Organisaatioilla on oltava hallinto kenellä on lupa käyttää AWS-resurssejaan, mitkä resurssit ovat käytettävissä, ja valtuutettujen käyttäjien suorittamat toiminnot. AWS IAM: n tarkoituksena on auttaa IT-järjestelmänvalvojia hallitsemaan käyttäjätunnukset ja niiden erilainen käyttöoikeus AWS-resursseihin. Tässä artikkelissa ymmärrämme Identity and Access Management (IAM) -ominaisuudet ja toimintatavat seuraavassa järjestyksessä:
- Mikä on henkilöllisyyden ja käyttöoikeuksien hallinta?
- Nyt ominaisuudet
- IAM: n työskentely
- Identity and Access Management: Esimerkki
Mikä on henkilöllisyyden ja käyttöoikeuksien hallinta?
AWS-identiteetti ja pääsynhallinta (IAM) on verkkopalvelu, jonka avulla voit hallita turvallisesti AWS-resurssien käyttöä. IAM: n avulla voit hallita kuka on todennettu ja valtuutettu käyttämään resursseja.
Kun luot ensimmäisen kerran AWS-tilin, tarvitset yhden kirjautumistunnuksen, jotta voit käyttää kaikkia Tätä identiteettiä kutsutaan AWS-tilin pääkäyttäjäksi. Pääset siihen kirjautumalla sisään sähköpostitunnuksella ja salasanalla, jota käytit tilin luomiseen. AWS IAM auttaa seuraavien tehtävien suorittamisessa:
- Sitä käytetään käyttäjien, käyttöoikeuksien ja roolien asettamiseen. Sen avulla voit myöntää pääsy AWS-alustan eri osiin
- Lisäksi se antaa Amazon Web Services -asiakkaille mahdollisuuden hallita käyttäjiä ja käyttäjän oikeudet AWS: ssä
- IAM: n avulla organisaatiot voivat hallita käyttäjiä keskitetysti, tietoturvatiedot kuten käyttöavaimet ja käyttöoikeudet
- IAM mahdollistaa organisaation luoda useita käyttäjiä , jokaisella on omat tietoturvatiedot, joita hallitaan ja laskutetaan yhdelle AWS-tilille
- IAM antaa käyttäjän tehdä vain sen, mitä heidän on tehtävä osana käyttäjän työtä
Nyt kun tiedät mikä on IAM, katsotaanpa sen joitain ominaisuuksia.
Identiteetin ja käyttöoikeuksien hallinta
Joitakin IAM: n tärkeitä ominaisuuksia ovat:
- Jaettu käyttöoikeus AWS-tilillesi : Voit antaa muille ihmisille oikeuden hallinnoida ja käyttää AWS-tilisi resursseja ilman, että sinun tarvitsee jakaa salasanaasi tai käyttöavainta.
- Rakeiset käyttöoikeudet : Voit myöntää eri käyttöoikeuksia eri ihmisille eri resursseille.
- Suojattu pääsy AWS-resursseihin : IAM-ominaisuuksien avulla voit antaa tunnistetiedot turvallisesti EC2-ilmentymissä toimiville sovelluksille. Nämä tunnistetiedot antavat sovelluksellesi oikeuden käyttää muita AWS-resursseja.
- Monivaiheinen todennus (MFA) : Voit lisätä kaksitekijän todennuksen tilillesi ja yksittäisille käyttäjille turvallisuuden lisäämiseksi.
- Identiteettiliitto : Voit sallia käyttäjät, joilla on jo salasanoja muualla
- Henkilöllisyystiedot varmuuden takaamiseksi : Saat lokitietueita, jotka sisältävät IAM-identiteetteihin perustuvia tietoja resurssipyynnöistä.
- PCI DSS -yhteensopivuus : IAM tukee luottokorttitietojen käsittelyä, tallentamista ja lähettämistä kauppiaalta tai palveluntarjoajalta, ja se on vahvistettu maksukorttiteollisuuden (PCI) tietoturvastandardin (DSS) mukaiseksi.
- Integroitu moniin AWS-palveluihin : IAM: n kanssa toimii useita AWS-palveluja.
- Lopulta johdonmukainen : IAM saavuttaa korkean käytettävyyden replikoimalla tietoja useilla palvelimilla Amazonin palvelinkeskuksissa ympäri maailmaa. Muutos on sitoutunut ja tallennettu turvallisesti, kun pyydät muutosta.
- Vapaa käyttää : Kun käytät muita AWS-palveluja IAM-käyttäjilläsi tai AWS STS: n väliaikaisilla suojaustiedoilla, vain silloin sinua veloitetaan.
Siirrytään nyt eteenpäin ja ymmärretään Identity and Access Managementin toiminta.
