Organizacije morajo imeti nadzor nad tem, kdo ima dovoljenje za dostop do njihovih virov AWS, kateri viri so na voljo, in dejanja, ki jih lahko izvajajo pooblaščeni uporabniki. Namen AWS IAM je pomagati skrbnikom IT pri upravljanju uporabniške identitete in njihove različne ravni dostopa do virov AWS. V tem članku bomo razumeli funkcije in delovni postopek upravljanja identitete in dostopa (IAM) v naslednjem zaporedju:
- Kaj je upravljanje identitete in dostopa?
- Zdaj funkcije
- Delovanje IAM
- Upravljanje identitete in dostopa: primer
Kaj je upravljanje identitete in dostopa?
Upravljanje identitete in dostopa AWS (IAM) je spletna storitev, ki vam pomaga varno nadzirati dostop do virov AWS. Z IAM lahko nadzirate, kdo je overjen in pooblaščen za uporabo virov.
Ko prvič ustvarite račun AWS, potrebujete identiteto za eno prijavo za dostop do vseh Ta identiteta se imenuje korenski uporabnik računa AWS. Do njega lahko dostopate tako, da se prijavite z e-poštnim ID-jem in geslom, s katerima ste ustvarili račun. AWS IAM pomaga pri izvajanju naslednjih nalog:
- Uporablja se za nastavitev uporabnikov, dovoljenj in vlog. Omogoča vam odobri dostop na različne dele platforme AWS
- Prav tako omogoča strankam Amazon Web Services upravljanje uporabnikov in uporabniška dovoljenja v AWS
- Z IAM lahko organizacije centralno upravljajo uporabnike, varnostne poverilnice kot so ključi za dostop in dovoljenja
- IAM omogoča organizaciji, da ustvarite več uporabnikov , vsak s svojimi varnostnimi poverilnicami, nadzorovanimi in zaračunanimi na en račun AWS
- IAM omogoča uporabniku, da naredi samo tisto, kar mora storiti kot del uporabnikovega dela
Zdaj, ko veste, kaj je IAM, si oglejmo nekatere njegove značilnosti.
Funkcije upravljanja identitete in dostopa
Nekatere pomembne značilnosti IAM vključujejo:
- Skupni dostop do vašega računa AWS : Drugim lahko dodelite dovoljenje za upravljanje in uporabo virov v vašem računu AWS, ne da bi morali deliti geslo ali ključ za dostop.
- Drobna dovoljenja : Različnim ljudem lahko dodelite različna dovoljenja za različne vire.
- Zavaren dostop do virov AWS : Funkcije IAM lahko uporabite za varno zagotavljanje poverilnic za programe, ki se izvajajo na primerkih EC2. Te poverilnice omogočajo vaši aplikaciji dostop do drugih virov AWS.
- Večfaktorska overitev (MFA) : Za večjo varnost lahko svojemu računu in posameznim uporabnikom dodate dvofaktorsko overjanje.
- Zveza identitet : Uporabnikom, ki že imajo gesla, lahko dovolite drugje
- Podatki o identiteti za zagotovitev : Prejemate zapise dnevnika, ki vključujejo informacije o tistih, ki so vložili zahteve za vire in temeljijo na identitetah IAM.
- Skladnost s PCI DSS : IAM podpira obdelavo, shranjevanje in prenos podatkov o kreditnih karticah s strani trgovca ali ponudnika storitev in je bil potrjen kot skladen s standardom za varnost podatkov DSS (Payment Card Industry - PCI).
- Integrirano s številnimi storitvami AWS : Obstajajo številne storitve AWS, ki delujejo z IAM.
- Sčasoma dosledno : IAM dosega visoko razpoložljivost s kopiranjem podatkov v več strežnikih znotraj Amazonovih podatkovnih centrov po vsem svetu. Sprememba je zavezana in varno shranjena, ko zahtevate spremembo.
- Brezplačno za uporabo : Ko dostopate do drugih storitev AWS s pomočjo uporabnikov IAM ali začasnih varnostnih poverilnic AWS STS, vam bomo zaračunali šele nato.
Zdaj pa pojdimo naprej in razumemo delovanje upravljanja identitet in dostopa.
Delovanje IAM
Dostop do identitete in upravljanje ponuja najboljša infrastruktura ki je potrebna za nadzor celotne avtorizacije in preverjanja pristnosti za vaš račun AWS. Tu je nekaj elementov infrastrukture IAM:
Načelo
Načelo v AWS IAM se uporablja za ukrepanje na viru AWS. Skrbniški uporabnik IAM je prvo načelo, ki lahko dovoli uporabniku določene storitve, da prevzame vlogo. Zvezne uporabnike lahko podprete tako, da aplikaciji dovolijo dostop do vašega trenutnega računa AWS.
