STS, Policies

Question 1

…- это Сервис для получения …
для доступа к AWS сервисам
на время от … до …

Answer 1

STS
временных Security Credentials
от 15 до 60 минут

Question 2

Как называется API вызов
получить детали про своего IAM User’а и его Role (”кто я?”)

Answer 2

GetCallerIdentity

Question 3

Как называется API вызов
декодировать Error сообщение, если запрос на авторизацию отклонён (denied)

Answer 3

DecodeAuthorizationMessage

Question 4

Какие API вызовы есть для
“получить временные credentials”

Answer 4

• AssumeRole (может быть Cross Account)
• AssumeRoleWithSAML
• AssumeRoleWithIdentity - Facebook, Google, OIDC

Question 5

Как использовать STS для AssumeRole пошагово

Answer 5

1. Объявить IAM Role в своём аккаунте (или cross-account)
2. Объявить, какие Principles (пользователи каких IAM User Groups) могут assume’ать эту роль в Trust Relationship
3. Выполнять AssumeRole API call в сервис STS для получения временных Credentials

Question 6

Какой API вызов выполняется, чтобы получить временные креды при активном MFA?

Answer 6

Используем GetSessionToken API call в сервис STS

Question 7

Что возвращает операция GetSessionToken?

Answer 7

• Secret Key
• Access ID
• Session Token
• Expiration Date

Question 8

Что должно быть в объявлении Policy у Роли, которую мы асьюмаем при включенном MFA?

Answer 8

Должен быть Condition
aws:MultiFactorAuthPresent: true

Question 9

Какие виды Policies бывают?
Кто их создаёт?
Какие use-cases?
Можно ли их повторно использовать?
Есть ли система контроля версий и аудит?
Есть ли ограничения по размеру Policy?

Answer 9

Managed Policies
- Предопределённые роли, которые предоставляет AWS из коробки
- Подходят для Power Users и Administrators
- AWS обновляет их, когда появляются новые сервисы

Customer Managed Policies
- Мы сами объявляем эти Policies
- Есть система контроля версий (rollback, track author of changes)

Inline Policies
- Строго one-to-one отношение между Policy и Principal
- no rollback, no audit
- Удаление IAM Principal’а автоматически удалит его Inline Policy
- Есть ограничение по длине Inline Policy 2 KB , поэтому НЕ получится дать много

Question 10

Что такое Dynamic Policy?

Answer 10

IAM Policy с использованием ${aws:username} (policy variable)

Question 11

Кому нужны IAM Roles

Answer 11

• EC2 instance
• Lambda Function
• ECS Task (дополнительно указываем ECS_ENABLE_IAM_ROLE = true)
• CodeBuild сервис целиком

Question 12

Какие условия необходимо соблюсти, чтобы пользователь мог назначить роль сервису?

Answer 12

• Пользователь имеет право передавать эту IAM Role сервису (EC2 instance’у)
• IAM Role разрешает асьюмать себя этому Principal’у (всем EC2 instance’ам)

Question 13

Что такое iam:PassRole?

Answer 13

Когда мы создаём экземпляр AWS сервиса (например, EC2 instance), то мы указываем его IAM Role

• Говорят, мы “передаём ему роль” (назначаем роль) - то есть Pass IAM Role
• Чтобы это сделать у нашего IAM User’а должна быть Policy,
  которая разрешает делать Action iam:PassRole для определённой роли S3Access

Question 14

Что такое Trust Policy?
Какой там API вызов?

Answer 14

У каждой IAM Role помимо Permissions (списка обычных Policies) есть Trust Relationship

Он выглядит как обычная JSON Policy
Содержит информацию о том, какой сервис (Лямбда функция, EC2 instance) может асьюмать эту роль

sts:AssumeRole