IAM策略评估逻辑

已于 2022-08-28 16:13:49 修改
阅读量258 收藏
点赞数
分类专栏: AWS # AWS IAM 文章标签: aws 云计算
于 2021-12-28 22:00:21 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/BAStriver/article/details/122203897
版权
AWS 同时被 2 个专栏收录
25 篇文章 9 订阅
订阅专栏
AWS IAM
5 篇文章 0 订阅
订阅专栏

目录

1. 策略决策图

2. IAM策略评估逻辑处理过程

2.1 策略逻辑

2.2 策略测试

2.2.1 隐式拒绝和评估附加策略

2.2.2 显示拒绝

1. 策略决策图

这个图是我引用自AWS官方文档。包括了几乎所有AWS策略相关,比如组织 SCP、基于资源的策略、IAM 权限边界、会话策略以及基于身份的策略。

2. IAM策略评估逻辑处理过程

2.1 策略逻辑

根据决策图的第1,2步来看,在AWS,所有的访问比如访问S3存储桶,或者是启动EC2实例等,默认情况下这些请求都会被拒绝。

  1. 默认的情况下,所有请求都被拒绝,这称为隐式拒绝
  2. 评估所有附加策略;
  3. 检查策略中是否有应用于请求的Deny语句,如果有会决定允许;
  4. 如有没有显示拒绝,检查是否有允许请求的操作,如果有会决定允许;
  5. 如果没有语句允许请求的操作,则请求被隐式拒绝。

2.2 策略测试

2.2.1 隐式拒绝和评估附加策略

1) 假设我们现在有两个aws用户,并且root用户bastriver有个bucket(bas-demo-bucket)。

 2) 登入bas-developer用户,这个用户是没有权限查看这个bucket的。

 3) 关于如何配置跨账户访问可以参考:配置跨账户S3存储桶的访问

2.2.2 显示拒绝

1) 这里创建一个新的bucket(bas-demo-bucket2),并且附加拒绝策略,也就是bas-developer账户不能访问这个bucket。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "cross",
            "Effect": "Deny",
            "Principal": {
                "AWS": "arn:aws:iam::004398020230:root"
            },
            "Action": "s3:*",
            "Resource": [
                "arn:aws:s3:::bas-demo-bucket2",
                "arn:aws:s3:::bas-demo-bucket2/*"
            ]
        }
    ]
}

