Cách tạo các chính sách được quản lý bởi khách hàng trong AWS - núm vú

Khi bạn tạo tài khoản AWS (Amazon Web Services) ban đầu, chỉ có một chính sách được quản lý bởi AWS đã được đưa ra: Quản trị viên Truy cập. Tuy nhiên, sau khi bạn tạo người dùng đầu tiên và đăng nhập vào AWS bằng tài khoản quản trị viên mới của mình, bạn có thể truy cập một số lượng lớn các chính sách do AWS quản lý.

Bất cứ khi nào có thể, bạn nên sử dụng các chính sách được quản lý bởi AWS để đảm bảo rằng chính sách nhận được cập nhật tự động phản ánh những thay đổi trong chức năng AWS. Khi sử dụng chính sách do khách hàng quản lý, bạn phải thực hiện bất kỳ bản cập nhật bắt buộc nào theo cách thủ công. Các bước sau giúp bạn bắt đầu sử dụng các chính sách do khách hàng quản lý.

Đăng nhập vào AWS bằng tài khoản quản trị viên của bạn.
Điều hướng đến IAM Management Console .
Chọn Chính sách trong ngăn Điều hướng. Bạn thấy trang Welcome to Managed Policies.

Trang Chào mừng bạn đến với Các chính sách được Quản lý giải thích chính sách sử dụng và bắt đầu của bạn.
Nhấp vào Bắt đầu. Bạn thấy danh sách các chính sách có quản lý AWS hiện có, như được hiển thị. Mỗi tên chính sách bắt đầu bằng từ Amazon (để chứng minh đó là một chính sách do AWS quản lý), tiếp theo là tên dịch vụ (EC2 trong hình), tùy chọn theo sau là mục tiêu của sự cho phép (như ContainerRegistry) và kết thúc với các loại giấy phép được cấp (như FullAccess). Khi tạo chính sách do chính khách hàng quản lý, tốt nhất bạn nên theo cùng một cách thực hiện để làm cho tên trở nên dễ sử dụng và phù hợp với các đối tác được quản lý bởi AWS.

Danh sách các chính sách do AWS quản lý tương đối dài.
Lưu ý rằng danh sách chính sách cho bạn biết số lượng các thực thể gắn liền với một chính sách để bạn biết liệu một chính sách có thực sự được sử dụng hay không. Bạn cũng có thể xem thời gian tạo chính sách và thời gian người nào đó chỉnh sửa lần cuối. Biểu tượng ở phía bên trái của chính sách cho biết loại chính sách, là một khối lập phương được cách điệu hóa cho các chính sách do AWS quản lý.

Trước khi bạn tạo chính sách do khách hàng quản lý, hãy chắc chắn rằng không có chính sách quản lý AWS nào tồn tại để phục vụ cho cùng một mục đích. Sử dụng chính sách quản lý AWS là đơn giản hơn, dễ bị lỗi hơn và cung cấp cập nhật tự động nếu cần.
Nhấp vào Tạo chính sách.

AWS cung cấp ba tùy chọn để tạo các chính sách do khách hàng quản lý.
Bạn thấy trang Tạo chính sách, hiển thị. AWS cung cấp ba tùy chọn để tạo chính sách mới (theo thứ tự phức tạp):

Sao chép chính sách được quản lý AWS: Chính sách được quản lý AWS hoạt động như một điểm khởi đầu. Sau đó bạn thực hiện các thay đổi cần thiết để tùy chỉnh chính sách cho nhu cầu của bạn.Bởi vì tùy chọn này giúp đảm bảo rằng bạn tạo ra một chính sách có thể sử dụng được và yêu cầu ít nhất là làm việc, bạn nên sử dụng nó bất cứ khi nào có thể. Ví dụ này giả định rằng bạn sao chép chính sách do AWS quản lý hiện tại bởi vì bạn theo dõi tuyến đường này thường xuyên nhất.

