Kiểm tra IAM Policy
Kiểm tra IAM Policy
Để có thể bảo đảm các IAM policies sẽ hoạt động tốt, chúng ta sẽ thực hiện lần lượt các bài kiểm tra tương ứng với bảng sau:
| Thứ tự |
Đặc tả |
Mục |
| 1 |
Truy cập vào AWS Region không được cho phép |
5.2.1 |
| 2 |
Truy cập vào AWS Region được cho phép, dịch vụ EC2 |
5.2.2 |
| 3 |
Sử dụng Resource Tag với giá trị không nằm trong điều kiện thoả |
5.2.3 |
| 4 |
Chỉnh sửa Resource Tag sang giá trị không nằm trong điều kiện thoả |
5.2.4 |
| 5 |
Thực hiện thao tác quản lý EC2 instance |
5.2.5 |
Hãy cùng xem lại mô tả ngắn gọn của từng IAM Policy:
- ec2-list-read: Chính sách này sẽ chỉ cho phép quyền hạn read-only đối với dịch vụ EC2 ở region us-east-1 và us-west-1
- ec2-create-tags: Chính sách này sẽ cho phép tạo ra các thẻ dành cho dịch vụ EC2, kèm với điều kiện thực thi là khi chúng ta tiến hành tạo một EC2 instance
- ec2-create-tags-existing: Chính sách này sẽ cho phép tạo ra các thẻ dành cho dịch vụ EC2, kèm với điện kiện là khi và chỉ khi những tài nguyên (đã sẵn có hoặc sẽ tạo mới) được gán thẻ như sau “Key=Team,Value=Alpha”
- ec2-run-instances: Chính sách này cho phép tạo ra EC2 instance khi và chỉ khi các điều kiện về AWS Regions (us-east-1 & us-west-1) và Resource Tags (Key=Team,Value=Alpha) được thoả mãn. Tiếp theo, chính sách này cho phép tạo ra các tài nguyên liên quan tại thời điểm chúng ta tiến hành tạo EC2 instance, kèm với điều kiện về AWS Regions (us-east-1 & us-west-1).
- ec2-manage-instances: Chính sách này cho phép thực hiện những thao tác cơ bản (reboot, terminate, start, stop) đối với EC2 instances, kèm với điều kiện AWS Regions (us-east-1 & us-west-1) và Resource Tags (Key=Team,Value=Alpha) phải được thoả mãn.