2) 测试(profile为dev对应的是账户bas-developer)。

 2.2.3 同时存在拒绝和允许策略。

1) 同时给bas-demo-bucket2附加上两个策略。 

2) 测试,可以看到在对同一个资源同时附加了允许和拒绝策略时,拒绝策略会生效

BAStriver
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
浅谈云上攻防——对象存储服务访问策略评估机制研究
YDclub的博客
08-13 340
前言 近些年来,越来越多的IT产业正在向云原生的开发和部署模式转变,这些模式的转变也带来了一些全新的安全挑战。 对象存储作为云原生的一项重要功能,同样面临着一些列安全挑战。但在对象存储所导致的安全问题中,绝大部分是由于用户使用此功能时错误的配置导致的。据统计,由于缺乏经验或人为错误导致的存储桶错误配置所造成的安全问题占所有云安全漏洞的16%。 以2017美国国防部承包商数据泄露为例:此次数据泄露事件是由于Booz Allen Hamilton公司(提供情报与防御顾问服务)在使用亚马逊S3服务器存储政府
Chatbot:IAM crecreed聊天机器人
04-03
- Rasa:更强大的开放源代码对话管理框架,支持复杂对话逻辑和机器学习训练。 3. 机器学习与对话系统: - 基于规则的模型:通过预先定义的规则和模式来响应用户输入。 - 基于统计的模型:使用机器学习算法,如...
您没有足够的权限访问此连接的属性_信息安全——现代化的 IAM(身份访问与管理)...
weixin_39628063的博客
11-27 810
文约8800字 阅读约25分钟IAM(身份和访问管理)通常负责用户需要访问的各种系统中的身份生命周期管理,包括入职、离职、角色变更。尽管IAM解决方案已经在市场上销售了30多年,但仍被认为是极其复杂的,非常耗费时间和耗费资源。IAM的构建模块可以分为三类:身份、认证、授权。现有技术主要集中在前两个方面,即身份生命周期管理和身份认证。而授权通常由开发人员和应用程序所有者负责。所导致的结...
IAM策略评估逻辑IAM Policy Evaluation Logic)
iloveaws的博客
03-06 828
关注公众号:AWS爱好者(iloveaws) 文 | 沉默恶魔(禁止转载,转载请先经过作者同意) 网站:www.iloveaws.cn 【 Domain 2-新解决方案设计】——-IAM策略评估逻辑IAM Policy Evaluation Logic) Hello大家好,欢迎来到《AWS解决方案架构师认证 Professional(SAP)中文视频培训课程》,我们今天的视频课程内容是 AWS...
AWS云从业者基础知识笔记】——模块6:安全
abcgkj的博客
02-16 5260
01介绍 学习目标 解释shared responsebility模型的好处。 描述multi-factor authentication(MFA)。 区分AWS Identity和IAM (Access Management安全级别。 解释AWS Organization的主要好处。 描述basic level的安全策略。 总结遵循AWS的好处。 从basic level解释其他AWS安全服务。 02Shared responsibility model 在本课程中,您已经了解了可以在AWS云中创建的
【控制篇 / 策略】(5.4) ❀ 02. 防火墙策略的作用 ❀ FortiGate 防火墙
防火墙技术专栏
10-26 5226
在这个实验里,你将在FortiGate飞塔防火墙建立防火墙策略
Q with Fuzzy_IAM_PIC_
09-30
由于没有更具体的信息,我们可以假设这份文件深入探讨了IAM系统如何通过模糊逻辑来处理用户身份识别的挑战,可能涉及用户输入的不精确性、拼写错误或者相似性问题。 【标签】"IAM PIC" 进一步明确了主题领域,IAM是...
red-shadow:Lightspin AWS IAM漏洞扫描程序
04-01
用于拒绝应用于组的策略AWS IAM评估逻辑的工作方式不同于大多数安全工程师可能习惯于使用其他授权机制的方式。 假设具有组资源的策略具有明确的拒绝。 在这种情况下,这只会影响组操作,而不会影响用户操作,例如...
Agile Controller-Campus迁移到NCE-Campus详细限制列表和对应策略
06-29
4. 系统集成:如果Agile Controller-Campus与其他系统有深度集成,如IAM(身份访问管理)、安全策略等,迁移时需要考虑这些系统的适应性。 5. 用户培训:NCE-Campus的界面和操作逻辑可能与Agile Controller-Campus...
Go-ladon-采用Go编写的访问控制策略SDK微服务和IoT时代的授权
08-13
使用Go-ladon,开发者可以通过定义这些元素来创建复杂的访问控制逻辑,并利用SDK提供的API来评估是否允许特定的访问请求。此外,Go-ladon还支持JSON格式的策略定义,这使得与其他系统的集成变得更加容易,符合...
IAM 策略
weixin_30321709的博客
08-19 838
可在 AWS 中使用以下策略类型,它们按使用频率顺序列出。有关更多详细信息,请参阅下面有关各种策略类型的各部分。 基于身份的策略– 将托管策略和内联策略附加到 IAM 身份(用户、用户所属组或角色)。基于身份的策略向身份授予权限。 基于资源的策略– 将内联策略附加到资源。基于资源的策略的最常见示例是 Amazon S3 存储桶策略IAM 角色信任策略。基于...
第14章 控制和监控访问
HeLLo_a119的博客
12-02 709
控制和监控访问
对显式隐式的理解
yhhwatl的专栏
09-18 1560
隐式转换各显式转换要求是同类型的,就是说两种数据类型必须兼容,隐式转换是向上转型(相当是子类转父类),而强制类型转换则是向下转型(相当是父类转子类),就好像long型的可以包含int型一样。 而强制转换可以是不是同一种类型,(如同class1与class2同级别的类一样),两都进行内容上的解析。Convert.ToInt32与int.Parse都是强制转换,int.Parse是转换String为
避免使用隐式类型转换
thimin的专栏
04-04 3211
More Effective C++ 阅读笔记(四)-- 避免使用隐式类型转换黑月亮 发表于 2005-10-3 15:38:00
ACL访问控制(华为)
热门推荐
ck784101777的博客
07-31 3万+
一、ACL 访问控制列表ACL(Access Control List)是由一条或多条规则组成的集合。所谓规则,是指描述报文匹配条件的判断语句,这些条件可以是报文的源地址、目的地址、端口号等。 ACL本质上是一种报文过滤器,规则是过滤器的滤芯。设备基于这些规则进行报文匹配,可以过滤出特定的报文,并根据应用ACL的业务模块的处理策略来允许或阻止该报文通过。 ...
ACL 访问控制列表
海绵汽水的博客
08-11 528
什么是ACL?          访问控制列表简称为ACL,访问控制列表使用包过滤技术,在路由器上读取 进行过滤, 从而达到访问控制的目的。 该技术初期仅在路由器上支持, 近些年来已经扩展到 三层交换机,部分最新的二层交换机也开始提供 ACL 的支持了。 第三层及第四层包头中的信息如源地址,目的地址,源端口,目的端口等,根据预先定义好的规则对包进行过滤,从而达到访问控制的目的。该
CISSP第5/8知识点错题集
ailx10
08-29 449
D5知识点正确率:58/48/64 综合:57 练习题链接如下,早起的鸟儿有虫吃~单元D5-1测试 单元D5-2测试 单元D5-3测试 1、Jacob正在为组织规划生物识别认证系统,考虑使用视网膜扫描,这样做可能会存在什么问题? 视网膜扫描可以泄露个人医疗信息。(正确答案) 视网膜扫描可能有害健康,因为需要向用户的眼睛喷空气。 视网膜扫描仪是最昂贵的生物测定仪器。(我的选择) 视网膜扫描仪假阳性率...
深入剖析防火墙策略的执行过程:ISA2006系列之六
weixin_34228387的博客
07-02 152
正确理解防火墙策略的执行过程   很多初次接触ISA的管理员,经常会发现自己的管理意图没有得到贯彻。自己明明禁止用户使用QQ聊天,可你看这个老兄正在和多个MM聊得热火朝天;早就禁止在上班时间访问游戏网站,可这个家伙不正在和别人下棋吗?最郁闷的是就连简单的禁止访问百度搜索引擎都做不到,照样有很多人用百度搜来搜去……不少深感智力受到侮辱的网管愤怒地发出了“ISA就是不灵”的吼声。ISA真是不灵吗?...
AWS S3文件/文件夹删除
BAStriver的博客
01-16 7087
1. 关于AWS S3的使用相关知识总结可以参考:AWS S3 学习小结。 2. 以下主要是想总结一下关于S3文件、文件夹如何删除,示例版本是源码里面的java2。 注:要知道,S3不存在子文件夹的概念,而是所有文件都在根目录。 假设有/home/files/如下的文件结构: 并且,有这样一个工具类。 package com.bas.util; import org.apache...
写一个 IAM 策略仅允许启动和停止实例
最新发布
02-22
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:StartInstances", "ec2:StopInstances" ], "Resource": "*" } ] }

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值