Kasus penggunaan bisnis untuk IAM - AWS Identity and Access Management
Pengaturan awal example corpKasus penggunaan untuk IAM Amazon EC2Kasus penggunaan untuk IAM Amazon S3

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Kasus penggunaan bisnis untuk IAM

Kasus penggunaan bisnis sederhana untuk IAM dapat membantu Anda memahami cara-cara dasar Anda dapat menerapkan layanan untuk mengontrol AWS akses yang dimiliki pengguna Anda. Kasus penggunaan dijelaskan secara umum, tanpa mekanisme bagaimana Anda akan menggunakan IAM API untuk mencapai hasil yang Anda inginkan.

Kasus penggunaan ini melihat dua cara khas yang mungkin digunakan oleh perusahaan fiksi bernama Example Corp. IAM Skenario pertama mempertimbangkan Amazon Elastic Compute Cloud (AmazonEC2). Kedua, Amazon Simple Storage Service (Amazon S3).

Untuk informasi selengkapnya tentang penggunaan IAM dengan layanan lain dari AWS, lihatAWS layanan yang bekerja dengan IAM.

Pengaturan awal example corp

Nikki Wolf dan Mateo Jackson adalah pendiri Example Corp. Setelah memulai perusahaan, mereka membuat Akun AWS dan mengatur AWS IAM Identity Center(Pusat IAM Identitas) untuk membuat akun administratif untuk digunakan dengan sumber daya mereka. AWS Saat Anda mengatur akses akun untuk pengguna administratif, Pusat IAM Identitas akan membuat IAM peran yang sesuai. Peran ini, yang dikendalikan oleh Pusat IAM Identitas, dibuat dalam peran yang relevan Akun AWS, dan kebijakan yang ditentukan dalam kumpulan AdministratorAccessizin dilampirkan ke peran.

Karena mereka sekarang memiliki akun administrator, Nikki dan Mateo tidak perlu lagi menggunakan pengguna root mereka untuk mengakses akun mereka. Akun AWS Mereka berencana untuk hanya menggunakan pengguna root untuk menyelesaikan tugas-tugas yang hanya dapat dilakukan oleh pengguna root. Setelah meninjau praktik terbaik keamanan, mereka mengonfigurasi otentikasi multi-faktor (MFA) untuk kredensil pengguna root mereka dan memutuskan cara melindungi kredenal pengguna root mereka.

Seiring pertumbuhan perusahaan mereka, mereka mempekerjakan karyawan untuk bekerja sebagai pengembang, admin, penguji, manajer, dan administrator sistem. Nikki bertanggung jawab atas operasi, sementara Mateo mengelola tim teknik. Mereka menyiapkan Server Domain Direktori Aktif untuk mengelola akun karyawan dan mengelola akses ke sumber daya internal perusahaan.

Untuk memberikan karyawan mereka akses ke AWS sumber daya, mereka menggunakan IAM Identity Center untuk menghubungkan Active Directory perusahaan mereka ke mereka Akun AWS.

Karena mereka menghubungkan Active Directory ke IAM Identity Center, pengguna, grup, dan keanggotaan grup disinkronkan dan ditentukan. Mereka harus menetapkan set izin dan peran ke grup yang berbeda untuk memberikan pengguna tingkat akses yang benar ke AWS sumber daya. Mereka menggunakan AWS kebijakan terkelola untuk fungsi pekerjaan dalam AWS Management Console untuk membuat set izin ini:

  • Administrator

  • Penagihan

  • Pengembang

  • Administrator jaringan

  • Administrator basis data

  • Administrator sistem

  • Support pengguna

Kemudian mereka menetapkan set izin ini ke peran yang ditetapkan ke grup Direktori Aktif mereka.

