Organizācijām ir jābūt kontrolei, kam ir atļauja piekļūt saviem AWS resursiem, kuri resursi ir pieejami, un darbības, ko pilnvarotie lietotāji var veikt. AWS IAM mērķis ir palīdzēt IT administratoriem pārvaldīt lietotāju identitātes un to dažādais piekļuves līmenis AWS resursiem. Šajā rakstā mēs sapratīsim Identitātes un piekļuves pārvaldības (IAM) funkcijas un darba kārtību šādā secībā:
- Kas ir identitātes un piekļuves pārvaldība?
- Tagad funkcijas
- IAM darbība
- Identitātes un piekļuves pārvaldība: piemērs
Kas ir identitātes un piekļuves pārvaldība?
AWS identitātes un piekļuves pārvaldība (IAM) ir tīmekļa pakalpojums, kas palīdz droši kontrolēt piekļuvi AWS resursiem. Izmantojot IAM, jūs varat kontrolēt, kurš ir autentificēts un pilnvarots izmantot resursus.
Pirmo reizi izveidojot AWS kontu, lai piekļūtu visiem, nepieciešama vienota pierakstīšanās identitāte Šo identitāti sauc par AWS konta saknes lietotāju. Tam varat piekļūt, pierakstoties ar e-pasta ID un paroli, ko izmantojāt konta izveidošanai. AWS IAM palīdz veikt šādus uzdevumus:
- To izmanto, lai iestatītu lietotājus, atļaujas un lomas. Tas ļauj jums piešķirt piekļuvi uz dažādām AWS platformas daļām
- Tas arī ļauj Amazon Web Services klientiem pārvaldīt lietotājus un lietotāju atļaujas AWS
- Izmantojot IAM, organizācijas var centralizēti pārvaldīt lietotājus, drošības akreditācijas dati piemēram, piekļuves atslēgas un atļaujas
- IAM ļauj organizācijai izveidot vairākus lietotājus , katram no tiem ir savi drošības akreditācijas dati, kurus kontrolē un par kuriem tiek izrakstīti rēķini uz vienu AWS kontu
- IAM ļauj lietotājam veikt tikai to, kas viņam jādara kā daļa no lietotāja darba
Tagad, kad jūs zināt, kas ir IAM, apskatīsim dažas tā funkcijas.
Identitātes un piekļuves pārvaldības funkcijas
Dažas no svarīgākajām IAM iezīmēm ir:
- Koplietota piekļuve jūsu AWS kontam : Jūs varat piešķirt citām personām atļauju administrēt un izmantot resursus savā AWS kontā bez koplietot savu paroli vai piekļuves atslēgu.
- Granulētas atļaujas : Dažādiem cilvēkiem varat piešķirt dažādas atļaujas dažādiem resursiem.
- Droša piekļuve AWS resursiem : Varat izmantot IAM līdzekļus, lai droši nodrošinātu akreditācijas datus lietojumprogrammām, kas darbojas EC2 instancēs. Šie akreditācijas dati nodrošina jūsu lietojumprogrammai piekļuvi citiem AWS resursiem.
- Daudzfaktoru autentifikācija (MFA) : Lai nodrošinātu papildu drošību, savam kontam un atsevišķiem lietotājiem varat pievienot divu faktoru autentifikāciju.
- Identitātes federācija : Jūs varat atļaut lietotājiem, kuriem jau ir paroles citur
- Identitātes informācija pārliecībai : Jūs saņemat žurnāla ierakstus, kas satur informāciju par tiem, kas iesniedza resursu pieprasījumus, pamatojoties uz IAM identitātēm.
- PCI DSS atbilstība : IAM atbalsta kredītkaršu datu apstrādi, glabāšanu un pārsūtīšanu, ko veic tirgotājs vai pakalpojumu sniedzējs, un tā ir apstiprināta kā atbilstoša Maksājumu karšu nozares (PCI) datu drošības standartam (DSS).
- Integrēts ar daudziem AWS pakalpojumiem : Ir vairāki AWS pakalpojumi, kas darbojas ar IAM.
- Galu galā konsekvents : IAM nodrošina augstu pieejamību, replicējot datus vairākos serveros Amazon datu centros visā pasaulē. Izmaiņas ir veiktas un droši saglabātas, kad pieprasāt veikt izmaiņas.
- Bezmaksas izmantot : Piekļūstot citiem AWS pakalpojumiem, izmantojot savus IAM lietotājus vai AWS STS pagaidu drošības akreditācijas datus, maksa tiks iekasēta tikai tad.
Tagad ejam tālāk un saprotam Identitātes un piekļuves pārvaldības darbību.
IAM darbība
Identitātes piekļuve un pārvaldība piedāvā vislabākā infrastruktūra kas nepieciešams, lai kontrolētu visu AWS konta autorizāciju un autentifikāciju. Šeit ir daži no IAM infrastruktūras elementiem:
Princips
AWS IAM princips tiek izmantots, lai veiktu darbības ar AWS resursu. Administratīvais IAM lietotājs ir pirmais princips, kas ļauj lietotājam veikt noteiktus pakalpojumus, lai viņš varētu uzņemties lomu. Jūs varat atbalstīt apvienotos lietotājus, lai ļautu lietojumprogrammai piekļūt jūsu pašreizējam AWS kontam.
