Ce este Identity Access Management în AWS?

Amazon Web Services (AWS) este o parte masivă a infrastructurii Internet. Estimările raportate de TheVerge spun că aproximativ 40% din tot traficul de internet rulează pe AWS. Cele mai populare servicii de internet utilizate de milioane de oameni pot fi găsite rulând pe AWS, inclusiv Airbnb, Expedia, Netflix, Pinterest, Slack, Spotify și multe altele. Nu numai că site-urile web și serviciile online întregi populare rulează pe AWS; multe site-uri web folosesc AWS ca suport pentru o parte a prezenței lor online.

Când AWS se defectează, așa cum sa întâmplat ocazional, părți gigantice ale ceea ce este recunoscut drept Internet încetează să funcționeze. Problemele tehnice și breșele de securitate pot cauza aceste defecțiuni. Aceasta înseamnă că Amazon ia foarte în serios problemele de securitate. AWS protejează rețeaua și clienții săi împotriva accesului neautorizat utilizând un management robust al accesului la identitate.

Ce este Identity Access Management?

Managementul accesului la identitate (IAM) este un program software sau un serviciu web care este utilizat pentru a controla în siguranță accesul la resursele rețelei. Un sistem IAM autentifică mai întâi un utilizator printr-un proces de conectare protejat prin parolă și apoi îi permite utilizatorului să acceseze resursele de rețea în funcție de permisiunile lor autorizate pentru a le folosi.

Pentru serviciile bazate pe cloud, gestionarea accesului utilizatorilor în cloud utilizează un sistem de autentificare bazat pe cloud pentru a determina identitatea unui utilizator și apoi permite accesul autorizat. Amazon Web Services (AWS) are un sistem de gestionare a accesului la identitate care funcționează cu sistemul cloud AWS.

Gestionarea identității și accesului AWS

Gestionarea identității și accesului AWS începe cu crearea unui cont AWS. La început, un utilizator are o identitate unică de conectare care creează un utilizator root care are acces deplin la serviciile AWS pentru acel cont. Contul de utilizator root folosește adresa de e-mail a unei persoane și o parolă pe care o creează pentru autentificare.

Utilizatorii AWS trebuie să păzească aceste informații despre contul de utilizator root cu extremă atenție, deoarece este contul care poate accesa totul. Consultați secțiunea de bune practici de mai jos pentru a afla cum să securizați cel mai bine aceste informații.

Unele caracteristici AWS IAM includ:

• Acces partajat — Acest lucru permite altor utilizatori să aibă acces la contul AWS utilizând acreditările lor de conectare.
• Permisiuni autorizate granulare — Utilizatorilor li se poate acorda acces în funcție de permisiuni alese foarte precis, care variază de la acces complet la acces la grup, la acces la aplicații, până la acces la fișiere protejate prin parolă și tot ce se află între ele.
• Autentificare în doi factori — Această opțiune de securitate opțională necesită ca un utilizator autorizat să folosească parola/cheia de acces corectă și să răspundă la un cod de mesaj text trimis către un dispozitiv sau o adresă de e-mail, cum ar fi telefonul smartphone sau contul de e-mail al unui utilizator.
• API-uri securizate — Interfețele securizate de programare a aplicațiilor oferă programelor software capacitatea de a se conecta la datele și serviciile din sistemul AWS care sunt necesare pentru a-și îndeplini funcțiile.
• Federații de identitate — Acest lucru permite ca parolele utilizatorilor autorizați să fie stocate în altă parte într-un alt sistem care este utilizat pentru identificare.
• Audit de utilizare — Prin utilizarea serviciului AWS CloudTrial, un jurnal complet al activității de acces la contul utilizatorilor este înregistrat pentru auditurile de securitate IT.

Înțelegerea modului în care funcționează AIM pe AWS

Gestionarea accesului la identitatea Amazon se bazează pe principiile unei structuri de permisiuni pe niveluri care include resurse, identități, entități și directori.

#Resurse

Resursele pot fi adăugate, editate sau eliminate din sistemul AWS IAM. Resursele sunt utilizatorii, grupurile, rolurile, politicile și obiectele pentru furnizorii de identitate care sunt stocate de sistem.

#Identități

Acestea sunt obiecte de resurse AWS IAM care conectează politicile la identități pentru a defini utilizatorii, rolurile și grupurile.

#Entități

Acestea sunt ceea ce sistemul AWS IAM folosește ca obiecte de resurse în scopuri de autentificare. Pe sistemul AWS, aceștia sunt utilizatorii și rolurile lor autorizate. Opțional, acestea pot proveni dintr-un sistem de identificare federat sau SAML care oferă verificarea identității bazată pe web.

#Directori

Acesta poate fi fie un utilizator individual, fie o aplicație software autorizată care este recunoscută ca utilizator AWS IAM sau un rol IAM care este autorizat să se conecteze și a solicitat acces la date și servicii.

Cele mai bune practici pentru administrarea AWS

Iată câteva dintre cele mai bune practici de urmat pentru administrarea AWS.

