Como criar políticas gerenciadas pelo cliente em AWS - dummies

Quando você inicialmente criou sua conta AWS (Amazon Web Services), apenas uma política gerenciada pela AWS está no lugar: AdministratorAccess. No entanto, depois de criar o primeiro usuário e fazer logon no AWS usando sua nova conta de administrador, você pode acessar um grande número de políticas gerenciadas pela AWS.

Sempre que possível, você deve usar as políticas gerenciadas pela AWS para garantir que a política receba atualizações automáticas que refletem mudanças na funcionalidade AWS. Ao usar uma política gerenciada pelo cliente, você deve executar manualmente as atualizações necessárias. As seguintes etapas permitem que você comece a usar políticas gerenciadas pelo cliente.

1. Faça login na AWS usando sua conta de administrador.
2. Navegue para o Console de Gerenciamento IAM .
3. Selecione políticas no painel de navegação. Você vê a página Bem-vindo às políticas gerenciadas.

   

   A página Bem-vindo às políticas gerenciadas explica o uso das políticas e você começa.
4. Clique em Iniciar. Você vê uma lista de políticas gerenciadas AWS disponíveis, como mostrado. Cada um dos nomes das políticas começa com a palavra Amazon (para mostrar que é uma política gerenciada pelo AWS), seguido pelo nome do serviço (EC2 na figura), opcionalmente seguido pelo alvo da permissão (como Repositório de Container) e final com o tipo de permissão concedida (como o FullAccess). Ao criar suas próprias políticas gerenciadas pelo cliente, é bom seguir a mesma prática para tornar os nomes mais fáceis de usar e consistentes com suas homólogas gerenciadas pela AWS.

   

   A lista de políticas gerenciadas pelo AWS é relativamente longa.

   Observe que a lista de políticas informa o número de entidades anexadas a uma política para que você saiba se uma política está realmente em uso. Você também pode ver o tempo de criação da política eo tempo que alguém editou pela última vez. O símbolo no lado esquerdo da política mostra o tipo de política, que é um cubo estilizado para políticas gerenciadas pelo AWS.

   Antes de criar uma política gerenciada pelo cliente, certifique-se de que não existe nenhuma política gerenciada pela AWS que atenda a mesma finalidade. Usar a política gerenciada pela AWS é mais simples, menos propenso a erros e fornece atualizações automáticas conforme necessário.

5. Clique em Criar Política.

   

   A AWS oferece três opções para criar políticas gerenciadas pelo cliente.

   Você vê a página Criar Política, mostrada. O AWS fornece três opções para criar uma nova política (em ordem de complexidade):

   • Copiar uma Política Gerenciada da AWS: Uma política gerenciada pela AWS atua como um ponto de partida. Em seguida, você faz as alterações necessárias para personalizar a política para suas necessidades.Como esta opção ajuda a garantir que você crie uma política utilizável e requer o mínimo de trabalho, você deve usá-la sempre que possível. Este exemplo pressupõe que você copie uma política gerenciada AWS existente porque você segue esta rota com a maior freqüência.
   • Policy Generator: Depende de uma interface de assistente para permitir ou negar ações contra um serviço AWS. Você pode atribuir a permissão a recursos específicos (em alguns casos) usando um Nome do recurso Amazon, ARN ou a todos os recursos (usando um *, asterisco). (A discussão descreve como criar e usar ARNs.) Uma política pode conter várias permissões, cada uma das quais aparece como uma declaração dentro da política. Depois de definir políticas, o assistente mostra o documento de política, que você pode editar manualmente se desejar. O assistente usa o documento de política para gerar a política. Esta é a melhor opção para usar quando você precisa de uma única política para cobrir vários serviços.
   • Crie sua própria política: Define uma política completamente à mão. Tudo o que você vê é a página do documento de política, que você deve preencher manualmente usando a sintaxe e a gramática apropriadas. A discussão informa mais sobre como criar uma política completamente manualmente. Você usa essa opção somente quando necessário porque o tempo envolvido na criação do documento é substancial e o potencial de erro é alto.
6. Clique em Copiar uma Política AWS-Managed.

   Você vê uma lista de políticas gerenciadas pela AWS.

   

   Escolha a política que deseja modificar.
7. Clique em Selecionar ao lado da política AWS-Managed que você deseja usar como base para sua política gerenciada pelo cliente. O exemplo usa a política AmazonEC2FullAccess como ponto de partida, mas as mesmas etapas se aplicam à modificação de outras políticas. Você vê a página Política de revisão mostrada.

   

   A página Política de revisão mostra os detalhes sobre a política que você está modificando.

   Começar com uma política que tem muitos direitos e remover os direitos que você não deseja é significativamente mais fácil do que começar com uma política que tem muito poucos direitos e adicionando os direitos que você precisa. A adição de direitos implica a digitação de novas entradas no documento de política, que requer um conhecimento detalhado das políticas. A remoção de direitos significa realçar as declarações corretas que você não deseja e excluí-las.

8. Digite um novo nome no campo Nome da Política.

   O exemplo usa MyCompanyEC2FullAccessNoCloudWatch como o nome da política.

9. Modifique o campo Descrição conforme necessário para definir as alterações feitas. O exemplo acrescenta que a política não permite o acesso ao CloudWatch.
10. Modifique o campo Documento de política conforme necessário para refletir as alterações de política. O exemplo remove a seguinte seção de política do documento:

    {

    "Efeito": "Permitir",

    "Ação": "cloudwatch: *",

    "Recurso": " * "

    },

    Certifique-se de adicionar e remover vírgulas entre as políticas, conforme necessário, ou a política não funcionará conforme o esperado.

11. Clique em Validar política. Se as mudanças que você fez funcionar como pretendido, você vê uma mensagem de sucesso Esta política é válida no topo da página. Valide sempre sua política antes de criá-la.
12. Clique em Criar Política. Você vê uma mensagem de sucesso na página Políticas, além de uma nova entrada para sua política, conforme mostrado. Observe que sua política não inclui um ícone de tipo de política. A falta de um ícone torna a política mais fácil de encontrar na lista.

    

    AWS informa quando você adicionou uma nova política com sucesso.