AWS Identity and Access Management (IAM) ist der zentrale AWS Service um Berechtigungen für AWS API Endpoints zu verwalten. Es stellt Benutzer, Rollen, Policies und Möglichkeiten zur Authentifizierung und Authorisierung bereit. Um effektiv mit AWS zu arbeiten, ist ein tiefes Wissen über die Konzepte und die Bedienung erforderlich.

Ziele

• Was ist eine IAM policy und was kann man damit machen?

• An was kann man eine Policy assignen?

• Was passiert, wenn ich in einer Policy ein Deny und ein Allow auf die gleichen Services mache?

• Verstehe den Unterschied zwischen Role/User Based Authorization and Resource Based Authorization. Erläutere anhand von Beispielen mit KMS oder S3 die Unterschiede

• Erkläre warum folgendes Szenario eine Privilege Escalation erlaubt und wie man das verhindern kann:

  "Benutzer Brigitte arbeitet im Rechnungslauf und erhält einen Benutzer mit Billing Access. Weil Brigitte aber auch neue Benutzer für Mitarbeiter der Buchhaltung erstellen soll, erhält sie IAM Full Access."

• Verstehe den Unterschied zwischen Role und User

• Verstehe assume role und erläutere was damit gemeint ist. Erläutere 3 Nutzungsszenarien

• Du verstehst grundsätzlich IAM Identity Providers. Erläutere 1-2 Beispiele für was diese verwendet werden können

• Verstehe warum man AWS Organizations braucht und für welche Strukturen es nützlich sein kann

• Erkläre wie man in einer Organization Zugriff auf mehrere AWS Accounts verwaltet und wie das technisch funktioniert. Erläutere 2 Möglichkeiten.

• Verstehe Service Control Policies und erläutere ein Nutzungsszenario

Inhalte

• Kapitel IAM, ACCOUNTS AND AWS ORGANISATIONS aus dem cantrill.io Kurs Show archive.org snapshot
  • In dem Video "[SHAREDALL][DEMO] AWS Organizations" soll der zuvor erstelle Production Account eingeladen werden. Der Account wurde vorher nicht erstellt. Schau das Video an, erstelle eine Organization und füge stattdessen in der Organization einen Production Account mit den gleichen Schritten wie für den Developer Account hinzu.
• AWS Identity and Access Management Show archive.org snapshot
• How can I use permissions boundaries to limit the scope of IAM users and roles, and also prevent privilege escalation? Show archive.org snapshot

Aufgaben

1. Folge dem Kurs Kapitel
2. Erstelle einen Production Account in AWS Organizations
3. Erstelle eine Role und zeige ein praktisches assume_role
4. Wirf einen Blick in die Dokumentation um offene Fragen zu beantworten
5. Zeige deinem Mentor was du im Zuge des Kurses auf AWS gebaut hast