1. Root User Account Security

Contul de utilizator root creat la prima utilizare a AWS are cea mai mare putere și este „cheia principală” pentru un cont AWS. Ar trebui să fie folosit doar pentru configurarea contului și doar pentru câteva operațiuni necesare de gestionare a contului și a serviciilor. Conectarea inițială necesită o adresă de e-mail și o parolă.

Cele mai bune practici pentru a proteja acest cont rădăcină sunt să utilizați o adresă de e-mail de unică folosință, care este foarte complexă, cu cel puțin 8 caractere (cu simboluri, majuscule, litere mici și cifre) înainte de semnul „@”. De asemenea, utilizați o parolă unică, diferită de adresa de e-mail, care are, de asemenea, cel puțin 8 caractere, care include simboluri, cifre, litere mari și litere mici. Parolele mai lungi sunt mai bune.

După ce contul AWS este complet configurat și stabilit, alte conturi administrative sunt create pentru utilizare regulată.

Odată ce necesitatea ca contul de utilizator root să înceapă totul, salvați informațiile de acces la contul root pe o unitate USB blocând-o cu criptare și apoi păstrați cheia de criptare separată. Pune unitatea USB offline într-un seif încuiat, unde poate fi păstrată în siguranță până când este nevoie în viitor.

2. Limitați permisiunile

Oferiți utilizatorilor și aplicațiilor doar permisiunile exacte de care au nevoie pentru a-și face munca. Fiți atenți în privința acordării accesului la informații confidențiale și la servicii esențiale pentru misiune.

3. Probleme de securitate

Securitatea este o problemă continuă. Începe cu o structură solidă de proiectare a accesului utilizatorilor și apoi utilizând audituri continue pentru a detecta încercările de acces neautorizat, precum și gestionarea parolelor utilizatorilor pentru o complexitate suficientă și modificări regulate ale parolei. Este important să opriți rapid accesul utilizatorului atunci când nu mai este necesar sau dorit. Utilizarea AWS CloudTrial în scopuri de audit este foarte recomandată.

4. Criptare

Când acordați acces la AWS de pe dispozitive care utilizează Internetul, asigurați-vă că utilizați criptarea punct la punct, cum ar fi SSL, pentru a vă asigura că datele nu sunt compromise în timpul tranzitului.

5. Întrebări frecvente despre AWS Identity Access Management

Întrebările frecvente despre gestionarea accesului la identitate AWS acoperă un chestionar pentru a trata problemele care vă ajută pentru gestionarea accesului AWS.

Detalii tehnice ale AWS Access Management

Gestionarea accesului AWS are o diagramă care arată modul în care protocoalele IAM interacționează cu sistemul complet bazat pe cloud AWS. Protocoalele IAM includ politici bazate pe identitate, politici bazate pe resurse și alte politici utilizate pentru autorizare.

În timpul procesului de autorizare, sistemul AWS verifică politicile pentru a decide dacă permite sau refuza accesul.

Structura generală a politicii se bazează pe un set de principii cheie pe niveluri care includ:

• Numai utilizatorul contului root are acces complet. În mod implicit, toate celelalte solicitări de acces sunt refuzate.
• Doar o identitate explicită sau o politică de resurse poate suprascrie valoarea implicită a sistemului.
• O limită a permisiunilor pentru o sesiune sau bazată pe politica structurală a unei organizații (SCP) poate suprascrie accesul acordat de o politică bazată pe identitate sau pe resurse.
• O anumită regulă de refuzare anulează orice acces permis în cadrul altor parametri.

Tutoriale AWS IAM

Amazon oferă tutoriale pentru cei care doresc să afle mai multe despre configurarea identității și gestionării accesului pe AWS.

Problemele legate de configurarea AWS IAM și utilizarea corectă a acestuia sunt complexe. Pentru a se asigura că este mai ușor pentru noii clienți să folosească sistemul, Amazon a produs multe tutoriale utile care includ:

• Delegați accesul la Consola de facturare la Consola de facturare
• Utilizați rolurile IAM pentru contul AWS pentru a delega accesul
• Creați o primă politică gestionată de client
• Permiteți utilizatorilor să configureze acreditările și setările MFA

AWS este liderul industriei din mai multe motive. Amazon avea nevoie de aceste servicii cloud pentru operațiunile sale. A devenit evident că oferirea acestor servicii altora a fost o oportunitate de afaceri pentru Amazon cu potențial ridicat. Acum, ceea ce a început ca o afacere secundară pentru Amazon a devenit o parte majoră a infrastructurii de internet la nivel mondial.

Utilizarea sistemului AWS este aproape omniprezentă cu utilizarea Internetului în ansamblu. Fă-ți timp pentru a configura politicile IAM pentru a proteja securitatea cu atenție la detalii. Gestionarea sistemului IAM este o prioritate ridicată pentru administratorii de rețea. Combinați acest lucru cu audituri regulate de securitate IT pentru a descoperi orice problemă potențială.