การจัดการการเข้าถึงข้อมูลประจำตัวใน AWS คืออะไร
เผยแพร่แล้ว: 2019-08-09Amazon Web Services (AWS) เป็นส่วนสำคัญของโครงสร้างพื้นฐานอินเทอร์เน็ต ค่าประมาณที่รายงานโดย TheVerge ระบุว่าประมาณ 40% ของการรับส่งข้อมูลทางอินเทอร์เน็ตทั้งหมดทำงานบน AWS บริการอินเทอร์เน็ตที่ได้รับความนิยมสูงสุดที่คนนับล้านใช้สามารถพบได้บน AWS รวมถึง Airbnb, Expedia, Netflix, Pinterest, Slack, Spotify และอีกมากมาย ไม่เพียงแค่เว็บไซต์และบริการออนไลน์ยอดนิยมทั้งหมดทำงานบน AWS เท่านั้น เว็บไซต์จำนวนมากใช้ AWS เพื่อสนับสนุนส่วนหนึ่งของการแสดงตนทางออนไลน์
เมื่อ AWS หยุดทำงาน อย่างที่เคยเกิดขึ้น ชิ้นส่วนขนาดมหึมาของสิ่งที่เรียกว่าอินเทอร์เน็ตหยุดทำงาน ปัญหาทางเทคนิคและการละเมิดความปลอดภัยอาจทำให้เกิดความล้มเหลวเหล่านี้ ซึ่งหมายความว่า Amazon ให้ความสำคัญกับปัญหาด้านความปลอดภัยเป็นอย่างมาก AWS ปกป้องเครือข่ายและไคลเอนต์จากการเข้าถึงโดยไม่ได้รับอนุญาตโดยใช้การจัดการการเข้าถึงข้อมูลประจำตัวที่แข็งแกร่ง
การจัดการการเข้าถึงข้อมูลประจำตัวคืออะไร?
การจัดการการเข้าถึงข้อมูลประจำตัว (IAM) คือโปรแกรมซอฟต์แวร์หรือบริการบนเว็บที่ใช้ในการควบคุมการเข้าถึงทรัพยากรเครือข่ายอย่างปลอดภัย ในขั้นแรก ระบบ IAM จะตรวจสอบสิทธิ์ผู้ใช้ผ่านกระบวนการลงชื่อเข้าใช้ที่มีการป้องกันด้วยรหัสผ่าน จากนั้นจึงอนุญาตให้ผู้ใช้เข้าถึงทรัพยากรเครือข่ายตามการอนุญาตที่ผู้ใช้อนุญาต
สำหรับบริการบนคลาวด์ การจัดการการเข้าถึงของผู้ใช้บนคลาวด์ใช้ระบบตรวจสอบสิทธิ์บนคลาวด์เพื่อระบุตัวตนของผู้ใช้ จากนั้นจึงอนุญาตการเข้าถึงที่ได้รับอนุญาต Amazon Web Services (AWS) มีระบบการจัดการการเข้าถึงข้อมูลประจำตัวที่ทำงานร่วมกับระบบคลาวด์ของ AWS
AWS Identity and Access Management
ข้อมูลประจำตัวของ AWS และการจัดการการเข้าถึงเริ่มต้นด้วยการสร้างบัญชี AWS ในตอนเริ่มต้น ผู้ใช้มีข้อมูลประจำตัวในการลงชื่อเข้าใช้ที่ไม่ซ้ำกัน ซึ่งจะสร้างผู้ใช้รูทที่มีสิทธิ์เข้าถึงบริการของ AWS สำหรับบัญชีนั้นได้อย่างเต็มที่ บัญชีผู้ใช้รูทใช้ที่อยู่อีเมลของบุคคลและรหัสผ่านที่พวกเขาสร้างขึ้นสำหรับการตรวจสอบสิทธิ์
ผู้ใช้ AWS ต้องปกป้องข้อมูลบัญชีผู้ใช้รูทนี้อย่างระมัดระวังอย่างยิ่ง เนื่องจากเป็นบัญชีที่สามารถเข้าถึงทุกสิ่งได้ โปรดดูส่วนแนวทางปฏิบัติที่ดีที่สุดด้านล่างเพื่อเรียนรู้วิธีที่ดีที่สุดในการรักษาความปลอดภัยข้อมูลนี้
