Organizácie musia mať kontrolu nad tým, kto má povolenie na prístup k svojim zdrojom AWS, ktoré zdroje sú k dispozícii a aké činnosti môžu vykonávať autorizovaní používatelia. Účelom AWS IAM je pomôcť správcom IT spravovať totožnosti používateľov a ich rôzne úrovne prístupu k zdrojom AWS. V tomto článku pochopíme funkcie a pracovný postup správy identít a prístupu (IAM) v nasledujúcom poradí:
čo je to metóda javascript
- Čo je to Správa identít a prístupu?
- Teraz funkcie
- Fungovanie IAM
- Správa identity a prístupu: Príklad
Čo je to Správa identít a prístupu?
AWS Správa identity a prístupu (IAM) je webová služba, ktorá vám pomáha bezpečne kontrolovať prístup k zdrojom AWS. Pomocou IAM môžete ovládať, kto je autentizovaný a autorizovaný na použitie zdrojov.
Pri prvom vytvorení účtu AWS potrebujete na prístup ku všetkým jednotnú prihlasovaciu identitu Táto identita sa nazýva používateľ root účtu AWS. Prístup k nej získate po prihlásení pomocou e-mailovej adresy a hesla, ktoré ste použili na vytvorenie účtu. AWS IAM pomáha pri plnení nasledujúcich úloh:
- Slúži na nastavenie používateľov, povolení a rolí. Umožňuje vám to povoliť prístup do rôznych častí platformy AWS
- Umožňuje tiež zákazníkom služby Amazon Web Services spravovať používateľov a užívateľské povolenia v AWS
- Pomocou IAM môžu organizácie centrálne spravovať používateľov, bezpečnostné údaje napríklad prístupové kľúče a povolenia
- IAM umožňuje organizácii vytvoriť viac používateľov , každý s vlastnými bezpečnostnými údajmi, kontrolovaný a účtovaný na jeden účet AWS
- IAM umožňuje používateľovi robiť iba to, čo musí robiť ako súčasť svojej práce
Teraz, keď viete, čo je IAM, sa pozrime na niektoré z jeho funkcií.
Funkcie správy identity a prístupu
Medzi dôležité funkcie IAM patria:
- Zdieľaný prístup k vášmu účtu AWS : Môžete udeliť iným ľuďom povolenie na správu a používanie zdrojov vo vašom účte AWS bez toho, aby ste museli zdieľať svoje heslo alebo prístupový kľúč.
- Granulárne povolenia : Môžete udeliť rôzne povolenia rôznym ľuďom pre rôzne zdroje.
- Zabezpečený prístup k zdrojom AWS : Pomocou funkcií IAM môžete bezpečne poskytnúť poverenia pre aplikácie, ktoré sú spustené v inštanciách EC2. Tieto poverenia poskytujú aplikácii povolenie na prístup k ďalším zdrojom AWS.
- Viacfaktorová autentifikácia (MFA) : Pre zvýšenie zabezpečenia môžete do svojho účtu a k jednotlivým používateľom pridať dvojfaktorovú autentizáciu.
- Federácia identity : Môžete povoliť používateľov, ktorí už majú heslá inde
- Informácie o totožnosti pre uistenie : Dostanete záznamy denníka, ktoré obsahujú informácie o tých, ktorí požiadali o prostriedky, založené na identitách IAM.
- Súlad s PCI DSS : IAM podporuje spracovanie, ukladanie a prenos údajov o kreditných kartách obchodníkom alebo poskytovateľom služieb a bola overená ako kompatibilná so štandardom bezpečnosti údajov (Payment Card Industry - PCI).
- Integrovaný s mnohými službami AWS : Existuje niekoľko služieb AWS, ktoré spolupracujú s IAM.
- Nakoniec konzistentné : IAM dosahuje vysokú dostupnosť replikáciou údajov na viacerých serveroch v rámci dátových centier spoločnosti Amazon po celom svete. Zmena je potvrdená a bezpečne uložená, keď požadujete zmenu.
- Zdarma na použitie : Keď pristupujete k iným službám AWS pomocou svojich používateľov IAM alebo dočasných bezpečnostných poverení AWS STS, bude vám účtovaný iba poplatok.
Poďme teraz ďalej a pochopme fungovanie správy identít a prístupu.
Fungovanie IAM
Prístup a správa identít ponúka najlepšia infraštruktúra to je potrebné na kontrolu všetkej autorizácie a autentifikácie pre váš účet AWS. Tu sú niektoré z prvkov infraštruktúry IAM:
Princíp
Princíp v AWS IAM sa používa na vykonanie akcie so zdrojom AWS. Administratívny používateľ IAM je prvý princíp, ktorý umožňuje používateľovi príslušné služby, aby získal rolu. Môžete podporiť federovaných používateľov, aby aplikácii povolili prístup k vášmu aktuálnemu účtu AWS.
