BT

如何利用碎片时间提升技术认知与能力? 点击获取答案

AWS的身份与访问管理策略模拟器解析

| 作者 Jeff Barr 关注 0 他的粉丝 发布于 2015年9月29日. 估计阅读时间: 3 分钟 | CNUTCon 了解国内外一线大厂50+智能运维最新实践案例。

AWS身份与访问管理(简称IAM)机制允许大家利用访问控制策略对面向AWS服务与资源的访问进行控制。IAM当中包含一系列数量庞大的预置策略,而大家亦可以根据自己的实际需要创建合适的策略方案。

IAM策略当中包含各类策略声明。每一条声明将允许或者拒绝使用者对某些AWS服务(立足于个别API功能层面)或者资源进行访问。与此同时,大家还可以将策略附加至用户、群组或者角色当中。

以下示例策略允许用户访问全部EC2 API及其资源:

全新策略模拟器

策略所使用的语言极具表现力,而我们则希望帮助大家更为轻松地对其加以运用。就目前而言,大家需要将策略应用至生产流程当中,从而确保它们能够如预期一般顺利起效。

今天我们将要介绍的为IAM Policy Simulator工具。在这款工具的帮助下,大家将能够首先对自己的IAM策略实效进行测试,而后再将其提交至生产环境当中。其使用方式非常简单,我们首先选定自己需要评估的策略,从AWS选项清单当中将其选中,然后点击Run Simulation按钮。

举例来说,如果大家已经拥有自己的AWS账户,而且希望确保我以用户身份(我自己的IAM用户名为jeff)访问到全部EC2 API。这时大家需要选定我的用户名、对应服务以及我所需要访问的功能(大家也可以直接点击Select All按钮选中所有):

 

在按下Run Simulation按钮之后,对应策略将接受评估,而后由模拟器显示出测试结果。看起来我自己的账户没办法访问各EC2 API(这是因为IAM用户在默认情况下是不具备访问权限的,除非经过明确的权限分配):

我当然是需要访问这些API的,所以大家得打开AWS管理控制台当中的IAM标签并将Amazon EC2 Full Access Policy添加到用户jeff当中:

在此之后,我们返回模拟器并再次运行模拟器,这一次我已经拥有了全部访问能力:

当然这对于IAM Policy Simulator的全部功能来说还只能算是管中窥豹。大家也可以选择将一部分策略排除到模拟范畴之外,进而查看移除之后带来的实际效果。再有,大家可以通过模拟访问特定资源,或者在模拟器之内创建并测试刚刚生成的新策略。

欲了解更多信息,请查阅我制作的这段新视频:

【视频】

AWS Identity and Access Management Policy Simulator

——Jeff


感谢刘羽飞对本文的审校。

给InfoQ中文站投稿或者参与内容翻译工作,请邮件至editors@cn.infoq.com。也欢迎大家通过新浪微博(@InfoQ@丁晓昀),微信(微信号:InfoQChina)关注我们,并与我们的编辑和其他读者朋友交流(欢迎加入InfoQ读者交流群InfoQ好读者)。

评价本文

专业度
风格

您好,朋友!

您需要 注册一个InfoQ账号 或者 才能进行评论。在您完成注册后还需要进行一些设置。

获得来自InfoQ的更多体验。

告诉我们您的想法

允许的HTML标签: a,b,br,blockquote,i,li,pre,u,ul,p

当有人回复此评论时请E-mail通知我
社区评论

允许的HTML标签: a,b,br,blockquote,i,li,pre,u,ul,p

当有人回复此评论时请E-mail通知我

允许的HTML标签: a,b,br,blockquote,i,li,pre,u,ul,p

当有人回复此评论时请E-mail通知我

讨论

登陆InfoQ,与你最关心的话题互动。


找回密码....

Follow

关注你最喜爱的话题和作者

快速浏览网站内你所感兴趣话题的精选内容。

Like

内容自由定制

选择想要阅读的主题和喜爱的作者定制自己的新闻源。

Notifications

获取更新

设置通知机制以获取内容更新对您而言是否重要

BT