Pieprasījums
Lietojot AWS pārvaldības konsoli, API vai CLI automātiski nosūtīs pieprasījumu AWS. Tajā tiks precizēta šāda informācija:
- Darbības tiek uzskatītas par principi uzstāties
- Darbības tiek veiktas, pamatojoties uz resursiem
- Galvenā informācija ietver vide ja pieprasījums ir izdarīts iepriekš
Autentifikācija
Tas ir viens no visbiežāk izmantotajiem principiem, kas tiek izmantots, lai pierakstītos AWS, nosūtot tam pieprasījumu. Tomēr tas sastāv arī no alternatīvajiem pakalpojumiem, piemēram, Amazon S3 kas ļaus pieprasīt nezināmus lietotājus. Lai autentificētos no konsoles, jums jāpierakstās, izmantojot savus pieteikšanās akreditācijas datus, piemēram, lietotājvārdu un paroli. Bet, lai autentificētu, jums jāsniedz tiem noslēpums un piekļuves atslēga kopā ar nepieciešamo papildu drošības informāciju.
Atļauja
Autorizējot no pieprasījuma iegūtās IAM vērtības, kontekstā tiks pārbaudītas visas atbilstošās politikas un novērtēts, vai tas ir atļauts vai noraidīts. Visas politikas tiek saglabātas IAM kā JSON dokumentus un piedāvāt norādīto atļauju citiem resursiem. AWS IAM automātiski pārbauda visas politikas, kas īpaši atbilst visu jūsu pieprasījumu kontekstam. Ja viena darbība tiek noraidīta, IAM noraida visu pieprasījumu un nožēlu novērtē atlikušos, kas tiek dēvēts par nepārprotamu noraidījumu. Šie ir daži no IAM novērtēšanas loģikas noteikumiem:
- Visi pieprasījumi pēc noklusējuma tiek noraidīti
- Pēc noklusējuma nepārprotami var atļaut ignorēt
- Nepārprotams var arī noliegt ignorēšanu, ļaujot tiem
Darbības
Pēc pieprasījuma autorizācijas apstrādes vai automātiskas neautentificēšanas AWS apstiprina jūsu darbību pieprasījuma formā. Šeit visas darbības nosaka pakalpojumi, un lietas var izdarīt ar tādiem resursiem kā izveide, rediģēšana, dzēšana un apskate. Lai atļautu darbības principu, mums politikā jāiekļauj visas nepieciešamās darbības, neietekmējot esošo resursu.
Resursi
Pēc AWS apstiprinājumu saņemšanas visas jūsu pieprasījumā norādītās darbības var veikt, pamatojoties uz saistītajiem resursiem, kas atrodas jūsu kontā. Parasti resursu sauc par entītiju, kas īpaši pastāv pakalpojumos. Šie resursu pakalpojumi var definēt kā darbību kopumu, kas tiek veikts īpaši katram resursam. Ja vēlaties izveidot vienu pieprasījumu, vispirms jāveic nesaistītā darbība, kuru nevar noliegt.
Tagad ņemsim piemēru un labāk izpratīsim identitātes piekļuves pārvaldības jēdzienu.
Identitātes un piekļuves pārvaldība: piemērs
Lai saprastu Identitātes un piekļuves pārvaldība (IAM) , ņemsim piemēru. Pieņemsim, ka kādai personai ir izveidots jaunuzņēmums ar 3-4 dalībniekiem un tā mitināja Lietojumprogrammu Amazon. Tā kā tā ir maza organizācija, visiem būtu piekļuve Amazon, kur viņi varētu konfigurēt un veikt citas darbības ar savu Amazon kontu. Kad komandas lielums palielinās, kad katrā nodaļā ir cilvēku skaits, viņš nevēlētos dot pilnīgu piekļuvi , jo viņi visi ir darbinieki un dati ir jāaizsargā. Šajā gadījumā būtu ieteicams izveidot dažus Amazon tīmekļa pakalpojumu kontus, kurus sauc par IAM lietotājiem. Priekšrocība šeit ir tā, ka mēs varam kontrolēt, kādā jomā viņi var darboties.
Tagad, ja komanda pieaug 4000 cilvēki ar dažādiem uzdevumiem un nodaļām. Labākais risinājums būtu tāds, ka Amazon atbalsta vienoto pierakstīšanos ar direktoriju pakalpojumiem. Amazon nodrošina pakalpojumu, ko atbalsta SAML balstīta autentifikācija. Tas neprasīs nekādus akreditācijas datus, kad kāds no organizācijas piesakās organizācijas mašīnā. Tad tas tiktu nosūtīts Amazon portālam, un tas parādītu pakalpojumus, kurus konkrētajam lietotājam ir atļauts izmantot. Lielākā IAM izmantošanas priekšrocība ir tā, ka nav nepieciešams izveidot vairākus lietotājus, bet ir jāievieš vienkārša pierakstīšanās.
kas ir skeneris java
Ar to mēs esam nonākuši mūsu raksta beigās. Es ceru, ka jūs sapratāt, kas ir identitātes un piekļuves pārvaldība AWS un kā tā darbojas.
Ja esat nolēmis sagatavoties AWS sertifikātam, pārbaudiet mūsu kursus Vai mums ir jautājums? Lūdzu, pieminējiet to komentāru sadaļā “Identitātes un piekļuves pārvaldība”, un mēs ar jums sazināsimies.