欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

AWS 使用tag进行精细权限控制

来源:本站整理 作者:佚名 时间:2017-07-12 TAG: 我要投稿

AWS一个账号下面可以通过IAM创建多个用户,但默认情况下,资源是没有用户属性的,一个账号下的资源,只要用户有这种资源的操作权限,那么不过是你自己创建的还是其他用户创建的,你都可以操作。
但在客户的实际使用场景中,有时需要隔离各用户之间的资源。按照AWS的建议,那你需要创建不同的账号,比如你有开发测试资源环境,还有生产资源环境,那么你需要创建两个账号,但创建两个账号,在查询费用的时候不方便,AWS提供consolidateBill的授权方案,可以合并账单。
所以AWS官方是没有一套简单的方法可以实现我们想要的效果的。
具体可以参考AWS开发者论坛很stackoverflow上的一些帖子
https://forums.aws.amazon.com/message.jspa?messageID=346577
https://forums.aws.amazon.com/thread.jspa?threadID=187874
https://stackoverflow.com/questions/25909203/how-to-differentiate-between-different-aws-environments-dev-test-stage-prod
 
那在同一个账号下,能不能做到不同用户的资源隔离呢。
通过IAM策略的灵活配置和aws全局变量,可以部分满足一些场景的需求。
  
在看场景之前,我们先了解一下,AWS IAM的授权机制:
AWS是通过策略来定义权限,再将这些策略授予用户、组或者角色,使用户、组或者角色拥有相应的权限。
IAM 策略是包含一个或多个语句的JSON 文档。每个语句的结构如下:
{
  "Statement":[{
   "Effect":"effect",
   "Action":"action",
   "Resource":"arn",
    "Condition":{
      "condition":{
       "key":"value"
        }
      }
    }
  ]
}
 
组成语句的各个元素如下:
Effect:此 effect 可以是 Allow 或 Deny。默认情况下 IAM 用户没有使用资源和 API 操作的权限,因此,所有请求均会被拒绝。显式允许将覆盖默认规则。显式拒绝将覆盖任何允许。
Action:action 是对其授予或拒绝权限的特定 API 操作。
Resource:操作影响的资源。有些 Amazon EC2 API 操作允许您在策略中包括该操作可以创建或修改的特定资源。要在语句中指定资源,您需要使用其 Amazon 资源名称 (ARN)。如果 API 操作不支持 ARN,请使用 * 通配符指定操作可以影响所有资源。
Condition:条件是可选的。它们可以用于控制策略生效的条件。
由此可以看出,
第一、要想进行资源隔离,resource是关键。但问题来了,就如上面所说,并不是所有操作都支持资源级权限。
第二、即使有些操作是支持资源级权限的,那么怎么唯一标示一个资源或一批资源呢?AWS使用Amazon 资源名称 (ARN)来标示资源。
Amazon Elastic Compute Cloud (Amazon EC2) 的ARN 样例
arn:aws:ec2:region:account-id:customer-gateway/cgw-id
arn:aws:ec2:region:account_id:dedicated-host/host_id
arn:aws:ec2:region:account-id:dhcp-options/dhcp-options-id
arn:aws:ec2:region::image/image-id
arn:aws:ec2:region:account-id:instance/instance-id
arn:aws:iam::account:instance-profile/instance-profile-name
arn:aws:ec2:region:account-id:internet-gateway/igw-id
arn:aws:ec2:region:account-id:key-pair/key-pair-name
arn:aws:ec2:region:account-id:network-acl/nacl-id
arn:aws:ec2:region:account-id:network-interface/eni-id
arn:aws:ec2:region:account-id:placement-group/placement-group-name
arn:aws:ec2:region:account-id:route-table/route-table-id
arn:aws:ec2:region:account-id:security-group/security-group-id
arn:aws:ec2:region:account-id:snapshot/snapshot-id
arn:aws:ec2:region:account-id:subnet/subnet-id
arn:aws:ec2:region:account-id:volume/volume-id
arn:aws:ec2:region:account-id:vpc/vpc-id
arn:aws:ec2:region:account-id:vpc-peering-connection/vpc-peering-connection-id
arn:aws:ec2:region:account-id:vpn-connection/vpn-id
arn:aws:ec2:region:account-id:vpn-gateway/vgw-id
 
这里我们看到,大部分资源是使用ID来唯一标示的,但是ID是创建资源时,由AWS自动生成的,没什么可以利用的规律。这个问题就有点棘手了。
 
下面我们针对几种场景来试着解决一下上面提出的问题。
 
VPC隔离
目标:每个用户创建、管理并控制自己的VPC。
我们先看一下VPC的操作(仅限VPC,暂不包括VPC下的组件):
DescribeVpcs、CreateVpc、DeleteVpc、ModifyVpcAttribute
首先所有describe操作都不支持资源级权限,所以想要互相看不见暂时办不到。
很不幸,上面所有这些操作都不支持资源级权限。
所以,我建议,VPC由管理员(有权限的用户)统一管理,其他用户只读。
VPC中大部分组件的删除操作可以支持资源级权限。但如上面所说,大部分资源都是以ID来唯一标示的,VPC下面的组件有很多,而且是动态的,随时增加,那有没有办法可以标示出这些组件是属于我的呢。
答案是肯定的,AWS提供Tag来给资源打标签,我们可以规定大家按一定的规则来给资源加上Tag,比如加上(creator:username)。那么在进行VPC组件删除操作的时候就可以通过condition条件ec2:ResourceTag/tag-key进行控制。但这方案也有一定缺陷,因为Tag是会被任何有权限的用户修改的,别的用户改了这个资源的Tag,或者你自己改了这个Tag,那么你就不能继续限制对它的操作了。
subnet子网的删除操作是不支持资源级权限的。同样建议子网定义由专门的网络管理员操作。
 
只允许客户在指定的VPC中创建和管理虚机
还是一样,先来看一下有关虚机的操作:

[1] [2] [3]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载