AWS 中的身份访问管理是什么?

已发表: 2019-08-09

亚马逊网络服务 (AWS) 是互联网基础设施的重要组成部分。 TheVerge 报告的估计表明,大约 40% 的互联网流量在 AWS 上运行。 数百万人使用的最受欢迎的互联网服务都在 AWS 上运行,包括 Airbnb、Expedia、Netflix、Pinterest、Slack、Spotify 等等。 不仅整个流行的网站和在线服务都在 AWS 上运行; 许多网站使用 AWS 作为其部分在线形象的支持。

当 AWS 出现故障时,就像偶尔发生的那样,被认为是 Internet 的巨大部分停止运行。 技术问题和安全漏洞可能会导致这些故障。 这意味着亚马逊非常重视安全问题。 AWS 通过使用强大的身份访问管理来保护网络及其客户端免受未经授权的访问。

什么是身份访问管理?

身份访问管理 (IAM) 是一种软件程序或基于 Web 的服务,用于安全地控制对网络资源的访问。 IAM系统首先通过受密码保护的登录过程对用户进行身份验证,然后允许用户根据其授权使用网络资源的权限访问网络资源。

对于基于云的服务,云用户访问管理使用基于云的身份验证系统来确定用户的身份,然后允许授权访问。 Amazon Web Services (AWS) 具有与 AWS 云系统配合使用的身份访问管理系统。

AWS 身份和访问管理

AWS 身份和访问管理从创建 AWS 账户开始。 一开始,用户拥有一个唯一的登录身份,该身份创建一个根用户,该用户拥有对该账户的 AWS 服务的完全访问权限。 root 用户帐户使用个人的电子邮件地址和他们创建的密码进行身份验证。

AWS 用户必须极其小心地保护此根用户帐户信息,因为它是可以访问所有内容的帐户。 请参阅下面的最佳实践部分,了解如何最好地保护此信息。

一些 AWS IAM 功能包括:

  • 共享访问— 这允许其他用户使用他们的登录凭证访问 AWS 账户。
  • 细粒度授权权限——用户可以根据非常特别选择的权限获得访问权限,范围从完全访问权限到组访问权限到应用程序访问权限,再到特定密码保护的文件访问权限以及介于两者之间的所有权限。
  • 双重身份验证- 此可选安全选项要求授权用户使用正确的密码/访问密钥并响应发送到设备或电子邮件地址(例如用户的智能手机或电子邮件帐户)的文本消息代码。
  • 安全 API — 安全应用程序编程接口使软件程序能够连接到 AWS 系统上执行其功能所需的数据和服务。
  • 身份联合——这允许授权用户的密码存储在另一个用于识别的系统中的其他位置。
  • 使用情况审计— 通过使用 AWS CloudTrial 服务,可以记录用户账户访问活动的完整日志以进行 IT 安全审计。

了解 AIM 如何在 AWS 上工作

Amazon 身份访问管理基于分层权限结构的原则,包括资源、身份、实体和委托人。

#资源

可以从 AWS IAM 系统添加、编辑或删除资源。 资源是系统存储的身份提供者的用户、组、角色、策略和对象。

#身份

这些是 AWS IAM 资源对象,将策略连接到身份以定义用户、角色和组。

#实体

这些是 AWS IAM 系统用作资源对象以进行身份​​验证的内容。 在 AWS 系统上,他们是用户和他们的授权角色。 作为一种选择,它们可以来自提供基于 Web 的身份验证的联合身份验证系统或 SAML。

#校长

这可以是单个用户,也可以是被识别为 AWS IAM 用户的授权软件应用程序,也可以是被授权登录并请求访问数据和服务的 IAM 角色。

AWS 管理的最佳实践

以下是 AWS 管理要遵循的一些最佳实践。

1. Root 用户账户安全

首次使用 AWS 时创建的根用户账户拥有最大的权力,是 AWS 账户的“主密钥”。 它只能用于设置帐户,并且仅用于少数必要的帐户和服务管理操作。 初始登录需要电子邮件地址和密码。

保护此根帐户的最佳做法是使用非常复杂的一次性电子邮件地址,在“@”符号前至少包含 8 个字符(包括符号、大写字母、小写字母和数字)。 此外,使用与电子邮件地址不同的唯一密码,该密码也至少有 8 个字符长,包括符号、数字、大写字母和小写字母。 密码越长越好。

完全设置和建立 AWS 账户后,将创建其他管理账户以供常规使用。

完成对 root 用户帐户开始一切的需要后,通过加密将其锁定在 USB 驱动器上保存 root 帐户访问信息,然后将加密密钥分开。 将 USB 驱动器离线放入带锁的保险箱中,以便将来需要时安全保存。

2.限制权限

仅向用户和应用程序授予他们完成工作所需的确切权限。 在授予对机密信息和关键任务服务的访问权限时要谨慎。

3. 安全问题

安全是一个持续存在的问题。 它从一个可靠的用户访问设计结构开始,然后使用持续的审计来检测未经授权的访问尝试,并管理用户密码以获得足够的复杂性和定期更改密码。 在不再需要或不再需要时快速终止用户访问非常重要。 强烈建议使用 AWS CloudTrial 进行审计。

4. 加密

在授予使用 Internet 的设备访问 AWS 的权限时,请务必使用 SSL 等点对点加密,以确保数据在传输过程中不会受到损害。

5.关于 AWS Identity Access Management 的常见问题

有关 AWS 身份访问管理的常见问题包括一些调查问卷,用于处理有助于您进行 AWS 访问管理的问题。

AWS 访问管理的技术细节

AWS 访问管理有一个图表,显示 IAM 协议如何与完整的基于 AWS 云的系统交互。 IAM 协议包括基于身份的策略、基于资源的策略和其他用于授权的策略。

在授权过程中,AWS 系统检查策略以决定允许或拒绝访问。

总体政策结构基于一套分层的关键原则,包括:

  • 只有 root 帐户用户具有完全访问权限。 默认情况下,所有其他访问请求都被拒绝。
  • 只有明确的身份或资源策略才能覆盖系统默认值。
  • 会话权限限制或基于组织结构策略 (SCP) 的限制可能会覆盖由基于身份或基于资源的策略授予的访问权限。
  • 特定的拒绝规则会覆盖其他参数下的任何允许访问。

AWS IAM 教程

Amazon 为想要了解更多关于在 AWS 上设置身份和访问管理的人提供教程。

设置 AWS IAM 和正确使用它的问题很复杂。 为了确保新客户更容易使用该系统,亚马逊制作了许多有用的教程,包括:

  • 委托计费控制台访问计费控制台
  • 使用 AWS 账户的 IAM 角色来委派访问权限
  • 创建第一个客户管理的策略
  • 使用户能够配置凭据和 MFA 设置

AWS 是行业领导者的原因有很多。 亚马逊的运营需要这些云服务。 很明显,向他人提供这些服务对亚马逊来说是一个具有巨大潜力的商机。 现在,最初作为亚马逊的副业已成为全球互联网基础设施的重要组成部分。

使用 AWS 系统几乎无处不在,并且将互联网作为一个整体使用。 花时间设置 IAM 策略以保护安全并注意细节。 管理 IAM 系统是网络管理员的重中之重。 将此与定期 IT 安全审计相结合,以发现任何潜在问题。