คุณสมบัติบางอย่างของ AWS IAM ได้แก่:
- การเข้าถึงที่ใช้ร่วมกัน — สิ่งนี้ทำให้ผู้ใช้รายอื่นสามารถเข้าถึงบัญชี AWS ได้โดยใช้ข้อมูลรับรองการลงชื่อเข้าใช้
- สิทธิ์อนุญาต แบบละเอียด — ผู้ใช้สามารถได้รับการเข้าถึงตามการอนุญาตที่เลือกสรรมาโดยเฉพาะ ซึ่งมีตั้งแต่การเข้าถึงแบบเต็มไปจนถึงการเข้าถึงแบบกลุ่ม การเข้าถึงแอปพลิเคชัน ไปจนถึงการเข้าถึงไฟล์ที่มีการป้องกันด้วยรหัสผ่านเฉพาะและทุกสิ่งที่อยู่ระหว่างนั้น
- การตรวจสอบสิทธิ์แบบสองปัจจัย — ตัวเลือกการรักษาความปลอดภัยที่เป็นตัวเลือกนี้กำหนดให้ผู้ใช้ที่ได้รับอนุญาตต้องใช้รหัสผ่าน/คีย์การเข้าถึงที่ถูกต้อง และตอบกลับรหัสข้อความที่ส่งไปยังอุปกรณ์หรือที่อยู่อีเมล เช่น สมาร์ทโฟนหรือบัญชีอีเมลของผู้ใช้
- API ที่ปลอดภัย — อินเทอร์เฟซการเขียนโปรแกรมแอปพลิเคชันที่ปลอดภัยช่วยให้โปรแกรมซอฟต์แวร์สามารถเชื่อมต่อกับข้อมูลและบริการบนระบบ AWS ที่จำเป็นต่อการปฏิบัติหน้าที่ได้
- การเชื่อม โยงข้อมูลประจำตัว — อนุญาตให้เก็บรหัสผ่านของผู้ใช้ที่ได้รับอนุญาตไว้ที่อื่นในระบบอื่นที่ใช้เพื่อระบุตัวตน
- การตรวจสอบการใช้งาน — การใช้บริการ AWS CloudTrial บันทึกกิจกรรมการเข้าถึงบัญชีของผู้ใช้ทั้งหมดจะถูกบันทึกสำหรับการตรวจสอบความปลอดภัยด้านไอที
ทำความเข้าใจว่า AIM ทำงานอย่างไรบน AWS
การจัดการการเข้าถึงข้อมูลประจำตัวของ Amazon อิงตามหลักการของโครงสร้างสิทธิ์ระดับชั้นที่รวมทรัพยากร ข้อมูลประจำตัว เอนทิตี และตัวการ
#ทรัพยากร
สามารถเพิ่ม แก้ไข หรือนำทรัพยากรออกจากระบบ AWS IAM ได้ ทรัพยากรคือผู้ใช้ กลุ่ม บทบาท นโยบาย และอ็อบเจ็กต์สำหรับผู้ให้บริการข้อมูลประจำตัวที่จัดเก็บโดยระบบ
#อัตลักษณ์
สิ่งเหล่านี้คือออบเจ็กต์ทรัพยากร AWS IAM ที่เชื่อมต่อนโยบายกับข้อมูลระบุตัวตนเพื่อกำหนดผู้ใช้ บทบาท และกลุ่ม
#เอนทิตี
นี่คือสิ่งที่ระบบ AWS IAM ใช้เป็นออบเจ็กต์ทรัพยากรเพื่อการตรวจสอบสิทธิ์ ในระบบ AWS พวกเขาคือผู้ใช้และบทบาทที่ได้รับอนุญาต อีกทางเลือกหนึ่งคืออาจมาจากระบบการระบุตัวตนแบบรวมศูนย์หรือ SAML ที่ให้การยืนยันตัวตนทางเว็บ
#อาจารย์ใหญ่
ซึ่งสามารถเป็นได้ทั้งผู้ใช้รายบุคคลหรือแอปพลิเคชันซอฟต์แวร์ที่ได้รับอนุญาตซึ่งเป็นที่รู้จักในฐานะผู้ใช้ AWS IAM หรือบทบาท IAM ที่ได้รับอนุญาตให้ลงชื่อเข้าใช้และร้องขอการเข้าถึงข้อมูลและบริการ