Prošnja
Med uporabo konzole za upravljanje AWS bo API ali CLI zahtevo samodejno poslal v AWS. Navedel bo naslednje informacije:
- Ukrepi se štejejo za načel nastopiti
- Dejanja se izvajajo na podlagi virov
- Glavne informacije vključujejo okolje če je bila zahteva vložena že prej
Preverjanje pristnosti
To je eno najpogosteje uporabljenih načel, ki se uporablja za prijavo v AWS med pošiljanjem zahteve nanj. Vsebuje pa tudi nadomestne storitve, kot so Amazon S3 kar bo omogočilo zahteve neznanih uporabnikov. Če se želite overiti s konzole, se morate prijaviti s svojimi poverilnicami za prijavo, kot sta uporabniško ime in geslo. Toda za preverjanje pristnosti morate zagotoviti skrivnost in ključ za dostop do njih skupaj z zahtevanimi dodatnimi varnostnimi informacijami.
Pooblastilo
Medtem ko dovoljuje vrednosti IAM, ki so zbrane iz zahteve, bo kontekst preveril vse pravilnike ujemanja in ocenil, ali je dovoljena ali zavrnjena posamezna zahteva. Vsi pravilniki so shranjeni v IAM kot JSON dokumente in ponudite določeno dovoljenje za druge vire. AWS IAM samodejno preveri vse pravilnike, ki se posebej ujemajo s kontekstom vseh vaših zahtev. Če je posamezno dejanje zavrnjeno, IAM zavrne celotno zahtevo in obžaluje oceno preostalih, kar se imenuje kot izrecna zavrnitev. Sledi nekaj pravil ocenjevalne logike za IAM:
- Vse zahteve so privzeto zavrnjene
- Izrecno lahko privzeto dovoli preglasitve
- Izrecnik lahko tudi zavrne preglasitev, tako da jim dovoli
Dejanja
Po obdelavi pooblastila za zahtevo ali samodejnem preverjanju pristnosti AWS odobri vaše dejanje v obliki zahteve. Tu so vsa dejanja opredeljena s storitvami, stvari pa lahko naredijo viri, kot so ustvarjanje, urejanje, brisanje in ogled. Da bi omogočili načelo delovanja, moramo v politiko vključiti vse zahtevane ukrepe, ne da bi to vplivalo na obstoječi vir.
Viri
Po pridobitvi odobritve AWS lahko vsa dejanja v vaši zahtevi izvedete na podlagi povezanih virov, ki jih vsebuje vaš račun. Na splošno se imenuje vir entiteta, ki obstaja zlasti znotraj storitev. Te virov je mogoče opredeliti kot sklop dejavnosti, ki se izvaja zlasti na vsakem viru. Če želite ustvariti eno zahtevo, morate najprej izvesti nepovezano dejanje, ki ga ni mogoče zavrniti.
Zdaj pa si vzemimo primer in bolje razumemo koncept upravljanja identitetnega dostopa.
vrste transformacij v informatiki
Upravljanje identitete in dostopa: primer
Da bi razumeli koncept Upravljanje identitete in dostopa (IAM) , vzemimo primer. Recimo, da ima oseba start-up s 3-4 člani in je aplikacijo gostila prek Amazona. Ker gre za majhno organizacijo, bi vsi imeli dostop do Amazona, kjer bi lahko s svojim računom Amazon konfigurirali in izvajali druge dejavnosti. Ko se velikost ekipe poveča z množico ljudi v vsakem oddelku, ne bi raje omogočil popolnega dostopa , saj so vsi zaposleni in je treba podatke zaščititi. V tem primeru bi bilo priporočljivo ustvariti nekaj računov za spletne storitve Amazon, ki se imenujejo uporabniki IAM. Prednost tukaj je v tem, da lahko nadziramo, na katerem področju lahko delujejo.
Zdaj, če bo ekipa naraščala 4.000 ljudje z različnimi nalogami in oddelki. Najboljša rešitev bi bila, da Amazon podpira enotno prijavo z imeniškimi storitvami. Amazon ponuja storitve, ki jih podpira SAML preverjanje pristnosti na osnovi. Ko se nekdo iz organizacije prijavi v organizacijski stroj, ne bi zahteval nobenih poverilnic. Nato bi prišel na Amazon Portal in prikazal storitve, ki jih določen uporabnik sme uporabljati. Največja prednost uporabe IAM je, da ni treba ustvariti več uporabnikov, ampak uporabiti preprosto prijavo.
S tem smo prišli do konca našega članka. Upam, da ste razumeli, kaj je upravljanje identitete in dostopa v AWS in kako deluje.
Če ste se odločili za pripravo na certifikat AWS, si oglejte naše tečaje na Imate vprašanje za nas? Prosimo, omenite ga v oddelku za komentarje v 'Upravljanje identitete in dostopa', mi pa se vam bomo oglasili.