Organizacijos turi kontroliuoti, kas turi leidimą pasiekti savo AWS išteklius, kurie ištekliai yra prieinami, ir veiksmus, kuriuos gali atlikti įgalioti vartotojai. „AWS IAM“ tikslas yra padėti IT administratoriams valdyti vartotojo tapatybės ir įvairus jų prieigos prie AWS išteklių lygis. Šiame straipsnyje mes suprasime tapatybės ir prieigos valdymo (IAM) funkcijas ir darbo tvarką tokia seka:
- Kas yra tapatybės ir prieigos valdymas?
- Dabar funkcijos
- IAM darbas
- Tapatybės ir prieigos valdymas: pavyzdys
Kas yra tapatybės ir prieigos valdymas?
AWS tapatybės ir prieigos valdymas (IAM) yra žiniatinklio paslauga, padedanti saugiai kontroliuoti prieigą prie AWS išteklių. Naudodami IAM galite kontroliuoti, kas yra autentifikuotas ir įgaliotas naudoti išteklius.
kaip įgyvendinti susietą sąrašą c
Kai pirmą kartą kuriate AWS abonementą, jums reikia vienos prisijungimo tapatybės, kad galėtumėte pasiekti visus Ši tapatybė vadinama AWS paskyros šakniniu vartotoju. Ją galite pasiekti prisijungę prie el. Pašto ID ir slaptažodžio, kuriuos naudojote kurdami paskyrą. AWS IAM padeda atlikti šias užduotis:
- Jis naudojamas vartotojams, leidimams ir vaidmenims nustatyti. Tai leidžia jums suteikti prieigą į skirtingas AWS platformos dalis
- Be to, tai leidžia „Amazon Web Services“ klientams valdyti vartotojus ir vartotojo teises AWS
- Su IAM organizacijos gali centralizuotai valdyti vartotojus, saugumo įgaliojimai tokius kaip prieigos raktai ir leidimai
- IAM suteikia organizacijai galimybę sukurti kelis vartotojus , kiekvienas turi savo saugumo duomenis, valdomus ir atsiskaitomus į vieną AWS sąskaitą
- IAM leidžia vartotojui atlikti tik tai, ką jis turi atlikti kaip vartotojo darbo dalį
Dabar, kai žinote, kas yra IAM, pažvelkime į kai kurias jo ypatybes.
Tapatybės ir prieigos valdymo funkcijos
Kai kurios svarbios IAM savybės:
- Bendra prieiga prie jūsų AWS paskyros : Galite suteikti kitiems žmonėms leidimą administruoti ir naudoti išteklius savo AWS paskyroje, nesidalydami slaptažodžiu ar prieigos raktu.
- Granuliuoti leidimai : Galite suteikti skirtingus leidimus skirtingiems žmonėms skirtingiems ištekliams.
- Saugi prieiga prie AWS išteklių : Galite naudoti IAM funkcijas, kad galėtumėte saugiai pateikti programų, veikiančių EC2 egzemplioriuose, kredencialus. Šie prisijungimo duomenys suteikia jūsų programai leidimus pasiekti kitus AWS išteklius.
- Daugelio veiksnių autentifikavimas (MFA) : Jei norite papildomo saugumo, prie paskyros ir atskirų vartotojų galite pridėti dviejų veiksnių autentifikavimą.
- Tapatybės federacija : Galite leisti vartotojams, kurie jau turi slaptažodžius kitur
- Informacija apie tapatybę užtikrinimui : Gaunate žurnalo įrašus, kuriuose pateikiama informacija apie tuos, kurie pateikė išteklių užklausų, pagrįstų IAM tapatybėmis.
- PCI DSS atitiktis : IAM palaiko prekybininko ar paslaugų teikėjo kreditinių kortelių duomenų apdorojimą, saugojimą ir perdavimą ir buvo patvirtinta, kad ji atitinka Mokėjimo kortelių pramonės (PCI) duomenų saugumo standartą (DSS).
- Integruota su daugeliu AWS paslaugų : Yra keletas AWS paslaugų, kurios veikia su IAM.
- Galų gale nuoseklus : IAM pasiekia aukštą prieinamumą atkartodamas duomenis keliuose serveriuose „Amazon“ duomenų centruose visame pasaulyje. Pakeitimas įvykdytas ir saugiai saugomas, kai prašote atlikti tam tikrus pakeitimus.
- Nemokamai naudojamas : Kai prieigą prie kitų AWS paslaugų naudosite naudodami IAM vartotojus arba laikinus AWS STS saugos kredencialus, būsite apmokestinti.
Dabar pereikime ir supraskime „Identity and Access Management“ veikimą.
IAM darbas
Tapatybės prieiga ir valdymas siūlo geriausia infrastruktūra kurios reikia norint kontroliuoti visus jūsų AWS paskyros įgaliojimus ir autentifikavimą. Štai keletas IAM infrastruktūros elementų:
Principas
AWS IAM principas naudojamas veiksmams dėl AWS išteklių. Administracinis IAM vartotojas yra pirmasis principas, leidžiantis tam tikrų paslaugų vartotojui prisiimti vaidmenį. Galite palaikyti sujungtus vartotojus, kad jie leistų programai pasiekti jūsų dabartinę AWS paskyrą.
