Что такое управление доступом к идентификационным данным в AWS?
Опубликовано: 2019-08-09Amazon Web Services (AWS) — это огромная часть интернет-инфраструктуры. По оценкам TheVerge, примерно 40% всего интернет-трафика проходит через AWS. На AWS можно найти самые популярные интернет-сервисы, используемые миллионами, включая Airbnb, Expedia, Netflix, Pinterest, Slack, Spotify и многие другие. На AWS работают не только целые популярные веб-сайты и онлайн-сервисы; многие веб-сайты используют AWS в качестве поддержки для части своего присутствия в Интернете.
Когда AWS выходит из строя, как это иногда случалось, гигантские части того, что известно как Интернет, перестают функционировать. Эти сбои могут быть вызваны техническими проблемами и нарушениями безопасности. Это означает, что Amazon очень серьезно относится к вопросам безопасности. AWS защищает сеть и своих клиентов от несанкционированного доступа, используя надежное управление доступом к удостоверениям.
Что такое управление доступом к идентификационным данным?
Управление идентификационным доступом (IAM) — это программа или веб-служба, которая используется для безопасного управления доступом к сетевым ресурсам. Система IAM сначала аутентифицирует пользователя с помощью процесса входа, защищенного паролем, а затем позволяет пользователю получить доступ к сетевым ресурсам в соответствии с его авторизованными разрешениями на их использование.
Для облачных служб управление доступом пользователей к облаку использует облачную систему аутентификации для определения личности пользователя, а затем разрешает авторизованный доступ. Amazon Web Services (AWS) имеет систему управления доступом к удостоверениям, которая работает с облачной системой AWS.
AWS Управление идентификацией и доступом
Управление идентификацией и доступом AWS начинается с создания учетной записи AWS. Вначале у пользователя есть уникальный идентификатор для входа, который создает пользователя root, который имеет полный доступ к сервисам AWS для этой учетной записи. Учетная запись пользователя root использует адрес электронной почты человека и пароль, который он создает для аутентификации.
Пользователи AWS должны очень тщательно охранять информацию об этой учетной записи пользователя root, потому что это учетная запись, которая может получить доступ ко всему. Обратитесь к разделу лучших практик ниже, чтобы узнать, как лучше защитить эту информацию.
Некоторые функции AWS IAM включают в себя:
- Общий доступ — это позволяет другим пользователям иметь доступ к учетной записи AWS, используя свои учетные данные для входа.
- Детальные авторизованные разрешения . Пользователям может быть предоставлен доступ в соответствии с очень специально выбранными разрешениями, которые варьируются от полного доступа до группового доступа и доступа к приложениям до определенного доступа к файлам, защищенного паролем, и всего промежуточного.
- Двухфакторная аутентификация — этот дополнительный вариант безопасности требует, чтобы авторизованный пользователь использовал правильный пароль/ключ доступа и отвечал на код текстового сообщения, отправленный на устройство или адрес электронной почты, например на смартфон или учетную запись электронной почты пользователя.
- Защищенные API -интерфейсы. Защищенные интерфейсы прикладного программирования дают программам возможность подключаться к данным и службам в системе AWS, которые необходимы для выполнения их функций.
- Identity Federations — это позволяет хранить пароли авторизованных пользователей в другом месте в другой системе, которая используется для идентификации.
- Аудит использования — при использовании сервиса AWS CloudTrial для аудита ИТ-безопасности записывается полный журнал действий пользователей по доступу к учетной записи.
Понимание того, как AIM работает на AWS
Управление доступом к удостоверениям Amazon основано на принципах многоуровневой структуры разрешений, включающей ресурсы, удостоверения, сущности и участников.
#Ресурсы
Ресурсы можно добавлять, редактировать или удалять из системы AWS IAM. Ресурсы — это пользователи, группы, роли, политики и объекты для поставщиков удостоверений, которые хранятся в системе.
#Идентичности
Это объекты ресурсов AWS IAM, которые связывают политики с удостоверениями для определения пользователей, ролей и групп.
#Объекты
Это то, что система AWS IAM использует в качестве объектов ресурсов для аутентификации. В системе AWS это пользователи и их авторизованные роли. Как вариант, они могут поступать из федеративной системы идентификации или SAML, обеспечивающей проверку личности через Интернет.
#Руководители
Это может быть либо отдельный пользователь, либо авторизованное программное приложение, которое распознается как пользователь AWS IAM, либо роль IAM, которая авторизована для входа и запроса доступа к данным и сервисам.
Лучшие практики администрирования AWS
Ниже приведены некоторые рекомендации по администрированию AWS.
