Organisatsioonidel peab olema kontroll selle üle, kellel on luba juurdepääsuks nende AWS-i ressurssidele, millised ressursid on saadaval, ja toimingud, mida volitatud kasutajad saavad teha. AWS IAM-i eesmärk on aidata IT-administraatoritel hallata kasutajatunnused ja nende erinev juurdepääsutase AWS-i ressurssidele. Selles artiklis mõistame identiteedi ja juurdepääsu haldamise (IAM) funktsioone ja töökorda järgmises järjestuses:
- Mis on identiteedi ja juurdepääsu haldamine?
- Nüüd funktsioonid
- IAM töötab
- Identiteedi ja juurdepääsu haldamine: näide
Mis on identiteedi ja juurdepääsu haldamine?
AWS-i identiteedi ja juurdepääsu haldamine (IAM) on veebiteenus, mis aitab teil turvaliselt kontrollida juurdepääsu AWS-i ressurssidele. IAM-i abil saate kontrollida, kes on ressursside autentimiseks ja kasutamiseks volitatud.
Esmakordsel AWS-konto loomisel vajate kõigile juurdepääsuks ühekordse sisselogimise identiteeti Seda identiteeti nimetatakse AWS-konto juurkasutajaks. Sellele pääsete juurde, kui logite sisse konto loomisel kasutatud e-posti ID ja parooliga. AWS IAM aitab järgmiste ülesannete täitmisel:
- Seda kasutatakse kasutajate, lubade ja rollide määramiseks. See võimaldab teil anda juurdepääs AWS-i platvormi erinevatesse osadesse
- Samuti võimaldab see Amazoni veebiteenuste klientidel seda teha kasutajate haldamine ja kasutajaõigused AWS-is
- IAM-i abil saavad organisatsioonid kasutajaid tsentraalselt hallata, turvalisuse volitused nagu juurdepääsuvõtmed ja load
- IAM võimaldab organisatsioonil luua mitu kasutajat , igaühel on oma turvalisuse mandaat, mida saab kontrollida ja arveldada ühele AWS-i kontole
- IAM võimaldab kasutajal teha ainult seda, mida ta peab kasutaja töö osana tegema
Nüüd, kui teate, mis on IAM, vaatame selle mõningaid funktsioone.
Identiteedi ja juurdepääsu haldamise funktsioonid
IAM-i oluliste funktsioonide hulka kuuluvad:
- Jagatud juurdepääs teie AWS-i kontole : Võite anda teistele inimestele loa oma AWS-konto ressursside haldamiseks ja kasutamiseks ilma, et peaksite oma parooli või pääsuvõtit jagama.
- Granuleeritud load : Saate anda erinevatele inimestele ressursside jaoks erinevaid õigusi.
- Turvaline juurdepääs AWS-i ressurssidele : IAM-i funktsioonide abil saate EC2-eksemplaridel töötavate rakenduste jaoks mandaate turvaliselt pakkuda. Need mandaadid annavad teie rakendusele õigused juurdepääsuks teistele AWS-i ressurssidele.
- Mitmeteguriline autentimine (MFA) : Lisaturvalisuse huvides saate oma kontole ja üksikutele kasutajatele lisada kaheastmelise autentimise.
- Identiteedi föderatsioon : Võite lubada kasutajatel, kellel on paroolid juba mujal
- Identiteediteave kindluse tagamiseks : Saate logikirjeid, mis sisaldavad teavet ressursside taotluste kohta, mis põhineb IAM-i identiteetidel.
- PCI DSS-i vastavus : IAM toetab krediitkaardiandmete töötlemist, salvestamist ja edastamist kaupmehe või teenusepakkuja poolt ning see on kinnitatud maksekaarditööstuse (PCI) andmeturbestandardile (DSS) vastavaks.
- Integreeritud paljude AWS-teenustega : IAM-iga töötab mitmeid AWS-teenuseid.
- Lõpuks järjekindel : IAM saavutab kõrge kättesaadavuse, kopeerides andmeid mitme serveri kaudu Amazoni andmekeskustes kogu maailmas. Muudatus on tehtud ja see on turvaliselt salvestatud, kui taotlete mõningaid muudatusi.
- Tasuta kasutada : Kui pääsete teistele AWS-teenustele juurde oma IAM-i kasutajate või AWS STS-i ajutiste turvamandaatide abil, võetakse teilt tasu.
Nüüd liigume edasi ja mõistame identiteedi ja juurdepääsuhalduse toimimist.
IAM töötab
Identiteedile juurdepääs ja haldamine pakub parim infrastruktuur mis on vajalik teie AWS-konto kogu autoriseerimise ja autentimise kontrollimiseks. Siin on mõned IAM-i infrastruktuuri elemendid:
Põhimõte
AWS-i ressursis toimingu tegemiseks kasutatakse AWS IAM-i põhimõtet. Administratiivne IAM-kasutaja on esimene põhimõte, mis võimaldab kasutajal konkreetseid teenuseid rolli võtmiseks lubada. Võite toetada liidetud kasutajaid, et lubada rakendusel juurdepääs teie praegusele AWS-i kontole.