Trình tạo chính sách: Dựa vào giao diện tương tác để cho phép hoặc từ chối các hành động chống lại dịch vụ AWS. Bạn có thể gán quyền cho các tài nguyên cụ thể (trong một số trường hợp) bằng cách sử dụng Tài nguyên Amazon, ARN, hoặc cho tất cả các tài nguyên (sử dụng *, dấu hoa thị). (Thảo luận mô tả cách tạo và sử dụng ARN.) Một chính sách có thể chứa nhiều quyền, mỗi trong số đó xuất hiện dưới dạng một tuyên bố trong chính sách. Sau khi bạn xác định chính sách, trình hướng dẫn hiển thị cho bạn tài liệu chính sách, bạn có thể chỉnh sửa thủ công nếu muốn. Thuật sỹ sử dụng tài liệu chính sách để tạo ra chính sách. Đây là lựa chọn tốt nhất để sử dụng khi bạn cần một chính sách duy nhất để bao gồm nhiều dịch vụ.

Tạo chính sách riêng của bạn: Xác định một chính sách hoàn toàn bằng tay. Tất cả những gì bạn thấy là trang tài liệu chính sách, bạn phải điền vào bằng tay bằng cách sử dụng cú pháp và ngữ pháp thích hợp. Thảo luận cho bạn biết thêm về cách tạo một chính sách hoàn toàn bằng tay. Bạn sử dụng tùy chọn này chỉ khi cần thiết vì thời gian liên quan đến việc tạo ra tài liệu là đáng kể và tiềm năng cho lỗi là cao.

Nhấp Sao chép chính sách được quản lý AWS.

Bạn thấy danh sách các chính sách do AWS quản lý.

Chọn chính sách mà bạn muốn sửa đổi.

Nhấp vào Chọn bên cạnh chính sách Quản lý AWS mà bạn muốn sử dụng làm cơ sở cho chính sách do khách hàng quản lý. Ví dụ sử dụng chính sách AmazonEC2FullAccess làm điểm bắt đầu, nhưng các bước tương tự áp dụng cho việc sửa đổi các chính sách khác. Bạn sẽ thấy trang Chính sách đánh giá được hiển thị.

Trang Chính sách đánh giá hiển thị các chi tiết về chính sách mà bạn đang sửa đổi.
Bắt đầu với chính sách có quá nhiều quyền và xóa quyền mà bạn không muốn là dễ dàng hơn đáng kể so với bắt đầu bằng một chính sách có quá ít quyền và thêm các quyền mà bạn cần. Thêm quyền đòi hỏi phải nhập các mục mới vào tài liệu chính sách, đòi hỏi phải có kiến thức chi tiết về chính sách. Xóa bỏ quyền có nghĩa là làm nổi bật các tuyên bố đúng mà bạn không muốn và xóa chúng.

Nhập tên mới vào trường Tên chính sách.
Ví dụ sử dụng MyCompanyEC2FullAccessNoCloudWatch làm tên chính sách.

Sửa đổi trường mô tả khi cần để xác định các thay đổi được thực hiện. Ví dụ cho biết chính sách không cho phép truy cập vào CloudWatch.

Sửa đổi trường Tài liệu Chính sách nếu cần để phản ánh thay đổi chính sách. Ví dụ loại bỏ phần chính sách sau đây từ tài liệu:

{
"Effect": "Allow", "Action": "cloudwatch: *", "Resource": " * "
},

Đảm bảo rằng bạn thêm và xoá dấu phẩy giữa các chính sách nếu cần hoặc chính sách sẽ không hoạt động như mong đợi.

Nhấp vào Xác nhận chính sách. Nếu những thay đổi bạn đã thực hiện theo ý định, bạn sẽ thấy một thông báo thành công hợp lệ này là hợp lệ ở đầu trang. Luôn xác nhận chính sách của bạn trước khi bạn tạo nó.

Nhấp vào Tạo chính sách. Bạn thấy thông báo thành công trên trang Chính sách, cộng với một mục nhập mới cho chính sách của bạn, như được hiển thị. Lưu ý rằng chính sách của bạn không bao gồm biểu tượng loại chính sách. Việc thiếu một biểu tượng làm cho chính sách dễ dàng tìm thấy trong danh sách.

AWS cho bạn biết thời điểm bạn đã thêm thành công một chính sách mới.