แนวทางปฏิบัติที่ดีที่สุดสำหรับการดูแลระบบ AWS
ต่อไปนี้คือแนวทางปฏิบัติที่ดีที่สุดบางประการสำหรับการดูแลระบบ AWS
1. ความปลอดภัยของบัญชีผู้ใช้รูท
บัญชีผู้ใช้รูทที่สร้างขึ้นเมื่อใช้ AWS เป็นครั้งแรกมีพลังมากที่สุดและเป็น “มาสเตอร์คีย์” สำหรับบัญชี AWS ควรใช้เพื่อตั้งค่าบัญชีและสำหรับการดำเนินการจัดการบัญชีและบริการที่จำเป็นเพียงไม่กี่รายการเท่านั้น การเข้าสู่ระบบครั้งแรกต้องใช้ที่อยู่อีเมลและรหัสผ่าน
แนวทางปฏิบัติที่ดีที่สุดในการปกป้องบัญชีรูทนี้คือการใช้ที่อยู่อีเมลแบบใช้ครั้งเดียวที่มีความซับซ้อนมาก โดยต้องมีอักขระอย่างน้อย 8 ตัว (ที่มีสัญลักษณ์ ตัวพิมพ์ใหญ่ ตัวพิมพ์เล็ก และตัวเลข) ก่อนเครื่องหมาย “@” นอกจากนี้ ให้ใช้รหัสผ่านที่ไม่ซ้ำกัน ซึ่งแตกต่างจากที่อยู่อีเมลที่มีความยาวอย่างน้อย 8 อักขระ ซึ่งรวมถึงสัญลักษณ์ ตัวเลข ตัวพิมพ์ใหญ่ และตัวพิมพ์เล็ก รหัสผ่านที่ยาวกว่าจะดีกว่า
หลังจากตั้งค่าและสร้างบัญชี AWS เรียบร้อยแล้ว บัญชีการดูแลระบบอื่นๆ จะถูกสร้างขึ้นสำหรับการใช้งานปกติ
เมื่อความต้องการบัญชีผู้ใช้รูทเพื่อเริ่มต้นทุกอย่างเสร็จสิ้นแล้ว ให้บันทึกข้อมูลการเข้าถึงบัญชีรูทบนไดรฟ์ USB โดยล็อคด้วยการเข้ารหัส จากนั้นแยกคีย์เข้ารหัสไว้ต่างหาก วางไดรฟ์ USB ออฟไลน์ไว้ในตู้นิรภัยที่ล็อกไว้ ซึ่งสามารถเก็บไว้อย่างปลอดภัยจนกว่าจะจำเป็นในอนาคต
2. จำกัดสิทธิ์
ให้สิทธิ์เฉพาะแก่ผู้ใช้และแอปพลิเคชันที่จำเป็นในการทำงานเท่านั้น โปรดใช้ความระมัดระวังในการอนุญาตให้เข้าถึงข้อมูลที่เป็นความลับและบริการที่สำคัญต่อภารกิจ
3. ปัญหาด้านความปลอดภัย
ความปลอดภัยเป็นปัญหาต่อเนื่อง เริ่มต้นด้วยโครงสร้างการออกแบบการเข้าถึงของผู้ใช้ที่แข็งแกร่ง จากนั้นใช้การตรวจสอบอย่างต่อเนื่องเพื่อตรวจหาความพยายามในการเข้าถึงโดยไม่ได้รับอนุญาต ตลอดจนการจัดการรหัสผ่านของผู้ใช้สำหรับความซับซ้อนเพียงพอและการเปลี่ยนรหัสผ่านเป็นประจำ สิ่งสำคัญคือต้องยุติการเข้าถึงของผู้ใช้อย่างรวดเร็วเมื่อไม่ต้องการหรือไม่ต้องการอีกต่อไป ขอแนะนำให้ใช้ AWS CloudTrial เพื่อการตรวจสอบ
4. การเข้ารหัส
เมื่อให้สิทธิ์การเข้าถึง AWS จากอุปกรณ์ที่ใช้อินเทอร์เน็ต อย่าลืมใช้การเข้ารหัสแบบจุดต่อจุด เช่น SSL เพื่อให้แน่ใจว่าข้อมูลจะไม่ถูกบุกรุกขณะส่ง
5. คำถามที่พบบ่อยเกี่ยวกับ AWS Identity Access Management
คำถามที่พบบ่อยเกี่ยวกับการจัดการการเข้าถึงข้อมูลประจำตัวของ AWS ครอบคลุมคำถามบางข้อเพื่อจัดการกับปัญหาที่ช่วยคุณในการจัดการการเข้าถึง AWS
