Co je Správa identit a přístupu (IAM) v AWS?



Identity and Access Management je webová služba, která bezpečně řídí přístup k prostředkům AWS. S IAM můžete ovládat ověřování a autorizaci.

Organizace musí mít kontrolu nad tím, kdo má oprávnění k přístupu k jejich prostředkům AWS, které zdroje jsou k dispozici a jaké akce mohou provádět oprávnění uživatelé. Účelem AWS IAM je pomoci správcům IT se správou identity uživatelů a jejich různé úrovně přístupu k prostředkům AWS. V tomto článku pochopíme funkce a pracovní postup správy identit a přístupu (IAM) v následujícím pořadí:

sloučit třídění implementace c ++

Co je Správa identit a přístupu?

AWS Správa identit a přístupu (IAM) je webová služba, která vám pomáhá bezpečně řídit přístup k prostředkům AWS. S IAM můžete ovládat, kdo je ověřen a oprávněn používat zdroje.





AWS IAM - správa identity a přístupu - edureka

Při prvním vytvoření účtu AWS potřebujete pro přístup ke všem jednotnou přihlašovací identitu Tato identita se nazývá uživatel root účtu AWS. Přístup k němu získáte po přihlášení pomocí e-mailového ID a hesla, které jste použili k vytvoření účtu. AWS IAM pomáhá při provádění následujících úkolů:



  • Používá se k nastavení uživatelů, oprávnění a rolí. Umožňuje vám to přístup povolen do různých částí platformy AWS
  • Umožňuje také zákazníkům Amazon Web Services spravovat uživatele a uživatelská oprávnění v AWS
  • S IAM mohou organizace centrálně spravovat uživatele, bezpečnostní údaje například přístupové klíče a oprávnění
  • IAM umožňuje organizaci vytvořit více uživatelů , každý s vlastními bezpečnostními pověřeními, kontrolovaný a účtovaný na jeden účet AWS
  • IAM umožňuje uživateli dělat jen to, co musí udělat jako součást své práce

Nyní, když víte, co je IAM, podívejme se na některé z jeho funkcí.

Funkce správy identity a přístupu

Mezi důležité funkce IAM patří:



  • Sdílený přístup k vašemu účtu AWS : Jiným lidem můžete udělit oprávnění ke správě a používání prostředků ve vašem účtu AWS, aniž byste museli sdílet své heslo nebo přístupový klíč.
  • Podrobná oprávnění : Můžete udělit různá oprávnění různým lidem pro různé zdroje.
  • Zabezpečený přístup ke zdrojům AWS : Pomocí funkcí IAM můžete bezpečně poskytnout pověření pro aplikace, které běží na instancích EC2. Tato pověření poskytují vaší aplikaci oprávnění pro přístup k dalším prostředkům AWS.
  • Vícefaktorové ověřování (MFA) : Pro zvýšení zabezpečení můžete ke svému účtu a jednotlivým uživatelům přidat dvoufaktorové ověřování.
  • Federace identit : Můžete povolit uživatele, kteří již mají hesla jinde
  • Informace o totožnosti pro zajištění : Obdržíte záznamy protokolu, které obsahují informace o těch, kteří podali žádosti o prostředky, které jsou založeny na identitách IAM.
  • Soulad s PCI DSS : IAM podporuje zpracování, ukládání a přenos údajů o kreditní kartě obchodníkem nebo poskytovatelem služeb a byl ověřen jako vyhovující standardu DSS (Payment Card Industry) (Data Security Standard).
  • Integrováno s mnoha službami AWS : Existuje celá řada služeb AWS, které pracují s IAM.
  • Nakonec konzistentní : IAM dosahuje vysoké dostupnosti replikací dat na více serverech v datových centrech Amazonu po celém světě. Změna je potvrzena a bezpečně uložena, když požadujete nějakou úpravu.
  • Zdarma k použití : Když přistupujete k jiným službám AWS pomocí svých uživatelů IAM nebo dočasných bezpečnostních pověření AWS STS, bude vám účtováno pouze tehdy.

Nyní pojďme dál a pochopme fungování správy identit a přístupu.

