前言
AWS是世界上最大的云服务提供商,它提供了很多组件供消费者使用,其中进行访问控制的组件叫做IAM(Identity and Access Management), 用来进行身份验证和对AWS资源的访问控制。
功能
IAM的功能总结来看,主要分两种:
-
验证身份(Authentication)
-
授权访问(Authorization)
验证身份
验证身份的主要目的就是验证你的身份。
主要的身份实体有3种:
-
用户(user),实体创建的用户,与用户组的关系为多对多
-
用户组(group),根据一定规则分类的抽象集合,与用户的关系为多对多
-
角色(role),其余AWS资源,例如EC2实例、Lambda函数等
对于用户来说,我们在控制台看到的是一个用户名,实际上在后台,它是一串资源字符串:
arn:aws:iam::account-ID-without-hyphens:user/User-name
确认方式有以下几种:
-
AWS管理控制台,使用username/password方式进行认证
-
AWS命令行工具,使用Access Key/Secret Key进行认证
-
AWS产品开发包(SDK),使用Access Key/Secret Key进行认证
-
Restful API,使用Access Key/Secret Key进行认证
设定权限
对于AWS来说,这部分是通过Policy来实现的。
Policy规定了被认证的实体可以访问什么权限,怎样访问权限的问题,主要由Statement来完成。而Statement是使用json格式来填写的。
针对不同的层级,我们将Policy分为两种:
-
针对已认证用户的层级,我们称为“Identified-Based Policy”
-
针对资源层级,我们称为“Resource-Based Policy”
Statement的写法如下:
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "s3:ListAllMyBuckets",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"s3:ListBucket",
"s3:GetBucketLocation"
],
"Resource": "arn:aws:s3:::productionapp"
},
{
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:PutObject",
"s3:DeleteObject"
],
"Resource": "arn:aws:s3:::productionapp/*"
}
]
}
Identified-Based Policy
这里的Policy是针对被验证过用户的层级(此处的用户包含我上面讲的User、Group、Role)。
Policy和Statement是一对多的关系,也就是说,一个Policy可以包含多个Statement。
而Statement又包含以下内容:
-
Effect,决定你能不能访问(Allow/Deny)
-
Action,允许你对服务做什么动作
-
Resource,指明这次的Statement是对哪个资源做动作
Resource-Based Policy
这里的Policy是针对资源本身的层级。
Policy和Statement是一对多的关系,也就是说,一个Policy可以包含多个Statement。
而Statement又包含以下内容:
-
Effect,决定你能不能访问(Allow/Deny)
-
Action,允许你对服务做什么动作
-
Resource,指明这次的Statement是对哪个资源做动作,由于是针对自己的,所以要加上self
-
Principle,将自己的资源套用给谁
Identified-Based Policy和Resource-Based Policy的区别
-
Identified-Based Policy是Policy层级的,而Resource-Based Policy是Statement层级的,Identified-Based Policy比Resource-Based Policy高了一级
-
Identified-Based Policy是从用户角度来看待权限管理的,而Resource-Based Policy是从资源角度来看待权限管理的。
小结
-
IAM是用来做什么的
-
用户、用户组、角色的介绍
-
Policy的介绍,Identified-Based Policy和Resource-Based Policy的介绍和对比