AWS 中的身份訪問管理是什麼?

已發表: 2019-08-09

亞馬遜網絡服務 (AWS) 是互聯網基礎設施的重要組成部分。 TheVerge 報告的估計表明,大約 40% 的互聯網流量在 AWS 上運行。 數百萬人使用的最受歡迎的互聯網服務都在 AWS 上運行,包括 Airbnb、Expedia、Netflix、Pinterest、Slack、Spotify 等等。 不僅整個流行的網站和在線服務都在 AWS 上運行; 許多網站使用 AWS 作為其部分在線形象的支持。

當 AWS 出現故障時,就像偶爾發生的那樣,被認為是 Internet 的巨大部分停止運行。 技術問題和安全漏洞可能會導致這些故障。 這意味著亞馬遜非常重視安全問題。 AWS 通過使用強大的身份訪問管理來保護網絡及其客戶端免受未經授權的訪問。

什麼是身份訪問管理?

身份訪問管理 (IAM) 是一種軟件程序或基於 Web 的服務,用於安全地控制對網絡資源的訪問。 IAM 系統首先通過密碼保護的登錄過程對用戶進行身份驗證,然後允許用戶根據其授權使用網絡資源的權限訪問網絡資源。

對於基於雲的服務,雲用戶訪問管理使用基於雲的身份驗證系統來確定用戶的身份,然後允許授權訪問。 Amazon Web Services (AWS) 具有與 AWS 雲系統配合使用的身份訪問管理系統。

AWS 身份和訪問管理

AWS 身份和訪問管理從創建 AWS 賬戶開始。 一開始,用戶擁有一個唯一的登錄身份,該身份創建一個根用戶,該用戶擁有對該賬戶的 AWS 服務的完全訪問權限。 root 用戶帳戶使用個人的電子郵件地址和他們創建的密碼進行身份驗證。

AWS 用戶必須極其小心地保護此根用戶帳戶信息,因為它是可以訪問所有內容的帳戶。 請參閱下面的最佳實踐部分,了解如何最好地保護此信息。

一些 AWS IAM 功能包括:

  • 共享訪問— 這允許其他用戶使用他們的登錄憑證訪問 AWS 賬戶。
  • 精細授權權限——用戶可以根據非常特別選擇的權限獲得訪問權限,範圍從完全訪問權限到組訪問權限到應用程序訪問權限,再到特定密碼保護的文件訪問權限以及介於兩者之間的所有權限。
  • 雙重身份驗證- 此可選安全選項要求授權用戶使用正確的密碼/訪問密鑰並響應發送到設備或電子郵件地址(例如用戶的智能手機或電子郵件帳戶)的文本消息代碼。
  • 安全 API — 安全應用程序編程接口使軟件程序能夠連接到 AWS 系統上執行其功能所需的數據和服務。
  • 身份聯合——這允許授權用戶的密碼存儲在另一個用於識別的系統中的其他位置。
  • 使用情況審計— 通過使用 AWS CloudTrial 服務,可以記錄用戶賬戶訪問活動的完整日誌以進行 IT 安全審計。

了解 AIM 如何在 AWS 上工作

Amazon 身份訪問管理基於分層權限結構的原則,包括資源、身份、實體和委託人。

#資源

可以從 AWS IAM 系統添加、編輯或刪除資源。 資源是系統存儲的身份提供者的用戶、組、角色、策略和對象。

#身份

這些是 AWS IAM 資源對象,將策略連接到身份以定義用戶、角色和組。

#實體

這些是 AWS IAM 系統用作資源對像以進行身份驗證的內容。 在 AWS 系統上,他們是用戶和他們的授權角色。 作為一種選擇,它們可以來自提供基於 Web 的身份驗證的聯合身份驗證系統或 SAML。

