AWS 使用tag进行精细权限控制

Posted

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了AWS 使用tag进行精细权限控制相关的知识,希望对你有一定的参考价值。

AWS一个账号下面可以通过IAM创建多个用户,但默认情况下,资源是没有用户属性的,一个账号下的资源,只要用户有这种资源的操作权限,那么不过是你自己创建的还是其他用户创建的,你都可以操作。

但在客户的实际使用场景中,有时需要隔离各用户之间的资源。按照AWS的建议,那你需要创建不同的账号,比如你有开发测试资源环境,还有生产资源环境,那么你需要创建两个账号,但创建两个账号,在查询费用的时候不方便,AWS提供consolidateBill的授权方案,可以合并账单。

所以AWS官方是没有一套简单的方法可以实现我们想要的效果的。

具体可以参考AWS开发者论坛很stackoverflow上的一些帖子

https://forums.aws.amazon.com/message.jspa?messageID=346577

https://forums.aws.amazon.com/thread.jspa?threadID=187874

https://stackoverflow.com/questions/25909203/how-to-differentiate-between-different-aws-environments-dev-test-stage-prod

 

那在同一个账号下,能不能做到不同用户的资源隔离呢。

通过IAM策略的灵活配置和aws全局变量,可以部分满足一些场景的需求。

   

在看场景之前,我们先了解一下,AWS IAM的授权机制:

AWS是通过策略来定义权限,再将这些策略授予用户、组或者角色,使用户、组或者角色拥有相应的权限。

IAM 策略是包含一个或多个语句的JSON 文档。每个语句的结构如下:

{

  "Statement":[{

   "Effect":"effect",

   "Action":"action",

   "Resource":"arn",

    "Condition":{

      "condition":{

       "key":"value"

        }

      }

    }

  ]

}

 

组成语句的各个元素如下:

Effect effect 可以是 Allow Deny。默认情况下 IAM 用户没有使用资源和 API 操作的权限,因此,所有请求均会被拒绝。显式允许将覆盖默认规则。显式拒绝将覆盖任何允许。

Actionaction 是对其授予或拒绝权限的特定 API 操作。

Resource操作影响的资源。有些 Amazon EC2 API 操作允许您在策略中包括该操作可以创建或修改的特定资源。要在语句中指定资源,您需要使用其 Amazon 资源名称 (ARN)。如果 API 操作不支持 ARN,请使用 * 通配符指定操作可以影响所有资源。

Condition条件是可选的。它们可以用于控制策略生效的条件。

由此可以看出,

第一、要想进行资源隔离,resource是关键。但问题来了,就如上面所说,并不是所有操作都支持资源级权限。

第二、即使有些操作是支持资源级权限的,那么怎么唯一标示一个资源或一批资源呢?AWS使用Amazon 资源名称 (ARN)来标示资源。

Amazon Elastic Compute Cloud (Amazon EC2) ARN 样例

arn:aws:ec2:region:account-id:customer-gateway/cgw-id

arn:aws:ec2:region:account_id:dedicated-host/host_id

arn:aws:ec2:region:account-id:dhcp-options/dhcp-options-id

arn:aws:ec2:region::image/image-id

arn:aws:ec2:region:account-id:instance/instance-id

arn:aws:iam::account:instance-profile/instance-profile-name

arn:aws:ec2:region:account-id:internet-gateway/igw-id

arn:aws:ec2:region:account-id:key-pair/key-pair-name

arn:aws:ec2:region:account-id:network-acl/nacl-id

arn:aws:ec2:region:account-id:network-interface/eni-id

arn:aws:ec2:region:account-id:placement-group/placement-group-name

arn:aws:ec2:region:account-id:route-table/route-table-id

arn:aws:ec2:region:account-id:security-group/security-group-id

arn:aws:ec2:region:account-id:snapshot/snapshot-id

arn:aws:ec2:region:account-id:subnet/subnet-id

arn:aws:ec2:region:account-id:volume/volume-id

arn:aws:ec2:region:account-id:vpc/vpc-id

arn:aws:ec2:region:account-id:vpc-peering-connection/vpc-peering-connection-id

arn:aws:ec2:region:account-id:vpn-connection/vpn-id

arn:aws:ec2:region:account-id:vpn-gateway/vgw-id

 

这里我们看到,大部分资源是使用ID来唯一标示的,但是ID是创建资源时,由AWS自动生成的,没什么可以利用的规律。这个问题就有点棘手了。

 

下面我们针对几种场景来试着解决一下上面提出的问题。

 

  • VPC隔离

目标:每个用户创建、管理并控制自己的VPC

我们先看一下VPC的操作(仅限VPC,暂不包括VPC下的组件):

DescribeVpcsCreateVpcDeleteVpcModifyVpcAttribute

首先所有describe操作都不支持资源级权限,所以想要互相看不见暂时办不到。

很不幸,上面所有这些操作都不支持资源级权限。

所以,我建议,VPC由管理员(有权限的用户)统一管理,其他用户只读。

VPC中大部分组件的删除操作可以支持资源级权限。但如上面所说,大部分资源都是以ID来唯一标示的,VPC下面的组件有很多,而且是动态的,随时增加,那有没有办法可以标示出这些组件是属于我的呢。

答案是肯定的,AWS提供Tag来给资源打标签,我们可以规定大家按一定的规则来给资源加上Tag,比如加上(creator:username)。那么在进行VPC组件删除操作的时候就可以通过condition条件ec2:ResourceTag/tag-key进行控制。但这方案也有一定缺陷,因为Tag是会被任何有权限的用户修改的,别的用户改了这个资源的Tag,或者你自己改了这个Tag,那么你就不能继续限制对它的操作了。

subnet子网的删除操作是不支持资源级权限的。同样建议子网定义由专门的网络管理员操作。

 