Taotlus
AWS-i halduskonsooli kasutamise ajal saadab API või CLI taotluse automaatselt AWS-ile. Selles täpsustatakse järgmine teave:
- Toiminguid peetakse põhimõtteid esinema
- Toimingud viiakse läbi lähtuvalt ressursse
- Põhiteave sisaldab keskkond kus taotlus on varem tehtud
Autentimine
See on üks kõige sagedamini kasutatavatest põhimõtetest, mida kasutatakse AWS-i sisselogimiseks, kui sellele päring saadetakse. Kuid see koosneb ka alternatiivsetest teenustest nagu Amazon S3 mis võimaldab taotlusi tundmatutelt kasutajatelt. Konsoolilt autentimiseks peate sisse logima oma sisselogimisandmetega, nagu kasutajanimi ja parool. Kuid autentimiseks peate esitama neile salajase ja juurdepääsuvõtme koos vajaliku täiendava turbeteabega.
Volitamine
Taotlusest tõstatatud IAM-i väärtuste lubamine kontekstis kontrollib kõiki sobitamispõhimõtteid ja hindab, kas see on vastav taotlus lubatud või tagasi lükatud. Kõik reeglid on IAM-is salvestatud kui JSON dokumendid ja pakuvad teistele ressurssidele määratud luba. AWS IAM kontrollib automaatselt kõiki reegleid, mis vastavad teie taotluste kontekstile. Kui üksik tegevus lükatakse tagasi, siis IAM lükkab kogu taotluse tagasi ja kahetseb ülejäänud hinnanguid hinnata, mida nimetatakse selgesõnaliseks keeldumiseks. Järgmised on mõned IAM-i hindamise loogika reeglid:
- Kõik taotlused lükatakse vaikimisi tagasi
- Selgesõnaline võib vaikimisi lubada alistamisi
- Selgesõnaline võib keelduda ka alistamisest, lubades neid
Toimingud
Pärast teie taotluse autoriseerimise töötlemist või autoriseerimata kinnitamist kinnitab AWS teie toimingu taotluse vormis. Siin on kõik toimingud määratletud teenuste abil ja asju saab teha ressursside abil, näiteks loomine, muutmine, kustutamine ja vaatamine. Tegevuspõhimõtte lubamiseks peame kõik vajalikud toimingud poliitikasse kaasama, mõjutamata olemasolevat ressurssi.
Ressursid
Pärast AWS-i kinnituste saamist saab kõiki teie taotluses olevaid toiminguid teha teie kontol olevate seotud ressursside põhjal. Üldiselt nimetatakse ressurssi üksuseks, mis eksisteerib eriti teenuste sees. Need ressursiteenused võib defineerida kui tegevuste kogumit, mida tehakse eriti iga ressursi puhul. Kui soovite luua ühe päringu, peate kõigepealt sooritama mitteseotud toimingu, mida ei saa eitada.
Võtame nüüd näite ja mõistame identiteedi juurdepääsu haldamise mõistet paremini.
kuidas teenust kohe kasutada
Identiteedi ja juurdepääsu haldamine: näide
Mõiste mõistmiseks Identiteedi ja juurdepääsu haldamine (IAM) , võtame näite. Oletame, et isikul on 3-4 liikmega idufirma ja ta haldas rakendust Amazoni kaudu. Kuna tegemist on väikese organisatsiooniga, oleks kõigil juurdepääs Amazonile, kus nad saavad oma Amazoni kontoga seadistada ja muid toiminguid teha. Kui meeskonna suurus kasvab koos igas osakonnas olevate inimestega, ei eelistaks ta neile täielikku juurdepääsu anda , kuna nad kõik on töötajad ja andmeid tuleb kaitsta. Sel juhul oleks soovitatav luua paar Amazoni veebiteenuse kontot, mida nimetatakse IAM-i kasutajateks. Eeliseks on see, et saame kontrollida, millises domeenis nad töötada saavad.
Nüüd, kui meeskond kasvab 4000 erinevate ülesannete ja osakondadega inimesed. Parim lahendus oleks, et Amazon toetab ühekordset sisselogimist kataloogiteenustega. Amazon pakub teenust, mida toetab SAML põhine autentimine. See ei küsi mandaati, kui keegi organisatsioonist logib organisatsioonimasinasse sisse. Seejärel jõuaks see Amazoni portaali ja see näitaks teenuseid, mida konkreetsel kasutajal on lubatud kasutada. IAM-i kasutamise suurim eelis on see, et pole vaja luua mitu kasutajat, vaid juurutada lihtne sisselogimine.
Sellega oleme jõudnud oma artikli lõppu. Loodan, et saite aru, mis on AWS-is identiteedi ja juurdepääsu haldamine ning kuidas see töötab.
Kui olete otsustanud valmistuda AWS-i sertifikaadiks, peaksite tutvuma meie kursustega Kas teil on meile küsimus? Palun mainige seda jaotise „Identiteedi ja juurdepääsu haldamine” kommentaaride osas ning me võtame teiega ühendust.