Amazon Lattice 基于身份的政策 VPC - Amazon VPC Lattice
策略最佳实践完全访问所需的额外权限基于身份的策略示例

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon Lattice 基于身份的政策 VPC

默认情况下,用户和角色无权创建或修改VPC莱迪思资源。他们也无法使用 AWS Management Console、 AWS Command Line Interface (AWS CLI) 或来执行任务 AWS API。要授予用户对其所需资源执行操作的权限,IAM管理员可以创建IAM策略。然后,管理员可以将IAM策略添加到角色中,用户可以代入这些角色。

要了解如何使用这些示例策略文档创建IAM基于身份的JSON策略,请参阅IAM用户指南中的创建IAM策略(控制台)

有关VPC莱迪思定义的操作和资源类型(包括每种资源类型的格式)的详细信息,请参阅《服务授权参考》中的 Amazon VPC Lattice 操作、资源和条件密钥。ARNs

策略最佳实践

基于身份的策略决定了某人是否可以在您的账户中创建、访问或删除VPC莱迪思资源。这些操作可能会使 AWS 账户产生成本。创建或编辑基于身份的策略时,请遵循以下指南和建议:

  • 开始使用 AWS 托管策略并转向最低权限权限 — 要开始向用户和工作负载授予权限,请使用为许多常见用例授予权限的AWS 托管策略。它们在你的版本中可用 AWS 账户。我们建议您通过定义针对您的用例的 AWS 客户托管策略来进一步减少权限。有关更多信息,请参阅《IAM用户指南》中的AWS 托AWS 管策略或工作职能托管策略。

  • 应用最低权限权限-使用IAM策略设置权限时,仅授予执行任务所需的权限。为此,您可以定义在特定条件下可以对特定资源执行的操作,也称为最低权限许可。有关使用应用权限IAM的更多信息,请参阅IAM用户指南IAM中的策略和权限

  • 使用IAM策略中的条件进一步限制访问权限-您可以在策略中添加条件以限制对操作和资源的访问权限。例如,您可以编写一个策略条件来指定所有请求都必须使用发送SSL。如果服务操作是通过特定的方式使用的,则也可以使用条件来授予对服务操作的访问权限 AWS 服务,例如 AWS CloudFormation。有关更多信息,请参阅《IAM用户指南》中的IAMJSON策略元素:条件

  • 使用 A IAM ccess Analyzer 验证您的IAM策略以确保权限的安全性和功能性 — A IAM ccess Analyzer 会验证新的和现有的策略,以便策略符合IAM策略语言 (JSON) 和IAM最佳实践。IAMAccess Analyzer 提供了 100 多项策略检查和可行的建议,可帮助您制定安全和实用的策略。有关更多信息,请参阅《IAM用户指南》中的使用 A IAM ccess Analyzer 验证策略

  • 需要多重身份验证 (MFA)-如果您的场景需要IAM用户或 root 用户 AWS 账户,请打开MFA以提高安全性。要要求MFA何时调用API操作,请在策略中添加MFA条件。有关更多信息,请参阅《IAM用户指南》MFA中的使用进行安全API访问

有关中最佳做法的更多信息IAM,请参阅《IAM用户指南》IAM中的安全最佳实践

完全访问所需的额外权限

要使用与VPC莱迪思集成的其他 AWS 服务和整套VPC莱迪思功能,您必须拥有特定的额外权限。这些权限不包括在 VPCLatticeFullAccess 托管策略中,因为存在混淆代理权限升级风险。

您必须将以下策略附加到您的角色,并与 VPCLatticeFullAccess 托管策略一起使用。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "firehose:TagDeliveryStream",
                "lambda:AddPermission",
                "s3:PutBucketPolicy"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "logs:PutResourcePolicy"
            ],
            "Resource": "*",
            "Condition": {
                "ForAnyValue:StringEquals": {
                    "aws:CalledVia": [
                        "vpc-lattice.amazonaws.com"
                    ]
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:AttachRolePolicy",
                "iam:PutRolePolicy"
            ],
            "Resource": "arn:aws:iam::*:role/aws-service-role/vpc-lattice.amazonaws.com/AWSServiceRoleForVpcLattice"
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:AttachRolePolicy",
                "iam:PutRolePolicy"
            ],
            "Resource": "arn:aws:iam::*:role/aws-service-role/delivery.logs.amazonaws.com/AWSServiceRoleForLogDelivery*"
        }
    ]
}

