Study Notes - Identity and Access Management (IAM)

AWS Identity and Access Management (IAM) Policy 的整理.

IAM Policy

IAM Policy Structure

IAM Policy 用 JSON 描述,基本的格式如下圖:

JSON 是資料結構語言 (Data-structured Language)。IAM Policy 算是一種 DSL (Domain-Specific Languages) 的形式。用資料結構語言當作特定領域語言,個人覺得不是很適合。

IAM Policy Elements

  • Version: IAM 的版本,預設是 “2008-10-17”, 但是官方建議使用 “2012-10-17”
  • Id: 使用在不同 Services 的識別,建議使用 UUID. Optional.
  • Statement: IAM 最主要的 Element, 包含以下 Elements:
    • Sid: Statement ID, 用來描述 Statement 的識別. Optional.
    • Principal / NotPrincipal: 指定什麼樣的 user (IAM user, federated user, or assumed-role user), AWS account, AWS service. Optional.
    • Effect: 必要的欄位, 值有 Allow or Deny
    • Action / NotAction: 指定哪一些動作, 一定要有.
    • Resource / NotResource: 描述 AWS 資源的集合. AWS 資源名稱: Amazon Resource Names (ARNs) and AWS Service Namespaces
    • Condition: 條件比對, Optional.
  • Supported Data Types: IAM Policy 本身用 JSON 資料格式做

Statement

基本結構:

  • Principal / NotPrincipal: 誰, 可以是 IAM User, AWS User, 或者是 AWS Service. 用 ARN (AWS Resource Namespace) 描述。
  • Effect: 允許或拒絕 (Allow or Deny)
  • Action / NotAction: 做怎樣的動作,可以針對 AWS 各個 Service 動作個別指定。每個 AWS Service 的 Action 可以查: AWS Service Actions and Condition Context Keys for Use in IAM Policies,
  • 針對什麼資源: Resource / NotResource

一個 Policy 可以有多個 Statement,描述不同的目的,像是把 AWS Service 分開描述權限。

Principal / NotPrincipal

可以是 IAM User, AWS User, 或者是 AWS Service. 用 ARN (AWS Resource Names) 或者 AWS Service Namespaces 描述。

ARN 的資料結構:

1
2
3
arn:partition:service:region:account-id:resource
arn:partition:service:region:account-id:resourcetype/resource
arn:partition:service:region:account-id:resourcetype:resource

ARN 例子:

1
2
3
4
5
6
7
8
9
10
11
<!-- Elastic Beanstalk application version -->
arn:aws:elasticbeanstalk:us-east-1:123456789012:environment/My App/MyEnvironment

<!-- IAM user name -->
arn:aws:iam::123456789012:user/David

<!-- Amazon RDS instance used for tagging -->
arn:aws:rds:eu-west-1:123456789012:db:mysql-db

<!-- Object in an Amazon S3 bucket -->
arn:aws:s3:::my_corporate_bucket/exampleobject.png

IAM Policy 可以跨不同的 AWS account, 用在不同的環境 (Development, Test, Production), 需要存取資料的時候,就可以利用 IAM Role 設定。

Action / NotAction

Action 命名規則:動詞 + 受詞

  • 動詞: Associate, Describe, Delete, Disable, Modify, Revoke, Run, Reset … etc.
  • 受詞: Instance, Image, Endpoint, KeyPair,

整理常用的 AWS Service 如下:

如果真的是實踐 IAM Best Practice 裡提到的 Grant least privilege,那麼上述的資訊,就會需要查詢。

因為沒有 IDE support content assistant / auto-complete. orz…

Resource / NotResource

— 待整理 —

Condition

Condition 邏輯我參考 Redmine 的 Filter 的設計來理解,如下圖查詢:

  • 欄位是 Status Priority 兩個都要有
  • Status 的值是 “In Progress” “Resolved” 兩個
  • Priority 的值是 “Normal”, High, Urgent

延伸閱讀

站內延伸

參考資料

常用的 Reference

Comments

2016/04/03 18:02:00
Table of Content
Categories
Tags

About

  • 全站索引
  • 關於這裏
  • 關於作者
  • 學習法則
  • 思考本質
  • 一些領悟
  • 分類哲學

    • 著作

  • 個人著作:SRE實踐與開發平台指南
  • 共同著作:軟體測試實務 (2023)
  • 譯著:分散式系統設計 (2019)

    • 演講

  • 演講錄影 @ Youtube
  • 探索職涯、複利人生 - AWS Career Exploration Day 2023
  • 個人著作 SRE 書友見面會
  • 軟體測試實務 - 新書發表會
  • 探索職涯、成就未來 - AWS Career Exploration Day 2022
  • 從理想、到現實的距離,開啟品味軟體測試之路
  • 91APP 在 AWS 上的 SRE 實踐之路
  • 在矩陣型組織裡,如何有效管理 AWS 的成本結構與系統架構
  • 災難演練 @ AWS 實戰分享
  • 導讀持續交付 2.0 - 談當代軟體交付之虛實融合
  • 聊聊軟體交付的濫觴 談產出物管理
  • 從緊急事件 談 SRE 應變能力的培養
  • 邁向 API 經濟 - API Gateway 導入之旅
  • Monitoring Tools 大亂鬥 - AWS CloudWatch
  • Ops as Code using Serverless
  • 淺談系統監控與 CloudWatch 的應用

    • Facebook

    Complete Think

    AWS Certifications

  • 全站索引
  • 關於這裏
  • 關於作者
  • 學習法則
  • 思考本質
  • 一些領悟
  • 分類哲學
    • ▲ TOP ▲