Co to jest zarządzanie dostępem do tożsamości w AWS?

Opublikowany: 2019-08-09

Amazon Web Services (AWS) to ogromna część infrastruktury internetowej. Według szacunków TheVerge około 40% całego ruchu internetowego odbywa się na AWS. Najpopularniejsze serwisy internetowe używane przez miliony można znaleźć na AWS, w tym Airbnb, Expedia, Netflix, Pinterest, Slack, Spotify i wiele innych. Na AWS działają nie tylko całe popularne witryny i usługi online; wiele witryn korzysta z AWS jako wsparcia dla części swojej obecności w Internecie.

Kiedy AWS ulegnie awarii, jak to się zdarzało, gigantyczne części tego, co jest uznawane za Internet, przestają działać. Problemy techniczne i naruszenia bezpieczeństwa mogą powodować te awarie. Oznacza to, że Amazon bardzo poważnie traktuje kwestie bezpieczeństwa. AWS chroni sieć i jej klientów przed nieautoryzowanym dostępem za pomocą niezawodnego zarządzania dostępem do tożsamości.

Co to jest zarządzanie dostępem do tożsamości?

Zarządzanie dostępem do tożsamości (IAM) to oprogramowanie lub usługa internetowa służąca do bezpiecznego kontrolowania dostępu do zasobów sieciowych. System IAM najpierw uwierzytelnia użytkownika za pomocą chronionego hasłem procesu logowania, a następnie umożliwia użytkownikowi dostęp do zasobów sieciowych zgodnie z jego autoryzowanymi uprawnieniami do ich używania.

W przypadku usług opartych na chmurze zarządzanie dostępem użytkowników do chmury wykorzystuje system uwierzytelniania oparty na chmurze w celu określenia tożsamości użytkownika, a następnie umożliwia autoryzowany dostęp. Amazon Web Services (AWS) posiada system zarządzania dostępem do tożsamości, który współpracuje z systemem chmurowym AWS.

Zarządzanie tożsamością i dostępem AWS

Zarządzanie tożsamością i dostępem AWS zaczyna się od utworzenia konta AWS. Na początku użytkownik ma unikalną tożsamość logowania, która tworzy użytkownika root, który ma pełny dostęp do usług AWS dla tego konta. Konto użytkownika root używa adresu e-mail osoby i hasła utworzonego przez tę osobę w celu uwierzytelnienia.

Użytkownicy AWS muszą bardzo ostrożnie chronić informacje o koncie użytkownika root, ponieważ jest to konto, które może uzyskać dostęp do wszystkiego. Zapoznaj się z sekcją najlepszych praktyk poniżej, aby dowiedzieć się, jak najlepiej zabezpieczyć te informacje.

Niektóre funkcje AWS IAM obejmują:

  • Dostęp współdzielony — umożliwia innym użytkownikom dostęp do konta AWS przy użyciu ich danych logowania.
  • Szczegółowe autoryzowane uprawnienia — użytkownicy mogą uzyskać dostęp zgodnie z bardzo konkretnie wybranymi uprawnieniami, które obejmują pełny dostęp, dostęp grupowy, dostęp do aplikacji, dostęp do plików chronionych hasłem i wszystko pomiędzy.
  • Uwierzytelnianie dwuskładnikowe — ten opcjonalny wybór zabezpieczeń wymaga, aby autoryzowany użytkownik zarówno używał prawidłowego hasła/klucza dostępu, jak i odpowiadał na kod wiadomości tekstowej wysłany na urządzenie lub adres e-mail, taki jak smartfon lub konto e-mail użytkownika.
  • Bezpieczne interfejsy API — Bezpieczne interfejsy programowania aplikacji dają programom możliwość łączenia się z danymi i usługami w systemie AWS, które są potrzebne do wykonywania ich funkcji.
  • Federacje tożsamości — umożliwia to przechowywanie haseł autoryzowanych użytkowników w innym miejscu w innym systemie używanym do identyfikacji.
  • Audyt użytkowania — Korzystając z usługi AWS CloudTrial, rejestrowany jest pełny dziennik aktywności dostępu użytkowników do kont na potrzeby audytów bezpieczeństwa IT.

Zrozumienie działania AIM w AWS

Zarządzanie dostępem do tożsamości Amazon opiera się na zasadach wielopoziomowej struktury uprawnień, która obejmuje zasoby, tożsamości, jednostki i zleceniodawców.

#Zasoby

Zasoby można dodawać, edytować lub usuwać z systemu AWS IAM. Zasoby to użytkownicy, grupy, role, zasady i obiekty dla dostawców tożsamości, które są przechowywane przez system.

#Tożsamości

Są to obiekty zasobów AWS IAM, które łączą zasady z tożsamościami w celu zdefiniowania użytkowników, ról i grup.

#Jednostki

Są to elementy, które system AWS IAM wykorzystuje jako obiekty zasobów do celów uwierzytelniania. W systemie AWS są to użytkownicy i ich autoryzowane role. Opcjonalnie mogą pochodzić ze sfederowanego systemu identyfikacji lub SAML, który zapewnia internetową weryfikację tożsamości.

#Zleceniodawcy

Może to być pojedynczy użytkownik lub autoryzowana aplikacja rozpoznawana jako użytkownik AWS IAM lub rola IAM uprawniona do logowania i żądania dostępu do danych i usług.

Najlepsze praktyki dla administracji AWS

Oto kilka najlepszych praktyk, których należy przestrzegać przy administrowaniu AWS.