IAM: n työskentely
Identity Access and Management tarjoaa paras infrastruktuuri jota tarvitaan AWS-tilisi kaiken valtuutuksen ja todennuksen hallintaan. Tässä on joitain IAM-infrastruktuurin osia:
Periaate
AWS IAM: n periaatetta käytetään toimiin AWS-resurssin suhteen. Hallinnollinen IAM-käyttäjä on ensimmäinen periaate, joka voi sallia käyttäjän tietyissä palveluissa ottamaan roolin. Voit tukea yhdistettyjä käyttäjiä sallimaan sovelluksen käyttää nykyistä AWS-tiliäsi.
ero ohituksen ja ylikuormituksen välillä
Pyyntö
AWS-hallintakonsolin käytön aikana API tai CLI lähettää pyynnön automaattisesti AWS: lle. Siinä määritetään seuraavat tiedot:
- Toimintoja pidetään periaatteita esiintyä
- Toiminnot suoritetaan resursseja
- Perustiedot sisältävät ympäristössä jos pyyntö on aiemmin tehty
Todennus
Se on yksi yleisimmin käytetyistä periaatteista, jota käytetään kirjautumiseen AWS: ään samalla kun lähetetään pyyntö sille. Se koostuu kuitenkin myös vaihtoehtoisista palveluista, kuten Amazon S3 joka sallii tuntemattomien käyttäjien pyynnöt. Jotta voit todentaa konsolista, sinun on kirjauduttava sisään kirjautumistiedoillasi, kuten käyttäjänimellä ja salasanalla. Todentamiseksi sinun on kuitenkin annettava salainen ja pääsyavaimet sekä tarvittavat lisäturvatiedot.
Valtuutus
Valtuuttaessaan pyynnöstä nostetut IAM-arvot tarkastavat kaikki yhteensopivat käytännöt ja arvioivat, onko kyseinen pyyntö sallittu vai hylätty. Kaikki käytännöt tallennetaan IAM: ään nimellä JSON asiakirjoja ja tarjota määritetty lupa muille resursseille. AWS IAM tarkistaa automaattisesti kaikki käytännöt, jotka vastaavat erityisesti kaikkien pyyntöjen kontekstia. Jos yksittäinen toimi evätään, IAM hylkää koko pyynnön ja valittaa arvioida loput, mikä on nimeltään nimenomainen kielto. Seuraavassa on joitain IAM: n arviointilogiikkasääntöjä:
- Kaikki pyynnöt hylätään oletusarvoisesti
- Selkeä voi sallia ohitukset oletusarvoisesti
- Selkeä voi myös kieltää ohituksen sallimalla ne
Toiminnot
Käsiteltyään pyyntösi valtuutuksen tai todentamatta automaattisesti, AWS hyväksyy toimintasi pyynnön muodossa. Tässä kaikki toiminnot määritellään palveluiden avulla, ja asiat voidaan tehdä resursseilla, kuten luominen, muokkaaminen, poistaminen ja katselu. Toimintaperiaatteen sallimiseksi meidän on sisällytettävä kaikki vaaditut toimet politiikkaan vaikuttamatta nykyisiin resursseihin.
Resurssit
Saatuasi AWS-hyväksynnät kaikki pyyntösi toiminnot voidaan tehdä tililläsi olevien resurssien perusteella. Yleensä resurssiksi kutsutaan entiteettiä, joka esiintyy erityisesti palveluissa. Nämä resurssipalvelut voidaan määritellä toimintojen joukoksi, joka suoritetaan erityisesti jokaiselle resurssille. Jos haluat luoda yhden pyynnön, sinun on ensin suoritettava siihen liittyvä toiminto, jota ei voida kieltää.
Otetaan nyt esimerkki ja ymmärretään paremmin Identity Access Management -konsepti.
split-toiminto Java-esimerkissä
Identity and Access Management: Esimerkki
Ymmärtää käsite Identiteetin ja käyttöoikeuksien hallinta (IAM) Otetaan esimerkki. Oletetaan, että henkilöllä on 3-4 yrityksen perustaja ja hän isännöi sovellusta Amazonin kautta. Koska kyseessä on pieni organisaatio, kaikilla on pääsy Amazoniin, jossa he voivat määrittää ja suorittaa muita toimintoja Amazon-tilillään. Kun joukkueen koko kasvaa joukko ihmisiä kussakin osastossa, hän ei halua antaa täyttä pääsyä , koska he ovat kaikki työntekijöitä ja tiedot on suojattava. Tässä tapauksessa olisi suositeltavaa luoda muutama Amazon-verkkopalvelutili, jota kutsutaan IAM-käyttäjiksi. Etuna on, että voimme hallita, millä toimialueella he voivat toimia.
Jos joukkue kasvaa 4000 ihmisiä, joilla on erilaisia tehtäviä ja osastoja. Paras ratkaisu olisi, että Amazon tukee kertakirjautumista hakemistopalveluilla. Amazon tarjoaa palvelua, jota tukee SAML perustuva todennus. Se ei pyydä kirjautumistietoja, kun joku organisaatiosta kirjautuu organisaatiokoneeseen. Sitten se lähetetään Amazon-portaaliin ja se näyttää palveluja, joita tietty käyttäjä saa käyttää. IAM: n käytön suurin etu on, että ei tarvitse luoda useita käyttäjiä, vaan toteuttaa yksinkertainen sisäänkirjautuminen.
Tämän avulla olemme päässeet artikkelimme loppuun. Toivon, että ymmärrät mikä on AWS: n identiteetin ja käyttöoikeuksien hallinta ja miten se toimii.
Jos olet päättänyt valmistautua AWS-sertifikaattiin, tutustu kursseihimme Onko sinulla kysymys meille? Mainitse se 'Identity and Access Management' -kommenttiosassa, niin palaamme sinuun.