Prašymas
Naudodamiesi AWS valdymo pultu, API arba CLI automatiškai išsiųs užklausą AWS. Jame bus nurodyta ši informacija:
- Veiksmai laikomi principus pasirodyti
- Veiksmai atliekami remiantis išteklių
- Pagrindinė informacija apima aplinka kur prašymas buvo pateiktas anksčiau
Autentifikavimas
Tai yra vienas iš dažniausiai naudojamų principų, naudojamas prisijungiant prie AWS siunčiant jam užklausą. Tačiau jis taip pat susideda iš alternatyvių paslaugų, tokių kaip „Amazon S3“ kuris leis prašymus iš nežinomų vartotojų. Kad tapatintumėte iš konsolės, turite prisijungti naudodami prisijungimo duomenis, pvz., Vartotojo vardą ir slaptažodį. Bet norint autentifikuoti reikia pateikti jiems slaptą ir prieigos raktą kartu su reikalinga papildoma saugumo informacija.
Leidimas
Leidžiant IAM reikšmes, iškeltas iš užklausos, bus patikrinta visa atitikimo politika ir įvertinta, ar ji leidžiama, ar atmesta atitinkama užklausa. Visa politika saugoma IAM kaip JSON dokumentus ir pasiūlykite nurodytą leidimą kitiems ištekliams. AWS IAM automatiškai patikrina visas strategijas, kurios ypač atitinka jūsų užklausų kontekstą. Jei vienas veiksmas atmetamas, IAM atmeta visą prašymą ir apgailestauja, kad įvertins likusius, o tai vadinama aiškiu neigimu. Toliau pateikiamos kelios IAM vertinimo logikos taisyklės:
- Visos užklausos pagal numatytuosius nustatymus atmetamos
- Pagal numatytuosius nustatymus aiškus gali leisti nepaisyti
- Aiškus taip pat gali paneigti nepaisymą, leisdamas jiems
Veiksmai
Apdorojusi užklausos įgaliojimą arba automatiškai nepatvirtinusi, AWS patvirtina jūsų veiksmą užklausos forma. Čia visus veiksmus apibrėžia paslaugos, o viską gali atlikti tokie ištekliai kaip kūrimas, redagavimas, ištrynimas ir peržiūra. Kad galėtume atsižvelgti į veikimo principą, turime įtraukti visus reikalingus veiksmus į politiką, nepaveikdami esamų išteklių.
Ištekliai
Gavę AWS patvirtinimus, visi jūsų užklausos veiksmai gali būti atliekami pagal susijusius išteklius, kurių yra jūsų paskyroje. Paprastai ištekliai vadinami subjektu, kuris egzistuoja ypač tarnybose. Šie išteklių paslaugos gali būti apibrėžiamas kaip veiklų rinkinys, kuris atliekamas ypač kiekvienam ištekliui. Jei norite sukurti vieną užklausą, pirmiausia turite atlikti nesusijusį veiksmą, kurio negalima atmesti.
ansible vs chef vs marionetė
Dabar paimkime pavyzdį ir geriau supraskime „Identity Access Management“ sąvoką.
Tapatybės ir prieigos valdymas: pavyzdys
Suprasti Tapatybės ir prieigos valdymas (IAM) , paimkime pavyzdį. Tarkime, kad asmuo turi startuolį, kuriame yra 3–4 nariai, ir „Amazon“ prižiūrėjo programą. Kadangi tai yra maža organizacija, visi turėtų prieigą prie „Amazon“, kur jie gali sukonfigūruoti ir atlikti kitą veiklą naudodami „Amazon“ paskyrą. Kai komandos dydis padidės, kai kiekviename skyriuje bus keletas žmonių, jis nenorėtų suteikti visiškos prieigos , nes visi jie yra darbuotojai ir duomenis reikia saugoti. Tokiu atveju patartina susikurti kelias „Amazon“ interneto paslaugų paskyras, vadinamas IAM vartotojais. Privalumas yra tas, kad mes galime kontroliuoti, kurioje srityje jie gali dirbti.
Dabar, jei komanda išaugs 4 000 žmonių, turinčių įvairių užduočių ir skyrių. Geriausias sprendimas būtų tai, kad „Amazon“ palaiko vieną prisijungimą naudodama katalogų paslaugas. „Amazon“ teikia paslaugas, palaikomas SAML pagrįstas autentifikavimas. Tai nereikalaus jokių įgaliojimų, kai kas nors iš organizacijos prisijungia prie organizacijos mašinos. Tada tai būtų teikiama „Amazon“ portalui ir jis parodytų paslaugas, kuriomis leidžiama naudotis konkrečiam vartotojui. Didžiausias IAM naudojimo pranašumas yra tai, kad nereikia kurti kelių vartotojų, o įdiegti paprastą prisijungimą.
Tuo mes pasiekėme savo straipsnio pabaigą. Tikiuosi, kad supratote, kas yra tapatybės ir prieigos valdymas AWS ir kaip tai veikia.
Jei nusprendėte pasirengti AWS sertifikavimui, turėtumėte sužinoti apie mūsų kursus Turite mums klausimą? Prašau tai paminėti komentarų skiltyje „Tapatybės ir prieigos valdymas“ ir mes su jumis susisieksime.