#校長

這可以是單個用戶,也可以是被識別為 AWS IAM 用戶的授權軟件應用程序,也可以是被授權登錄並請求訪問數據和服務的 IAM 角色。

AWS 管理的最佳實踐

以下是 AWS 管理要遵循的一些最佳實踐。

1. Root 用戶賬戶安全

首次使用 AWS 時創建的根用戶賬戶擁有最大的權力,是 AWS 賬戶的“主密鑰”。 它只能用於設置帳戶,並且僅用於少數必要的帳戶和服務管理操作。 初始登錄需要電子郵件地址和密碼。

保護此根帳戶的最佳做法是使用非常複雜的一次性電子郵件地址,在“@”符號前至少包含 8 個字符(包括符號、大寫字母、小寫字母和數字)。 此外,使用與電子郵件地址不同的唯一密碼,該密碼也至少有 8 個字符長,包括符號、數字、大寫字母和小寫字母。 密碼越長越好。

完全設置和建立 AWS 賬戶後,將創建其他管理賬戶以供常規使用。

完成對 root 用戶帳戶啟動一切的需求後,通過加密將其鎖定在 USB 驅動器上保存 root 帳戶訪問信息,然後將加密密鑰分開。 將 USB 驅動器離線放入帶鎖的保險箱中,以便將來需要時安全保存。

2.限制權限

僅向用戶和應用程序授予他們完成工作所需的確切權限。 在授予對機密信息和關鍵任務服務的訪問權限時要謹慎。

3. 安全問題

安全是一個持續存在的問題。 它從一個可靠的用戶訪問設計結構開始,然後使用持續的審計來檢測未經授權的訪問嘗試,並管理用戶的密碼以獲得足夠的複雜性和定期更改密碼。 在不再需要或不再需要時快速終止用戶訪問非常重要。 強烈建議使用 AWS CloudTrial 進行審計。

4. 加密

在授予使用 Internet 的設備訪問 AWS 的權限時,請務必使用 SSL 等點對點加密,以確保數據在傳輸過程中不會受到損害。

5.關於 AWS Identity Access Management 的常見問題

有關 AWS 身份訪問管理的常見問題包括一些調查問卷,用於處理有助於您進行 AWS 訪問管理的問題。

AWS 訪問管理的技術細節

AWS 訪問管理有一個圖表,顯示 IAM 協議如何與完整的基於 AWS 雲的系統交互。 IAM 協議包括基於身份的策略、基於資源的策略和其他用於授權的策略。

在授權過程中,AWS 系統檢查策略以決定允許或拒絕訪問。

總體政策結構基於一套分層的關鍵原則,包括:

  • 只有 root 帳戶用戶具有完全訪問權限。 默認情況下,所有其他訪問請求都被拒絕。
  • 只有明確的身份或資源策略才能覆蓋系統默認值。
  • 會話權限限製或基於組織結構策略 (SCP) 的限制可能會覆蓋由基於身份或基於資源的策略授予的訪問權限。
  • 特定的拒絕規則會覆蓋其他參數下的任何允許訪問。

AWS IAM 教程

Amazon 為想要了解更多關於在 AWS 上設置身份和訪問管理的人提供教程。

設置 AWS IAM 和正確使用它的問題很複雜。 為了確保新客戶更容易使用該系統,亞馬遜製作了許多有用的教程,包括:

  • 委託計費控制台訪問計費控制台
  • 使用 AWS 賬戶的 IAM 角色來委派訪問權限
  • 創建第一個客戶管理的策略
  • 使用戶能夠配置憑據和 MFA 設置

AWS 是行業領導者的原因有很多。 亞馬遜的運營需要這些雲服務。 很明顯,向他人提供這些服務對亞馬遜來說是一個具有巨大潛力的商機。 現在,最初作為亞馬遜的副業已成為全球互聯網基礎設施的重要組成部分。

使用 AWS 系統幾乎無處不在,並且將互聯網作為一個整體使用。 花時間設置 IAM 策略以保護安全並註意細節。 管理 IAM 系統是網絡管理員的重中之重。 將此與定期 IT 安全審計相結合,以發現任何潛在問題。