ما هي إدارة الوصول إلى الهوية في AWS؟

نشرت: 2019-08-09

تعد Amazon Web Services (AWS) جزءًا هائلاً من البنية التحتية للإنترنت. تشير التقديرات التي نشرتها TheVerge إلى أن ما يقرب من 40٪ من إجمالي حركة مرور الإنترنت تعمل على AWS. يمكن العثور على خدمات الإنترنت الأكثر شيوعًا التي يستخدمها الملايين وهي تعمل على AWS بما في ذلك Airbnb و Expedia و Netflix و Pinterest و Slack و Spotify وغيرها الكثير. لا يتم تشغيل مواقع الويب والخدمات عبر الإنترنت بالكامل على AWS فحسب ؛ تستخدم العديد من مواقع الويب AWS كدعم لجزء من تواجدها عبر الإنترنت.

عندما تتعطل AWS ، كما حدث في بعض الأحيان ، تتوقف أجزاء ضخمة مما يتم التعرف عليه على أنه الإنترنت عن العمل. قد تتسبب المشكلات الفنية والخروقات الأمنية في حدوث هذه الإخفاقات. هذا يعني أن Amazon تتعامل مع مشكلات الأمان على محمل الجد. تحمي AWS الشبكة وعملائها من الوصول غير المصرح به باستخدام إدارة قوية للوصول إلى الهوية.

ما هي إدارة الوصول إلى الهوية؟

إدارة الوصول إلى الهوية (IAM) هي برنامج أو خدمة قائمة على الويب تُستخدم للتحكم الآمن في الوصول إلى موارد الشبكة. يقوم نظام IAM أولاً بمصادقة المستخدم من خلال عملية تسجيل دخول محمية بكلمة مرور ثم يسمح للمستخدم بالوصول إلى موارد الشبكة وفقًا للأذونات المصرح بها لاستخدامها.

بالنسبة للخدمات المستندة إلى مجموعة النظراء ، تستخدم إدارة وصول المستخدم السحابي نظام مصادقة قائم على السحابة لتحديد هوية المستخدم ثم السماح بالوصول المصرح به. تمتلك Amazon Web Services (AWS) نظامًا لإدارة الوصول إلى الهوية يعمل مع نظام سحابة AWS.

AWS Identity and Access Management

تبدأ إدارة الوصول والهوية في AWS بإنشاء حساب AWS. في البداية ، يمتلك المستخدم هوية تسجيل دخول فريدة تنشئ مستخدمًا جذريًا لديه حق الوصول الكامل إلى خدمات AWS لهذا الحساب. يستخدم حساب المستخدم الجذر عنوان البريد الإلكتروني للشخص وكلمة المرور التي قام بإنشائها للمصادقة.

يجب على مستخدمي AWS حماية معلومات حساب المستخدم الجذر بعناية شديدة لأنه الحساب الذي يمكنه الوصول إلى كل شيء. راجع قسم أفضل الممارسات أدناه لمعرفة أفضل السبل لتأمين هذه المعلومات.

تتضمن بعض ميزات AWS IAM ما يلي:

  • الوصول المشترك - يتيح ذلك للمستخدمين الآخرين الوصول إلى حساب AWS باستخدام بيانات اعتماد تسجيل الدخول الخاصة بهم.
  • أذونات معتمدة حبيبية - يمكن منح المستخدمين حق الوصول وفقًا للأذونات المختارة على وجه التحديد والتي تتراوح من الوصول الكامل إلى وصول المجموعة إلى الوصول إلى التطبيق وصولاً إلى الوصول المحدد المحمي بكلمة مرور للملفات وكل شيء بينهما.
  • المصادقة الثنائية - يتطلب خيار الأمان الاختياري هذا من المستخدم المصرح له استخدام كلمة المرور / مفتاح الوصول الصحيح والرد على رمز رسالة نصية يتم إرسالها إلى جهاز أو عنوان بريد إلكتروني ، مثل الهاتف الذكي أو حساب البريد الإلكتروني للمستخدم.
  • واجهات برمجة التطبيقات الآمنة - تمنح واجهات برمجة التطبيقات الآمنة للبرامج القدرة على الاتصال بالبيانات والخدمات على نظام AWS اللازمة لأداء وظائفها.
  • اتحادات الهوية - يسمح ذلك بتخزين كلمات مرور المستخدمين المصرح لهم في مكان آخر في نظام آخر يُستخدم للتعريف.
  • تدقيق الاستخدام - باستخدام خدمة AWS CloudTrial ، يتم تسجيل سجل كامل لنشاط الوصول إلى حساب المستخدمين لعمليات تدقيق أمن تكنولوجيا المعلومات.