รายละเอียดทางเทคนิคของ AWS Access Management
การจัดการการเข้าถึงของ AWS มีแผนภูมิที่แสดงวิธีที่โปรโตคอล IAM เชื่อมต่อกับระบบบนคลาวด์ของ AWS เต็มรูปแบบ โปรโตคอล IAM ประกอบด้วยนโยบายตามข้อมูลประจำตัว นโยบายตามทรัพยากร และนโยบายอื่นๆ ที่ใช้สำหรับการให้สิทธิ์
ในระหว่างขั้นตอนการอนุญาต ระบบ AWS จะตรวจสอบนโยบายเพื่อตัดสินใจเกี่ยวกับการอนุญาตหรือปฏิเสธการเข้าถึง
โครงสร้างนโยบายโดยรวมยึดตามชุดหลักการสำคัญที่แบ่งเป็นชั้นๆ ซึ่งรวมถึง:
- เฉพาะผู้ใช้บัญชีรูทเท่านั้นที่มีสิทธิ์เข้าถึงแบบเต็ม ตามค่าเริ่มต้น คำขอเข้าถึงอื่นๆ ทั้งหมดจะถูกปฏิเสธ
- เฉพาะข้อมูลประจำตัวที่ชัดเจนหรือนโยบายทรัพยากรเท่านั้นที่สามารถแทนที่ค่าเริ่มต้นของระบบได้
- การจำกัดสิทธิ์สำหรับเซสชันหรือตามนโยบายโครงสร้างขององค์กร (SCP) อาจแทนที่การเข้าถึงที่ได้รับจากนโยบายตามข้อมูลประจำตัวหรือตามทรัพยากร
- กฎการปฏิเสธเฉพาะจะแทนที่การเข้าถึงที่ได้รับอนุญาตภายใต้พารามิเตอร์อื่นๆ
บทแนะนำ AWS IAM
Amazon มีบทช่วยสอนสำหรับผู้ที่ต้องการเรียนรู้เพิ่มเติมเกี่ยวกับการตั้งค่าข้อมูลประจำตัวและการจัดการการเข้าถึงบน AWS
ปัญหาในการตั้งค่า AWS IAM และการใช้งานอย่างเหมาะสมนั้นซับซ้อน เพื่อให้แน่ใจว่าลูกค้าใหม่จะใช้ระบบได้ง่ายขึ้น Amazon ได้สร้างบทช่วยสอนที่เป็นประโยชน์มากมาย ซึ่งรวมถึง:
- มอบสิทธิ์การเข้าถึงคอนโซลการเรียกเก็บเงินไปยังคอนโซลการเรียกเก็บเงิน
- ใช้บทบาท IAM สำหรับบัญชี AWS เพื่อมอบสิทธิ์การเข้าถึง
- สร้างนโยบายที่จัดการโดยลูกค้ารายแรก
- ให้ผู้ใช้กำหนดค่าข้อมูลประจำตัวและการตั้งค่า MFA
AWS เป็นผู้นำในอุตสาหกรรมด้วยเหตุผลหลายประการ Amazon ต้องการบริการคลาวด์เหล่านี้สำหรับการดำเนินงาน เห็นได้ชัดว่าการให้บริการเหล่านี้แก่ผู้อื่นเป็นโอกาสทางธุรกิจสำหรับ Amazon ที่มีศักยภาพสูง ตอนนี้ สิ่งที่เริ่มต้นจากการเป็นธุรกิจเสริมสำหรับ Amazon ได้กลายเป็นส่วนสำคัญของโครงสร้างพื้นฐานอินเทอร์เน็ตทั่วโลก
การใช้ระบบ AWS นั้นแทบจะแพร่หลายเมื่อใช้อินเทอร์เน็ตโดยรวม ใช้เวลาในการตั้งค่านโยบาย IAM เพื่อปกป้องความปลอดภัยด้วยความใส่ใจในรายละเอียด การจัดการระบบ IAM มีความสำคัญสูงสำหรับผู้ดูแลระบบเครือข่าย รวมสิ่งนี้เข้ากับการตรวจสอบความปลอดภัยด้านไอทีเป็นประจำเพื่อค้นหาปัญหาที่อาจเกิดขึ้น