1. Безопасность корневой учетной записи пользователя
Учетная запись пользователя root, созданная при первом использовании AWS, имеет наибольшую мощность и является «главным ключом» для учетной записи AWS. Его следует использовать только для настройки учетной записи и только для нескольких необходимых операций управления учетной записью и услугами. Для первоначального входа в систему требуется адрес электронной почты и пароль.
Лучший способ защитить эту корневую учетную запись — использовать одноразовый очень сложный адрес электронной почты, содержащий не менее 8 символов (с символами, заглавными буквами, строчными буквами и цифрами) перед знаком «@». Кроме того, используйте уникальный пароль, отличный от адреса электронной почты, который также должен содержать не менее 8 символов, включая символы, цифры, заглавные и строчные буквы. Длинные пароли лучше.
После того, как учетная запись AWS полностью настроена и установлена, другие административные учетные записи создаются для регулярного использования.
Как только необходимость в учетной записи пользователя root для начала работы будет устранена, сохраните информацию о доступе учетной записи root на USB-накопителе, заблокировав ее с помощью шифрования, а затем сохраните ключ шифрования отдельно. Поместите USB-накопитель в автономный режим в запертый сейф, где его можно безопасно хранить до тех пор, пока он не понадобится в будущем.
2. Ограничьте разрешения
Предоставляйте пользователям и приложениям только те разрешения, которые необходимы им для работы. Будьте осторожны при предоставлении доступа к конфиденциальной информации и критически важным службам.
3. Вопросы безопасности
Безопасность является постоянной проблемой. Он начинается с прочной структуры проектирования доступа пользователей, а затем с использованием постоянных аудитов для обнаружения попыток несанкционированного доступа, а также управления паролями пользователей для достаточной сложности и регулярной смены паролей. Важно быстро прекратить доступ пользователя, когда он больше не нужен или нежелателен. Настоятельно рекомендуется использовать пробную версию AWS CloudTrial для целей аудита.
4. Шифрование
При предоставлении доступа к AWS с устройств, подключенных к Интернету, обязательно используйте двухточечное шифрование, например SSL, чтобы данные не были скомпрометированы во время передачи.
5. Часто задаваемые вопросы об AWS Identity Access Management
Ответы на часто задаваемые вопросы об управлении доступом к удостоверениям AWS охватывают некоторые вопросы, связанные с решением проблем, которые помогут вам в управлении доступом к AWS.
Технические детали AWS Access Management
Для управления доступом AWS есть диаграмма, показывающая, как протоколы IAM взаимодействуют с полной облачной системой AWS. Протоколы IAM включают политики на основе идентификации, политики на основе ресурсов и другие политики, используемые для авторизации.
В процессе авторизации система AWS проверяет политики, чтобы принять решение о разрешении или отказе в доступе.
Общая структура политики основана на многоуровневом наборе ключевых принципов, которые включают:
- Только пользователь учетной записи root имеет полный доступ. По умолчанию все остальные запросы на доступ отклоняются.
- Только явная политика удостоверений или ресурсов может переопределить системную политику по умолчанию.
- Ограничение разрешений для сеанса или на основе структурной политики организации (SCP) может иметь приоритет над доступом, предоставленным политикой на основе удостоверений или ресурсов.
- Определенное правило отказа отменяет любой разрешенный доступ с другими параметрами.
Учебные пособия по AWS IAM
Amazon предлагает учебные пособия для тех, кто хочет узнать больше о настройке идентификации и управления доступом в AWS.
Проблемы, связанные с настройкой AWS IAM и его правильным использованием, сложны. Чтобы новым клиентам было проще использовать систему, Amazon подготовил множество полезных руководств, в том числе:
- Делегирование доступа к Billing Console к Billing Console
- Используйте роли IAM для учетной записи AWS для делегирования доступа
- Создайте первую политику, управляемую клиентом
- Разрешить пользователям настраивать учетные данные и параметры MFA
AWS является лидером отрасли по многим причинам. Amazon нуждался в этих облачных сервисах для своей работы. Стало очевидным, что предложение этих услуг другим было бизнес-возможностью для Amazon с большим потенциалом. Теперь то, что начиналось как побочный бизнес для Amazon, стало важной частью всемирной интернет-инфраструктуры.
Использование системы AWS почти повсеместно с использованием Интернета в целом. Потратьте время на настройку политик IAM для защиты безопасности с вниманием к деталям. Управление системой IAM является приоритетной задачей для сетевых администраторов. Объедините это с регулярными аудитами ИТ-безопасности, чтобы выявить любые потенциальные проблемы.