فهم كيفية عمل AIM على AWS

تستند إدارة الوصول إلى هوية أمازون على مبادئ هيكل الإذن المتدرج الذي يتضمن الموارد والهويات والكيانات والمبادئ.

#موارد

يمكن إضافة الموارد أو تحريرها أو إزالتها من نظام AWS IAM. الموارد هي المستخدمين والمجموعات والأدوار والسياسات والكائنات لموفري الهوية التي يتم تخزينها بواسطة النظام.

#المتطابقات

هذه هي كائنات موارد AWS IAM التي تربط السياسات بالهويات من أجل تحديد المستخدمين والأدوار والمجموعات.

#جهات

هذه هي ما يستخدمه نظام AWS IAM ككائنات موارد لأغراض المصادقة. في نظام AWS ، هم المستخدمون والأدوار المصرح لهم بها. كخيار ، يمكن أن تأتي من نظام تعريف متحد أو SAML الذي يوفر التحقق من الهوية المستند إلى الويب.

# المدراء

يمكن أن يكون هذا إما مستخدمًا فرديًا أو تطبيقًا برمجيًا معتمدًا معترفًا به كمستخدم AWS IAM أو دور IAM المصرح له بتسجيل الدخول وطلب الوصول إلى البيانات والخدمات.

أفضل الممارسات لإدارة AWS

فيما يلي بعض أفضل الممارسات التي يجب اتباعها لإدارة AWS.

1. حماية حساب المستخدم الجذر

يتمتع حساب المستخدم الجذر الذي تم إنشاؤه عند استخدام AWS لأول مرة بأكبر قدر من القوة وهو "المفتاح الرئيسي" لحساب AWS. يجب استخدامه فقط لإعداد الحساب ولعدد قليل فقط من عمليات إدارة الحساب والخدمات الضرورية. يتطلب تسجيل الدخول الأولي عنوان بريد إلكتروني وكلمة مرور.

تتمثل أفضل الممارسات لحماية حساب الجذر هذا في استخدام عنوان بريد إلكتروني يُستخدم لمرة واحدة معقد للغاية ويتكون من 8 أحرف على الأقل (مع الرموز والأحرف الكبيرة والأحرف الصغيرة والأرقام) قبل علامة "@". أيضًا ، استخدم كلمة مرور فريدة ، تختلف عن عنوان البريد الإلكتروني الذي يتكون أيضًا من 8 أحرف على الأقل ، والتي تتضمن الرموز والأرقام والأحرف الكبيرة والأحرف الصغيرة. تعد كلمات المرور الأطول أفضل.

بعد إعداد حساب AWS وتأسيسه بالكامل ، يتم إنشاء حسابات إدارية أخرى للاستخدام المنتظم.

بمجرد انتهاء الحاجة إلى حساب المستخدم الجذر لبدء كل شيء ، احفظ معلومات الوصول إلى حساب الجذر على محرك أقراص USB عن طريق قفله بالتشفير ثم احتفظ بمفتاح التشفير منفصلاً. ضع محرك أقراص USB في وضع عدم الاتصال في خزانة مؤمنة ، حيث يمكن الاحتفاظ بها بأمان لحين الحاجة إليها في المستقبل.

2. الحد من الأذونات

امنح المستخدمين والتطبيقات فقط الأذونات الدقيقة التي يحتاجون إليها للقيام بعملهم. كن حذرًا بشأن منح حق الوصول إلى المعلومات السرية والخدمات ذات المهام الحرجة.