Untuk step-by-step panduan yang menjelaskan konfigurasi awal Pusat IAM Identitas, lihat Memulai di Panduan AWS IAM Identity Center Pengguna. Untuk informasi selengkapnya tentang penyediaan akses pengguna Pusat IAM Identitas, lihat Akses masuk tunggal ke AWS akun di Panduan Pengguna.AWS IAM Identity Center

Kasus penggunaan untuk IAM Amazon EC2

Perusahaan seperti Example Corp biasanya menggunakan IAM untuk berinteraksi dengan layanan seperti AmazonEC2. Untuk memahami bagian dari kasus penggunaan ini, Anda memerlukan pemahaman dasar tentang AmazonEC2. Untuk informasi lebih lanjut tentang AmazonEC2, buka Panduan EC2 Pengguna Amazon.

EC2Izin Amazon untuk grup pengguna

Untuk memberikan kontrol “perimeter”, Nikki melampirkan kebijakan ke grup AllUsers pengguna. Kebijakan ini menolak AWS permintaan apa pun dari pengguna jika alamat IP asal berada di luar jaringan perusahaan Example Corp.

Di Example Corp, IAM grup yang berbeda memerlukan izin yang berbeda:

  • Administrator sistem — Perlu izin untuk membuat dan mengelolaAMIs, instance, snapshot, volume, grup keamanan, dan sebagainya. Nikki melampirkan kebijakan AmazonEC2FullAccess AWS terkelola ke grup SysAdmins pengguna yang memberi anggota grup izin untuk menggunakan semua tindakan AmazonEC2.

  • Pengembang – Perlu kemampuan untuk bekerja hanya dengan instans. Oleh karena itu Mateo membuat dan melampirkan kebijakan ke grup pengguna Pengembang yang memungkinkan pengembang untuk meneleponDescribeInstances,,RunInstances, StopInstancesStartInstances, dan. TerminateInstances

    catatan

    Amazon EC2 menggunakan SSH kunci, kata sandi Windows, dan grup keamanan untuk mengontrol siapa yang memiliki akses ke sistem operasi EC2 instans Amazon tertentu. Tidak ada metode dalam IAM sistem untuk mengizinkan atau menolak akses ke sistem operasi dari instance tertentu.

  • Mendukung pengguna - Seharusnya tidak dapat melakukan EC2 tindakan Amazon apa pun kecuali mencantumkan EC2 sumber daya Amazon yang saat ini tersedia. Oleh karena itu, Nikki membuat dan melampirkan kebijakan ke grup pengguna Support yang hanya memungkinkan mereka memanggil operasi EC2 “Deskripsikan” API Amazon.

Untuk contoh seperti apa kebijakan ini, lihat Contoh kebijakan berbasis identitas IAM dan Menggunakan AWS Identity and Access Management di Panduan EC2 Pengguna Amazon.

Perubahan fungsi pekerjaan pengguna

Pada titik tertentu, salah satu pengembang, Paulo Santos, mengubah fungsi pekerjaan dan menjadi manajer. Sebagai manajer, Paulo menjadi bagian dari kelompok pengguna Support sehingga ia dapat membuka kasus dukungan untuk pengembangnya. Mateo memindahkan Paulo dari grup pengguna Pengembang ke grup pengguna Support. Sebagai hasil dari langkah ini, kemampuannya untuk berinteraksi dengan EC2 instans Amazon terbatas. Dia tidak dapat meluncurkan atau memulai instans. Dia juga tidak dapat menghentikan atau mematikan instans yang ada, bahkan jika dia pengguna yang meluncurkan atau memulai instans. Dia hanya dapat mencantumkan instans yang telah diluncurkan pengguna Example Corp.

Kasus penggunaan untuk IAM Amazon S3

Perusahaan seperti Example Corp juga biasanya akan menggunakan IAM Amazon S3. John telah menciptakan ember Amazon S3 untuk perusahaan bernama amzn-s3-demo-bucket.

Pembuatan pengguna dan grup pengguna lain

Sebagai karyawan, Zhang Wei dan Mary Major masing-masing harus dapat membuat data mereka sendiri di ember perusahaan. Mereka juga perlu membaca dan menulis data yang dikerjakan oleh semua developer. Untuk mengaktifkan ini, Mateo secara logis mengatur data dalam amzn-s3-demo-bucket menggunakan skema key prefix Amazon S3 seperti yang ditunjukkan pada gambar berikut.

