AWS Hesap Yönetimi ve IAM Rol Değiştirme 101

aws
iam

(Barış Balta) #1

AWS Hesap Yönetimi ve IAM Rol Değiştirme 101

Giriş

Merhaba, bu yazıda size farklı AWS hesapları arasında nasıl rol değiştirme ile erişim sağlanır (Cross-Account Access) adım adım en basit haliyle göstermeyi hedefledim. Sizler elbetteki çok daha karmaşık IAM policyler yazarak daha kapsamlı roller oluşturabilirsiniz. Bu yazıyı IAM ve Hesap yönetimini yeni öğrenen arkadaşlarımız için bir başlangıç noktası olarak düşünebilirsiniz.

Tek bir AWS hesabını yönetmek kolay bir operasyon fakat birden fazla hesaba sahipseniz (50+ AWS hesabına sahip organizasyonlar biliyorum) IAM hesaplarını yönetmekte tam bir kaosa dönüşmeye dönüşüyor. Tam da bu noktada IAM servisinin yeteneklerini kullanarak kullanıcılara birden fazla hesap tanımlamak zorunda kalmadan diğer AWS hesaplarınızdaki kaynaklara erişim verebilmek operasyonel yükünüzü hafifletiyor.

IAM Rolleri nasıl çalışır?

IAM Rolleri, AWS kaynakları üzerinde belirli eylemleri gerçekleştirmek için izinler veren ilkelerin atanabildiği görev tanımları olarak tanımlanabilir. Bir kullanıcı hesabından farklı olarak, bir rolde oturum açılamaz. Kullanıcılar var olan konsol oturumunda ilgili role geçiş yaparak, orijinal kullanıcı izinlerinden geçici olarak vazgeçip geçiş yaptığı rolün izinlerini üstlenir. Rol ile işi bittiğinde, kullanıcı kendi izinlerine tekrar geri döner.

IAM Kullanıcı Kılavuzu’nda dökümante edildiği gibi, hesap yöneticisi ilgili hesapta bir rol oluşturur ve ardından rolü kullanmak için güvenilir olarak tanımladığı AWS hesap numaralarını tanımlar. Güvenilir hesapların yöneticileri daha sonra ilgili role geçmesine izin verilecek belirli kullanıcılara gerekli izinleri tanımlar.

IAM rolleriyle erişim yetkisi tanımlamak, kullanıcı hesaplarının yönetimini basitleştirir. Kullanıcılarınıza, erişmeleri gereken her hesap için ayrı ayrı kullanıcı hesapları yaratmak yerine, kullanıcıların yalnızca bir adet kullanıcı hesabına sahip olması yeterlidir. Potansiyel olarak saldırı alabileceğiniz noktalar azalır, daha az kullanıcı hesabı oluşturmak ve yönetme kolaylığını elde etmiş olursunuz. Ayrıca kullanıcılarınız birden fazla hesabı ve parolayı hatırlamak zorunda kalmayacaktır.

Örnek Senaryo

Şirketimizin bir canlı, bir de geliştirme için kullandığı 2 ayrı AWS hesabı olsun. Amacımız sürekli bir hesaptan diğerine giriş/çıkış yapmadan, kullanıcıları sadece canlı ortam için kullanılan AWS hesabından yönetmek diyelim.

Öncelikle rol değiştirerek erişim sağlayacağımız hesapta gerekli rolü yaratarak başlıyoruz. Admin haklarına sahip bir kullanıcı ile geliştirme hesabında, canlı hesabın hesap numarasını kullanarak gerekli rolü yaratalım. Rolü yaratırken vermek istedigimiz yetkileri bu esnada tanımlamamız gerekiyor.

Rol değiştirme ile geçiş yapacağımız geliştirme hesabında IAM servisine geçip aşağıdaki gibi bir rol yaratalım.

Rolü yaratırken “Account ID” kısmına ana hesabın hesap numarasını yazacağız.

Sonra gerekli izinleri tanımlayalım:

Bir sonraki adımda rol adını belirleyeceğiz:

Bu adımla rol değiştirme ile geçiş yapacağımız geliştirme hesabındaki işimizi tamamladık. Şimdi ana hesaba geri dönelim ve yaptığımız yapılandırmalar doğru mu test edelim.

Sağ üst köşedeki menüden “Switch Role” seçeneğine tıklayalım. Açılan pencerede “Account” kısmına geliştirme hesabının hesap numarasını yazalım. “Role” kısmına yarattığımız rol adını yazalım ve akılda kalıcı kolay bir isim vererek Switch role butonuna basalım.

Siz de bu adımları doğru şekilde tamamladığınızda şuna benzer bir görüntüyle karşılaşacaksınız:

İleriki yazılarımda büyük kurumsal şirketler için daha üst düzey hesap yönetimi araçlarını nasıl entegre ederiz anlatmaya çalışacağım. Sorularınız ya da önerileriniz olursa lütfen yorum yazmaktan çekinmeyin.

Okudugunuz icin tesekkurler!

Sevgiler

Barış