3. قضايا الأمان

الأمن هو قضية مستمرة. يبدأ بهيكل تصميم وصول المستخدم المتين ثم يستخدم عمليات التدقيق المستمرة لاكتشاف محاولات الوصول غير المصرح بها بالإضافة إلى إدارة كلمات مرور المستخدمين لتعقيد كافٍ وتغييرات كلمة المرور بشكل منتظم. من المهم إنهاء وصول المستخدم بسرعة عندما لا تكون هناك حاجة إليه أو مرغوب فيه. يوصى بشدة باستخدام AWS CloudTrial لأغراض التدقيق.

4. التشفير

عند منح الوصول إلى AWS من الأجهزة التي تستخدم الإنترنت ، تأكد من استخدام التشفير من نقطة إلى نقطة ، مثل SSL ، لضمان عدم تعرض البيانات للخطر أثناء النقل.

5. الأسئلة الشائعة حول AWS Identity Access Management

تغطي الأسئلة المتداولة حول إدارة الوصول إلى الهوية في AWS بعض الاستبيانات للتعامل مع المشكلات التي تساعدك في إدارة الوصول إلى AWS.

التفاصيل الفنية لـ AWS Access Management

تحتوي إدارة الوصول في AWS على مخطط يوضح كيفية تفاعل بروتوكولات IAM مع نظام AWS الكامل القائم على السحابة. تتضمن بروتوكولات IAM السياسات المستندة إلى الهوية والسياسات القائمة على الموارد والسياسات الأخرى المستخدمة للترخيص.

أثناء عملية التفويض ، يتحقق نظام AWS من السياسات لاتخاذ قرار بشأن السماح بالوصول أو رفضه.

يعتمد الهيكل العام للسياسة على مجموعة متدرجة من المبادئ الأساسية التي تشمل:

  • فقط مستخدم الحساب الجذر لديه حق الوصول الكامل. بشكل افتراضي ، يتم رفض كافة طلبات الوصول الأخرى.
  • يمكن فقط للهوية الصريحة أو نهج المورد تجاوز الإعداد الافتراضي للنظام.
  • قد يتجاوز الحد على أذونات جلسة ما أو استنادًا إلى السياسة الهيكلية للمؤسسة (SCP) الوصول الممنوح بواسطة سياسة قائمة على الهوية أو سياسة قائمة على الموارد.
  • تتجاوز قاعدة الرفض المحددة أي وصول مسموح به ضمن معلمات أخرى.

دروس AWS IAM

تقدم Amazon برامج تعليمية لمن يرغبون في معرفة المزيد حول إعداد إدارة الهوية والوصول على AWS.

المشكلات المتعلقة بإعداد AWS IAM واستخدامها بشكل صحيح معقدة. للتأكد من أنه يسهل على العملاء الجدد استخدام النظام ، أنتجت أمازون العديد من البرامج التعليمية المفيدة التي تشمل:

  • تفويض وصول وحدة التحكم في الفوترة إلى وحدة التحكم في الفوترة
  • استخدم أدوار IAM لحساب AWS لتفويض الوصول
  • قم بإنشاء أول سياسة يديرها العميل
  • تمكين المستخدمين من تكوين بيانات الاعتماد وإعدادات MFA

AWS هي الشركة الرائدة في هذا المجال لأسباب عديدة. احتاجت أمازون إلى هذه الخدمات السحابية لعملياتها. أصبح من الواضح أن تقديم هذه الخدمات للآخرين كان فرصة عمل لشركة أمازون ذات الإمكانات العالية. الآن ، أصبح ما بدأ كعمل جانبي لشركة Amazon جزءًا رئيسيًا من البنية التحتية للإنترنت في جميع أنحاء العالم.

يعد استخدام نظام AWS في كل مكان تقريبًا مع استخدام الإنترنت ككل. خذ الوقت الكافي لإعداد سياسات IAM لحماية الأمان مع الاهتمام بالتفاصيل. تعد إدارة نظام IAM أولوية عالية لمسؤولي الشبكة. اجمع هذا مع عمليات تدقيق أمن تكنولوجيا المعلومات المنتظمة للكشف عن أي مشاكل محتملة.