Требуется управление доступом к идентификационной информации / IAM?
Если в организации нет учетной записи AWS, управление этими учетными записями будет простым, поскольку легко управлять журналами и их обходным путем. Администратор может легко вносить изменения, но если в организации нет большой учетной записи AWS для разных отделов, эта задача становится сложной, поэтому нам нужно создать администратора для каждого отдела. Таким образом, для каждой учетной записи у нас есть разные наборы ключей. Итак, у нас есть 2 подхода:
я. Самый простой - создать логин в каждой учетной записи и управлять этими изменениями, но это не идеальный подход.
II. Создание центрального объекта и привязка всей учетной записи к центральному объекту. В центральном объекте мы можем реализовать ключ доступа и секретный ключ. Таким образом, добавление или удаление ключа доступа или пользователя можно выполнять только здесь. Нет необходимости посещать каждую учетную запись AWS.
Центральная учетная запись известна как учетная запись личности.
Что такое Identity Access Management / IAM?
IAM обеспечивает подход к организации, при котором они могут управлять разными типами ресурсов, назначенными разным типам пользователей. IAM - очень мощный сервис, который может контролировать авторизацию лиц и ресурсов инфраструктуры.
Мы можем получить доступ к политике IAM через интерфейс командной строки AWS, консоль управления и AWS SDK.
Примечание. Реализация политики IAM предназначена для ресурсов инфраструктуры AWS, а не для разрешений в вашем приложении.
Прежде чем двигаться дальше, есть несколько основных терминов, касающихся IAM, которые нам необходимо понять.
Руководители:
Сущность IAM, которой разрешено взаимодействовать с ресурсами AWS. Есть три типа принципалов:
i. Пользователь с правами root: каждый раз, когда мы создаем учетную запись AWS в первый раз, создается один пользователь со всеми правами и функциями, то есть известный как «Пользователь с правами root».
Примечание. Не рекомендуется использовать «пользователя root» для каждой задачи.
ii. ПОЛЬЗОВАТЕЛЬ IAM: постоянный объект, который можно связать со службой IAM для представления отдельных людей или приложений.
iii. Роли / временные токены безопасности: расширенное использование IAM.
Роли. Предоставьте конкретному пользователю разрешение на использование определенных ресурсов на определенный срок.
Служба токенов безопасности / STS:
AWS предоставляет временные средства токенов безопасности. Эти токены действительны в течение определенного периода времени, после чего их необходимо регенерировать.
Итак, как AWS их использует? AWS будет использовать всех участников при доступе к ресурсам. Некоторые основные ресурсы:
i. Роли Amazon EC2. Администратор может прикрепить роль IAM к экземпляру ec2. Администратор может изменять, заменять или удалять прикрепленные роли.
ii. Доступ для нескольких учетных записей: создавая доверительные отношения, администратор может предоставлять разрешения пользователям из других учетных записей AWS на использование этих учетных записей, независимо от того, контролируете вы эти учетные записи или нет.
iii. Федерация: предоставление разрешений пользователям для проверки подлинности доверенной внешней системой.
Аутентификация:
Итак, мы уже узнали о принципе, но как мы можем применить эти принципы.
i. Имя пользователя / пароли: Человек должен предоставить учетные данные для подтверждения своей личности. Это происходит, когда пользователю требуется войти в свою учетную запись.
ii. Ключ доступа: ключи доступа, известные как KeyPair, представляют собой комбинацию «секретного ключа» и «идентификатора ключа доступа». Это полезно, когда вы не хотите проходить аутентификацию снова и снова. Мы можем использовать эти KeyPair только для однократной аутентификации, а затем мы можем использовать CLI для фактического выполнения действий в учетной записи AWS.
iii. Ключ доступа / токен сеанса: всякий раз, когда AWS использует функцию «Принять роль», это комбинация идентификатора ключа доступа, секретного ключа доступа и сеанса. Я БЫ. По истечении срока они будут удалены.
Авторизация:
После аутентификации, какие действия принцип может или не может выполнять, называется авторизацией. В IAM авторизация обрабатывается принципами и соответствующими политиками (политики - это не что иное, как документ JSON, как показано на изображении выше).
я. Служба: К какой службе применяются эти разрешения? Большинство сервисов AWS поддерживают предоставление доступа через IAM, включая сам IAM.
II. Условие: если администратор хочет наложить одно или несколько ограничений на доступ к ресурсам, мы можем включить их сюда. Например, этот ресурс должен быть доступен с этого конкретного IP-адреса.
В каждой политике IAM есть четыре элемента. Попробуем разобраться в них на основе этого примера:
· Заявление:
Он глобальный, обязательная часть, а остальные три являются его частями. В одной политике мы можем объявить несколько отдельных утверждений.
я. Эффект: укажите, является ли утверждение «разрешить» или «запретить». В нашем случае это разрешено только. Таким образом, он предоставит, разрешить ли пользователю доступ к этому ресурсу или нет. Нравится читать, писать и изменять.
II. Действие: здесь мы определим список действий, и каждая AWS имеет свой собственный набор действий.
iii. Ресурс: на каком ресурсе будет реализована политика.
· Версия:
Определяет версию политики. Доступны 2 поддерживаемые версии.
я. 2012–10–17: текущая версия, рекомендуется всегда определять версию.
II. 2008–10–17: более ранняя версия, если вы не включили «Элемент версии», она будет включена по умолчанию.
Примечание. Некоторые iam поддерживают только последнюю версию iam.
Оценка политики IAM:
· Решение начинается с предположения, что запрос будет отклонен.
· Затем оценивается вся прикрепленная политика.
· Поиск любого явного отказа в политике, поскольку явное запрещение имеет приоритет над разрешением.
· Если явного отказа не обнаружено, выполняется поиск политики, в которой упоминается разрешающая способность.
Преимущество политики IAM:
· Основан на традиционном подходе. Так легко понять.
· Это может быть привязка отдельных пользователей или нет пользователей путем создания группы.
· Он может выполнять одно действие с очень конкретным ресурсом. Для этого администратору нужен уникальный идентификатор ресурса, то есть ARN в случае AWS.
· Политика может связывать локальные ресурсы или облачные ресурсы.
После получения базовой информации об IAM мы узнали, насколько хороша эта политика IAM, но если администратор не реализует их должным образом, это также будет рискованно.
Пример: Организация требует, чтобы ресурсы AWS могли обрабатываться только с определенного IP-адреса.
Реализовать это админ по ошибке разрешил всей подсети. Таким образом, любой из этой подсети может получить доступ к этому ресурсу AWS, а также изменить его.
Поэтому при реализации политики AWS IAM очень важно устанавливать политики очень эффективно.
