IAM User Rechte einschränken

In vielen Unternehmen müssen Mitarbeiter selbst bei geringsten Beschaffungen sich eine Unterschrift von ihrem Chef holen … in der Amazon Cloud hingegen kann ein Mitarbeiter oft viele tausend Euro auf Knopfdruck ausgeben … sofern man dieses nicht explizit über Rechte in IAM unterbindet.

Viele Unternehmen definieren für Ihre Admins eine IAM-Gruppe “Operators”, die dann mit Rechten aus dem Policy Template “Power User Access” versehen wird. Dadurch haben Mitglieder dieser Gruppe dann Rechte auf alle Module aber nicht auf IAM.

Wenn diese Operators aber in EC2 z.B. keine Reserved Instances kaufen dürfen, dann muss dieses noch durch weitere Policies unterbunden werden. Hier ein Beispiel, wie man den Kauf von EC2 Reserved Instances unterbindet:

1. Für die Gruppe Operators eine weitere Policy hinzufügen:

2. Dort den Policy Generator wählen:

3. Dort dann eine Verbotsregel zum Buchen von EC2 Reserved Instances wählen

Anschliessend hat die Gruppe „Operators“ folgende Policies:

Wenn mehrere Policies zugeordnet sind, dann werden die Policies nach folgendem Regelwerk ausgewertet:

  • An allow overrides any default denies
  • An explicit deny overrides any allows
  • The order in which the policies are evaluated is not important

 

Die Mitglieder der Gruppe “Operators” können nun zwar keine Reserved Instances mehr kaufen, Sie können aber immer noch neue teure EC2 Instanzen ohne Ende starten, dass muss nun auch über weitere Policies unterbunden werden …

 

Weitere Infos:

Hinterlasse eine Antwort

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *

Du kannst folgende HTML-Tags benutzen: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>