Žiadosť
Pri použití konzoly na správu AWS API alebo CLI automaticky odošle žiadosť AWS. Bude špecifikovať nasledujúce informácie:
- Akcie sa považujú za princípy vystupovať
- Akcie sa vykonávajú na základe zdrojov
- Medzi základné informácie patrí prostredie kde bola žiadosť podaná predtým
Overenie
Je to jeden z najbežnejšie používaných princípov, ktorý sa používa na prihlásenie do AWS pri odosielaní žiadosti. Pozostáva však aj z alternatívnych služieb ako Amazon S3 ktorý umožní žiadosti od neznámych používateľov. Ak sa chcete overiť z konzoly, musíte sa prihlásiť pomocou svojich prihlasovacích údajov, ako sú používateľské meno a heslo. Na autentifikáciu im však musíte poskytnúť tajný a prístupový kľúč spolu s požadovanými ďalšími bezpečnostnými informáciami.
Povolenie
Počas autorizácie hodnôt IAM, ktoré sú vyvolané z požiadavky, bude kontext skontrolovať všetky politiky zhody a vyhodnotiť, či je príslušná požiadavka povolená alebo zamietnutá. Všetky zásady sú uložené v IAM ako JSON dokumenty a ponúknuť špecifikované povolenie pre ďalšie zdroje. AWS IAM automaticky kontroluje všetky zásady, ktoré sa konkrétne zhodujú s kontextom všetkých vašich požiadaviek. Ak je jediná akcia odmietnutá, potom IAM zamietne celú žiadosť a s ľútosťou vyhodnotí zostávajúce, ktoré sa nazývajú ako výslovné odmietnutie. Nasledujú niektoré z logických pravidiel hodnotenia pre IAM:
- Všetky žiadosti sú predvolene zamietnuté
- Explicitné nastavenie môže predvolene povoliť prepísanie
- Explicitné môže tiež odmietnuť prepísanie povolením
Akcie
Po spracovaní vašej žiadosti alebo automatickom neoverení AWS schváli vašu akciu vo forme žiadosti. Tu sú všetky akcie definované službami a veci je možné vykonávať pomocou zdrojov, ako je vytváranie, úpravy, mazanie a prezeranie. Aby sme umožnili princíp akcie, musíme do politiky zahrnúť všetky požadované akcie bez toho, aby sme ovplyvnili existujúci zdroj.
Zdroje
Po získaní súhlasov AWS môžu byť všetky akcie vo vašej žiadosti vykonané na základe súvisiacich zdrojov, ktoré obsahujú vo vašom účte. Všeobecne sa zdroj nazýva entita, ktorá existuje najmä v rámci služieb. Títo služby zdrojov možno definovať ako súbor aktivít, ktoré sa vykonávajú osobitne na každom zdroji. Ak chcete vytvoriť jednu žiadosť, musíte najskôr vykonať nesúvisiacu akciu, ktorú nemožno poprieť.
Poďme si teraz vziať príklad a lepšie porozumieť konceptu Identity Access Management.
ako prejsť odkazom v jave
Správa identity a prístupu: Príklad
Pochopiť pojem Správa identít a prístupu (IAM) , vezmime si príklad. Predpokladajme, že osoba má start-up s 3 až 4 členmi a je hostiteľom aplikácie cez Amazon. Pretože je to malá organizácia, všetci by mali prístup do Amazonu, kde môžu konfigurovať a vykonávať ďalšie činnosti pomocou svojho účtu Amazon. Keď sa veľkosť tímu rozrastie o skupinu ľudí v každom oddelení, nedal by prednosť úplnému prístupu , keďže sú všetci zamestnancami, a údaje je potrebné chrániť. V takom prípade by bolo vhodné vytvoriť niekoľko účtov webových služieb Amazon nazývaných používatelia IAM. Výhodou je, že môžeme kontrolovať, v ktorej doméne môžu pracovať.
Teraz, ak tím dorastie 4 000 ľudí s rôznymi úlohami a oddeleniami. Najlepšie by bolo, keby Amazon podporoval jednotné prihlásenie pomocou adresárových služieb. Amazon poskytuje služby podporované serverom SAML založené na autentifikácii. Keď sa niekto z organizácie prihlási do organizačného zariadenia, nebude to vyžadovať žiadne poverenie. Potom by sa dostal na portál Amazon a ukázal by služby, ktoré má konkrétny používateľ povolené používať. Najväčšou výhodou používania IAM je, že nie je potrebné vytvárať viac používateľov, ale implementovať jednoduché prihlásenie.
Týmto sme sa dostali na koniec nášho článku. Dúfam, že ste pochopili, čo je Správa identít a prístupu v AWS a ako to funguje.
Ak ste sa rozhodli pripraviť na certifikáciu AWS, mali by ste sa pozrieť na naše kurzy dňa Máte na nás otázku? Uveďte to v sekcii komentárov v časti „Správa identít a prístupu“ a my sa vám ozveme.