/amzn-s3-demo-bucket
    /home
        /zhang
        /major
    /share
        /developers
        /managers

Mateo membagi /amzn-s3-demo-bucket menjadi satu set direktori rumah untuk setiap karyawan, dan area bersama untuk kelompok pengembang dan manajer.

Sekarang Mateo membuat serangkaian kebijakan untuk menetapkan izin kepada pengguna dan grup pengguna:

  • Akses direktori rumah untuk Zhang — Mateo melampirkan kebijakan ke Wei yang memungkinkannya membaca, menulis, dan membuat daftar objek apa pun dengan awalan key Amazon S3 /amzn-s3-demo-bucket/home/zhang/

  • Akses direktori rumah untuk Mayor - Mateo melampirkan kebijakan ke Mary yang memungkinkannya membaca, menulis, dan membuat daftar objek apa pun dengan awalan key Amazon S3 /amzn-s3-demo-bucket/home/major/

  • Akses direktori bersama untuk grup pengguna pengembang — Mateo melampirkan kebijakan ke grup pengguna yang memungkinkan pengembang membaca, menulis, dan mencantumkan objek apa pun di /amzn-s3-demo-bucket/share/developers/

  • Akses direktori bersama untuk grup pengguna manajer — Mateo melampirkan kebijakan ke grup pengguna yang memungkinkan manajer membaca, menulis, dan mencantumkan objek di /amzn-s3-demo-bucket/share/managers/

catatan

Amazon S3 tidak secara otomatis memberi pengguna yang membuat izin bucket atau objek untuk melakukan tindakan lain pada bucket atau objek tersebut. Oleh karena itu, dalam IAM kebijakan Anda, Anda harus secara eksplisit memberikan izin kepada pengguna untuk menggunakan sumber daya Amazon S3 yang mereka buat.

Untuk contoh seperti apa kebijakan ini, lihat Kontrol Akses di Panduan Pengguna Layanan Penyimpanan Sederhana Amazon. Untuk informasi tentang bagaimana kebijakan dievaluasi pada waktu aktif, lihat Logika evaluasi kebijakan.

Perubahan fungsi pekerjaan pengguna

Pada titik tertentu, salah satu pengembang, Zhang Wei, mengubah fungsi pekerjaan dan menjadi manajer. Kami berasumsi bahwa dia tidak lagi memerlukan akses ke dokumen dalam direktori share/developers. Mateo, sebagai admin, memindahkan Wei ke grup Managers pengguna dan keluar dari grup Developers pengguna. Hanya dengan penugasan ulang sederhana itu, Wei secara otomatis mendapatkan semua izin yang diberikan kepada grup Managers pengguna, tetapi tidak dapat lagi mengakses data di direktori. share/developers

Integrasi dengan bisnis pihak ketiga

Organisasi sering kali bekerja dengan perusahaan mitra, konsultan, dan kontraktor. Contoh Corp memiliki mitra yang disebut Perusahaan Widget, dan karyawan Perusahaan Widget bernama Shirley Rodriguez perlu memasukkan data ke dalam ember untuk penggunaan Example Corp. Nikki membuat grup pengguna yang disebut WidgetCodan pengguna bernama Shirley dan menambahkan Shirley ke grup pengguna. WidgetCo Nikki juga membuat ember khusus yang disebut amzn-s3-demo-bucket1 untuk digunakan Shirley.

Nikki memperbarui kebijakan yang ada atau menambahkan yang baru untuk mengakomodasi mitra Widget Perusahaan. Misalnya, Nikki dapat membuat kebijakan baru yang menyangkal kemampuan anggota grup WidgetCo pengguna untuk menggunakan tindakan apa pun selain menulis. Kebijakan ini hanya akan diperlukan jika terdapat kebijakan luas yang memberi semua pengguna akses ke serangkaian tindakan Amazon S3.