1. Bezpieczeństwo konta użytkownika root

Konto użytkownika root utworzone podczas pierwszego korzystania z AWS ma największą moc i jest „kluczem głównym” dla konta AWS. Powinien być używany tylko do założenia konta i tylko do kilku niezbędnych operacji zarządzania kontem i usługami. Pierwsze logowanie wymaga podania adresu e-mail i hasła.

Najlepszym sposobem ochrony tego konta głównego jest użycie bardzo złożonego adresu e-mail jednorazowego użytku z co najmniej 8 znakami (z symbolami, wielkimi literami, małymi literami i cyframi) przed znakiem „@”. Użyj również unikalnego hasła, innego niż adres e-mail, które ma co najmniej 8 znaków, które zawiera symbole, cyfry, wielkie litery i małe litery. Dłuższe hasła są lepsze.

Po całkowitym skonfigurowaniu i ustanowieniu konta AWS, tworzone są inne konta administracyjne do regularnego użytku.

Po zakończeniu potrzeby konta użytkownika root, aby wszystko się zaczęło, zapisz informacje o dostępie do konta root na dysku USB, blokując je za pomocą szyfrowania, a następnie przechowuj klucz szyfrowania oddzielnie. Umieść dysk USB w trybie offline w zamkniętym sejfie, gdzie można go bezpiecznie przechowywać do czasu, gdy będzie potrzebny w przyszłości.

2. Ogranicz uprawnienia

Przyznaj użytkownikom i aplikacjom tylko te uprawnienia, których potrzebują do wykonywania swojej pracy. Zachowaj ostrożność przy udzielaniu dostępu do informacji poufnych i usług o znaczeniu krytycznym.

3. Kwestie bezpieczeństwa

Bezpieczeństwo to ciągły problem. Rozpoczyna się solidną strukturą projektu dostępu użytkownika, a następnie wykorzystuje bieżące audyty w celu wykrywania nieautoryzowanych prób dostępu, a także zarządzania hasłami użytkowników w celu zapewnienia wystarczającej złożoności i regularnych zmian haseł. Ważne jest, aby szybko zakończyć dostęp użytkownika, gdy nie jest już potrzebny lub pożądany. Wysoce zalecane jest używanie AWS CloudTrial do celów audytu.

4. Szyfrowanie

Przy udzielaniu dostępu do AWS z urządzeń korzystających z Internetu należy używać szyfrowania typu punkt-punkt, takiego jak SSL, aby zapewnić, że dane nie zostaną naruszone podczas przesyłania.

5. Często zadawane pytania dotyczące zarządzania dostępem do tożsamości AWS

Często zadawane pytania dotyczące zarządzania dostępem do tożsamości AWS obejmują kwestionariusz dotyczący rozwiązywania problemów, które pomagają w zarządzaniu dostępem do AWS.

Szczegóły techniczne zarządzania dostępem AWS

Zarządzanie dostępem AWS zawiera wykres, który pokazuje, w jaki sposób protokoły IAM współpracują z pełnym systemem opartym na chmurze AWS. Protokoły IAM obejmują zasady oparte na tożsamości, zasady oparte na zasobach i inne zasady używane do autoryzacji.

Podczas procesu autoryzacji system AWS sprawdza polityki, aby zdecydować o zezwoleniu lub odmowie dostępu.

Ogólna struktura polityki opiera się na wielopoziomowym zestawie kluczowych zasad, które obejmują:

  • Tylko użytkownik konta root ma pełny dostęp. Domyślnie wszystkie inne żądania dostępu są odrzucane.
  • Tylko jawne zasady dotyczące tożsamości lub zasobów mogą zastąpić domyślne ustawienia systemu.
  • Ograniczenie uprawnień dla sesji lub na podstawie polityki strukturalnej organizacji (SCP) może zastąpić dostęp przyznany przez politykę opartą na tożsamości lub zasobach.
  • Określona reguła odmowy zastępuje dowolny dozwolony dostęp w ramach innych parametrów.

Samouczki AWS IAM

Amazon oferuje samouczki dla tych, którzy chcą dowiedzieć się więcej o konfigurowaniu zarządzania tożsamością i dostępem w AWS.

Problemy związane z konfiguracją AWS IAM i prawidłowym jego używaniem są złożone. Aby ułatwić nowym klientom korzystanie z systemu, Amazon opracował wiele pomocnych samouczków, które obejmują:

  • Delegowanie konsoli rozliczeń Dostęp do konsoli rozliczeń
  • Użyj ról uprawnień dla konta AWS do delegowania dostępu
  • Utwórz pierwszą politykę zarządzaną przez klienta
  • Zezwalaj użytkownikom na konfigurowanie poświadczeń i ustawień MFA

AWS jest liderem branży z wielu powodów. Amazon potrzebował tych usług w chmurze do swojej działalności. Stało się jasne, że oferowanie tych usług innym osobom było szansą biznesową dla firmy Amazon o dużym potencjale. Teraz to, co zaczęło się jako poboczny biznes dla Amazona, stało się główną częścią światowej infrastruktury internetowej.

Korzystanie z systemu AWS jest niemal wszechobecne w przypadku korzystania z Internetu jako całości. Poświęć trochę czasu na skonfigurowanie zasad uprawnień do ochrony bezpieczeństwa z dbałością o szczegóły. Zarządzanie systemem IAM jest priorytetem dla administratorów sieci. Połącz to z regularnymi audytami bezpieczeństwa IT, aby wykryć potencjalne problemy.