  • 只允许客户在指定的VPC中创建和管理虚机

还是一样,先来看一下有关虚机的操作:

RunInstancesStartInstancesRebootInstancesStopInstancesTerminateInstances

1)创建虚机:

RunInstances 是支持资源级权限的,它支持:

Image:使用什么样的镜像

Key pair:使用哪个key pair

Security group:使用哪个安全组

Subnet:使用哪个子网

这里没有VPC,但是有subnet,我们再看一下subnet支持的condition

ec2:AvailabilityZone

ec2:Region

ec2:ResourceTag/tag-key

ec2:Vpc

这里是有VPC的。所以在指定的VPC中创建虚机是可以的。

2)管理虚机

StartInstancesRebootInstancesStopInstancesTerminateInstances

这些操作是不能限定VPC的,可以限定单台虚机资源,但这样就达不到我们想要的效果。还好这些操作的condition条件都有ec2:ResourceTag/tag-key。同样使用和上面相同的方法,对我们自己的虚机打上我们的Tag,我们就可以限定只有我自己才能操作这些我打了tag的虚机。

 

  • 一个大问题

虽然我们可以给资源打tag,但是正如上面所说,有一个大问题,我们怎么阻止其他用户修改我的tag呢?

我们先来看一下ec2Tag的相关操作:

CreateTagsDeleteTags。这两个操作都是支持资源级权限的。我们是否也可以使用ec2:ResourceTag/tag-key来隔离各个用户的操作呢。看上去好像可以。但这里有一个前提,是你先要有一个tag-key,例如creator:username。那么创建这个tag的时候你是不能用conditionec2:ResourceTag/creator username的,因为初始情况,是一个tag都没有的,所以加了这个condition,你就无法创建tag。那么只能不加,不加的话,你就无法限制其他用户对tag的修改。但DeleteTags你可以使用这种方法,来限制其他用户的删除。

看到这里其实感觉有点悖论,是先有鸡还是先有蛋的问题。或者把create modify操作分开的话,也可以部分解决这个问题,但不幸的是这两个操作也不是分开的。

 

但我们还是找到了一种稍微折中一点的办法。放弃一些tag使用的功能,换来这个问题的解决。思路就是做到只能创建,不能修改。AWS CreateTags 创建Tag是支持一种condition ec2:CreateAction,可以限定只有在虚机创建的时候可以创建tag,创建完以后,你就不能修改和新增其他tag了。这样通过控制tag的使用,达到了管理tag的效果。

 

写到这里,主要场景和解题思路已经讲完了。

下面我们来实操一下。

 

  • 创建两个用户,不要分配权限。

  • 用户管理员创建两个VPC,在每个VPC里创建一个子网。

  • 下面来创建策略

{

    "Version":"2012-10-17",

    "Statement": [

        {

            //基本ec2查询操作和一些创建虚机必要的,但不涉及资源权限的操作

            "Effect":"Allow",

            "Action": [

                "ec2:Describe*",

                "ec2:AttachVolume",

                "ec2:CreateVolume",

               "ec2:AttachNetworkInterface",

                "ec2:DetachVolume",

                "ec2:DeleteVolume"

            ],

            "Resource": "*"

        },

        {

        //限定只能在虚机创建时,创建tag

            "Effect":"Allow",

            "Action": [

                "ec2:CreateTags"

            ],

            "Resource":"arn:aws:ec2: region:account:*/*",

            "Condition": {

                "StringEquals": {

                    "ec2:CreateAction": [

                       "RunInstances",

                       "CreateVolume"

                    ]

                }

            }

        },

 

        {

          //限定当该虚机的creator标签等于当前用户时,才能进行该虚机的操作。

            "Effect":"Allow",

            "Action": [

               "ec2:RebootInstances",

                "ec2:StartInstances",

                "ec2:StopInstances",

               "ec2:TerminateInstances"

            ],

            "Condition": {

                "StringEquals": {

                   "ec2:ResourceTag/creator": "${aws:username}"

                }

            },

            "Resource": "*"

        },

        {

         //限定当前用户只能在指定的vpc中启动虚机

            "Effect":"Allow",

            "Action":"ec2:RunInstances",

            "Resource":"arn:aws:ec2: region:account:subnet/*",

            "Condition": {

                "StringEquals": {

                    "ec2:Vpc":"arn:aws:ec2: region:account:vpc/vpc-id"

                }

            }

       },

        {

        //其他必要的虚机启动资源授权

            "Effect":"Allow",

            "Action":"ec2:RunInstances",

            "Resource": [

               "arn:aws:ec2:eu-central-1::image/ami-*",

               "arn:aws:ec2:eu-central-1:286883986851:volume/*",

               "arn:aws:ec2:eu-central-1:286883986851:network-interface/*",

               "arn:aws:ec2:eu-central-1:286883986851:key-pair/*",

               "arn:aws:ec2:eu-central-1:286883986851:security-group/*"

            ]

        }

    ]

}

  • 更换vpc-id,创建另一个策略。

  • 将两个策略分别分配给两个用户。

然后就可以测试效果了。大家自己动动手吧。


以上是关于AWS 使用tag进行精细权限控制的主要内容,如果未能解决你的问题,请参考以下文章

为啥我在 AWS 管理控制台中有权限,但在 AWS CLI 中没有某些操作的权限?

Vue 开发实战实战篇 # 33:更加精细化的权限设计(权限组件权限指令)

MongoDB 权限控制系统简介

为啥用友u8把数据权限分配里面的业务对象没有部门?

雪花:SQL 访问控制错误:权限不足,无法对架构进行操作

asp.net core mvc权限控制:分配权限