran, yang masing-masing muncul sebagai pernyataan dalam dasar. Selepas anda mentakrifkan dasar, wizard menunjukkan kepada anda dokumen dasar, yang mana anda boleh mengedit secara manual jika dikehendaki. Penyihir menggunakan dokumen dasar untuk menjana dasar. Ini adalah pilihan terbaik untuk digunakan apabila anda memerlukan satu polisi untuk melindungi pelbagai perkhidmatan.

Cipta Dasar Anda Sendiri: Menetapkan dasar sepenuhnya dengan tangan. Apa yang anda lihat adalah halaman dokumen dasar, yang harus anda isi secara manual menggunakan sintaks dan tatabahasa yang sesuai. Perbincangan memberitahu anda lebih lanjut mengenai cara membuat dasar sepenuhnya secara manual. Anda menggunakan pilihan ini hanya apabila perlu kerana masa yang terlibat dalam membuat dokumen adalah besar dan potensi untuk ralat adalah tinggi.

Klik Salin Dasar-Managed AWS.

Anda melihat senarai dasar yang diurus oleh AWS.

Pilih dasar yang anda mahu ubah suai.

Klik Pilih bersebelahan dengan dasar AWS-Managed yang anda mahu gunakan sebagai dasar untuk dasar yang diurus pelanggan anda. Contohnya menggunakan dasar AmazonEC2FullAccess sebagai titik permulaan, tetapi langkah yang sama berlaku untuk mengubahsuai dasar lain. Anda melihat halaman Dasar Kajian yang ditunjukkan.

Halaman Polisi Semula menunjukkan butiran mengenai dasar yang anda ubah.
Bermula dengan dasar yang mempunyai terlalu banyak hak dan menghapus hak yang anda tidak inginkan adalah lebih mudah daripada memulakan dengan dasar yang terlalu sedikit hak dan menambah hak yang anda perlukan. Menambah hak memerlukan menaip entri baru ke dalam dokumen dasar, yang memerlukan pengetahuan terperinci mengenai dasar. Mengalih keluar hak bermakna menyerlahkan pernyataan yang betul yang anda tidak mahu dan memadamnya.

Taipkan nama baru dalam medan Nama Dasar.
Contoh menggunakan MyCompanyEC2FullAccessNoCloudWatch sebagai nama dasar.

Ubah suai medan Penerangan seperti yang diperlukan untuk menentukan perubahan yang dibuat. Contohnya menambah bahawa dasar tersebut tidak membenarkan akses ke CloudWatch.

Ubah suai bidang Dokumen Dasar seperti yang diperlukan untuk mencerminkan perubahan dasar. Contoh membuang bahagian dasar berikut dari dokumen:

{
"Kesan": "Allow", "Action": "cloudwatch: *", "Resource": " * "
},

Pastikan bahawa anda menambah dan mengalih keluar koma di antara dasar-dasar yang diperlukan, atau dasar tidak akan berfungsi seperti yang diharapkan.

Klik Dasar Pengesahan. Jika perubahan yang anda buat berfungsi seperti yang anda inginkan, anda dapat melihat Dasar ini adalah mesej sukses Valid di bahagian atas halaman. Sentiasa sahkan dasar anda sebelum anda menciptanya.

Klik Cipta Dasar. Anda melihat mesej sukses pada halaman Dasar, ditambah entri baru untuk dasar anda, seperti yang ditunjukkan. Ambil perhatian bahawa dasar anda tidak termasuk ikon jenis polisi. Kekurangan ikon membuat dasar lebih mudah untuk dicari dalam senarai.

AWS memberitahu anda apabila anda telah berjaya menambah dasar baru.