本策略提供以下额外权限:

  • iam:AttachRolePolicy:允许您将指定的托管策略附加到指定IAM角色。

  • iam:PutRolePolicy:允许您添加或更新嵌入在指定IAM角色中的内联策略文档。

  • s3:PutBucketPolicy:允许您将存储桶策略应用于 Amazon S3 存储桶。

  • firehose:TagDeliveryStream:允许您为 Firehose 传输流添加或更新标签。

莱迪思基于身份的策略示例 VPC

策略示例:管理与服务网络的VPC关联

以下示例演示了一个策略,该策略向拥有此策略的用户授予创建、更新和删除与服务网络的VPC关联的权限,但仅限于条件中指定的VPC和服务网络。有关指定条件密钥的更多信息,请参阅 VPC莱迪思的策略条件密钥

{
   "Version": "2012-10-17",
   "Statement": [
      {
         "Effect": "Allow",
         "Action": [
            "vpc-lattice:CreateServiceNetworkVpcAssociation",
            "vpc-lattice:UpdateServiceNetworkVpcAssociation",
            "vpc-lattice:DeleteServiceNetworkVpcAssociation"
         ],
         "Resource": [
            "*"
         ],
         "Condition": {
            "StringEquals": { 
               "vpc-lattice:ServiceNetworkArn": "arn:aws:vpc-lattice:us-west-2:123456789012:servicenetwork/sn-903004f88example",
               "vpc-lattice:VpcId": "vpc-1a2b3c4d"
            }
         }
      }
   ]
}

策略示例:创建与服务网络的服务关联

如果您不使用条件键来控制对VPC莱迪思资源的访问,则可以在Resource元素中ARNs指定资源来控制访问权限。

以下示例演示了一种策略,该策略将服务关联限制为服务网络,使用此策略ARNs的用户可以通过指定可用于CreateServiceNetworkServiceAssociationAPI操作的服务和服务网络来创建该服务网络。有关指定ARN值的更多信息,请参见莱迪VPC思的政策资源

{
   "Version": "2012-10-17",
   "Statement": [
      {
         "Effect": "Allow",
         "Action": [
            "vpc-lattice:CreateServiceNetworkServiceAssociation"
         ],
         "Resource": [
            "arn:aws:vpc-lattice:us-west-2:123456789012:servicenetworkserviceassociation/*",
            "arn:aws:vpc-lattice:us-west-2:123456789012:service/svc-04d5cc9b88example",
            "arn:aws:vpc-lattice:us-west-2:123456789012:servicenetwork/sn-903004f88example"
         ]
      }
   ]
}

策略示例:为资源添加标签

以下示例演示了一项策略,该策略向拥有该策略的用户授予在VPC莱迪思资源上创建标签的权限。

{
   "Version": "2012-10-17",
   "Statement": [
      {
         "Effect": "Allow",
         "Action": [
            "vpc-lattice:TagResource"
         ],
         "Resource": "arn:aws:vpc-lattice:us-west-2:123456789012:*/*"
      }
   ]
}

策略示例:创建服务相关角色

VPC当您的任何用户首次创建莱迪思资源时,莱迪思需要权限才能 AWS 账户 创建VPC服务相关角色。如果服务相关角色尚不存在,VPC莱迪思会在您的账户中创建该角色。服务相关角色向莱迪思授予权限,以便VPC莱迪思可以 AWS 服务 代表您呼叫其他人。有关更多信息,请参阅 为 Amazon VPC Lattice 使用服务相关角色

为使自动角色创建操作成功,用户必须具有 iam:CreateServiceLinkedRole 操作的权限。

"Action": "iam:CreateServiceLinkedRole"

以下示例演示了一个策略,该策略向拥有该策略的用户授予为VPC莱迪思创建服务相关角色的权限。

{
   "Version": "2012-10-17",
   "Statement": [
      {
         "Effect": "Allow",
         "Action": "iam:CreateServiceLinkedRole",
         "Resource": "arn:aws:iam::*:role/aws-service-role/vpc-lattice.amazonaws.com/AWSServiceRoleForVpcLattice",
         "Condition": {
            "StringLike": {
               "iam:AWSServiceName":"vpc-lattice.amazonaws.com"
            }
         }
      }
   ]
}

有关更多信息,请参阅《IAM用户指南》中的服务相关角色权限