Day6: IAM简介

上一篇我们最後讲到了AWS针对NIST所发展的资安五大面向。今天我们来了解第一个面向IAM。

Identity & Access Management(IAM)
这其实算是资安基本功，简单来说，IAM就是透过角色来控管谁能够使用哪些服务，您可以使用 IAM 来控制谁透过身份验证（登录）和授权（具有权限）使用资源。

IAM里面的角色
Root
今天当您透过您的Email注册及开始使用AWS时，这组Email就是root user，root user具有最高权限，以AWS Best Practice来说，您不应该使用root user的帐号去做任何事情，如果一旦发生帐密外泄的事件，等於整组帐号的控制权也被人拿走了，最好的做法是立即为root user启用MFA(多因素验证)，并建立IAM user/group赋予admin的权限，并透过该user/group来开始启用服务。

user
使用者，您可以根据公司所订定的规则来决定每位使用者使用服务的权限

Group
在AWS Console里面被称为user group，公司可以针对同部门或是给予一样权限的user将它们变成群组，这样一来就不用重复设定同样的权限

role
role我个人觉得是IAM里面的精随，role中文翻译是角色，他的AWS icon是一顶工程师的帽子。今天当一个人具有user权限需要跨AWS帐号去处理事情，或是服务之间需要进行存取的时候，你总不会给出全部的权限吧?这时候如果透过switch/assume role的方式获得一个暂时的token(STS)，像是戴了一顶不同的帽子，你将会获得使用者给予这顶帽子(role)在一定的时间内得到相对应的处理权限。

Policy
Policy被翻译为政策或原则，将定义服务的权限规定。大多数Policy会以 JSON 档储存在 AWS 中。基於身份(Identity)的Policy和您附加到user或role的 JSON 档。 基於资源的Policy是附加到AWS资源的 JSON 档。而Policy的JSON档长的如下方所示。

{
    “Version”: “2012–10–17”,
    “Statement”: [
{
    “Sid”: “VisualEditor0”,
    “Effect”: “Allow”,
    “Action”: [
    “s3:PutObject”,
    “s3:GetObject”
],
    “Resource”: “arn:aws:s3:::mybucket/1.png”
    }
  ]
}

Policy JSON每个语句都包含有关单一权限的讯息。如果Policy包含多个语句，AWS 在评估它们时会跨语句应用逻辑 OR。

Policy JSON每航所代表的意思如下:
Version(版本)：Policy语言版本，根据AWS最佳实践请使用2012–10–17版
Statement(描述):将以下描述做为此Policy的主要控制项目。 您可以在一个Policy中包含多个描述。
Sid(描述id)（选择性填写）– 包含可选的描述 ID 以区分您的语句。
Effect (产生效果)—使用 Allow 或 Deny 指示Policy是允许还是拒绝存取。
Principal（在某些情况下需要）– 如果创建基於资源的Policy，则必须指明要允许或拒绝存取的帐户、user、role或Federated用户。如果您正在创建 IAM 权限Policy以附加到user或role，则不能包含principal。
**Action( 动作) **— 包含Policy允许或拒绝的操作列表。
Resource(资源)（某些情况下需要）– 如果您创建 IAM permission Policy，则必须指定操作适用的资源列表。如果创建基於资源的Policy，则此元素是依照您的需求可填可不填的。如果不填，则控制的资源就是Policy附加到的资源。
Condition(条件)（选择性填写）- 指定Policy授予权限的情况。