Práce IAM

Identity Access and Management nabízí nejlepší infrastruktura to je vyžadováno ke kontrole veškeré autorizace a autentizace vašeho účtu AWS. Zde jsou některé z prvků infrastruktury IAM:

Zásada

Princip v AWS IAM se používá k provedení akce na zdroji AWS. Správní uživatel IAM je první zásada, která může uživateli povolit konkrétní služby, aby převzal roli. Můžete podporovat federované uživatele, aby aplikaci umožnili přístup k vašemu aktuálnímu účtu AWS.

Žádost

Při používání konzoly pro správu AWS API nebo CLI automaticky odešle požadavek AWS. Bude specifikovat následující informace:

  • Akce jsou považovány za zásady vystupovat
  • Akce jsou prováděny na základě zdroje
  • Mezi základní informace patří životní prostředí kde byla žádost podána dříve

Ověření

Jedná se o jeden z nejčastěji používaných principů, který se používá k přihlášení k AWS při odesílání požadavku. Skládá se však také z alternativních služeb, jako je Amazon S3 což umožní požadavky od neznámých uživatelů. Chcete-li provést ověření z konzoly, musíte se přihlásit pomocí přihlašovacích údajů, jako je uživatelské jméno a heslo. Ale k ověření je třeba jim poskytnout tajný a přístupový klíč spolu s požadovanými dalšími bezpečnostními informacemi.

Povolení

Při autorizaci hodnot IAM, které jsou vyvolány z požadavku, bude kontext zkontrolovat všechny odpovídající zásady a vyhodnotit, zda je příslušný požadavek povolen nebo odepřen. Všechny zásady jsou uloženy v IAM as JSON dokumenty a nabídnout zadané povolení pro ostatní zdroje. AWS IAM automaticky kontroluje všechny zásady, které zvláště odpovídají kontextu všech vašich požadavků. Pokud je jediná akce zamítnuta, pak IAM popírá celý požadavek a lituje, že vyhodnotí zbývající, které se nazývají jako explicitní odmítnutí. Následuje několik pravidel logiky vyhodnocení pro IAM:

  • Ve výchozím nastavení jsou všechny žádosti zamítnuty
  • Explicit může ve výchozím nastavení povolit přepsání
  • Explicit může také popřít přepsání povolením

Akce

Po automatickém zpracování vaší žádosti nebo automatickém ověření AWS schválí vaši akci ve formě žádosti. Zde jsou všechny akce definovány službami a věci lze provádět pomocí zdrojů, jako je vytváření, úpravy, mazání a prohlížení. Abychom umožnili princip akce, musíme do politiky zahrnout všechny požadované akce, aniž by to ovlivnilo existující zdroj.

Zdroje

Po získání schválení AWS lze všechny akce ve vašem požadavku provést na základě souvisejících zdrojů, které obsahují ve vašem účtu. Obecně se zdroj nazývá entita, která existuje zejména v rámci služeb. Tyto služby zdrojů lze definovat jako soubor činností, které se provádějí zejména na každém zdroji. Chcete-li vytvořit jeden požadavek, musíte nejprve provést nesouvisející akci, kterou nelze odmítnout.

Pojďme si nyní vzít příklad a lépe porozumět konceptu Identity Access Management.

jak předat odkazem v Javě

Správa identity a přístupu: Příklad

Porozumět pojmu Správa identit a přístupu (IAM) , pojďme si vzít příklad. Předpokládejme, že osoba má start-up se 3 až 4 členy a je hostitelem aplikace přes Amazon. Jelikož se jedná o malou organizaci, všichni by měli přístup k Amazonu, kde mohou pomocí svého účtu Amazon konfigurovat a provádět další činnosti. Jakmile se velikost týmu rozroste se skupinou lidí v každém oddělení, nechtěl by dát přednost plnému přístupu , protože jsou všichni zaměstnanci a data je třeba chránit. V tomto případě by bylo vhodné vytvořit několik účtů webových služeb Amazon nazývaných uživatelé IAM. Výhodou je, že můžeme určit, v jaké doméně mohou pracovat.

Nyní, pokud tým doroste 4 000 lidé s různými úkoly a odděleními. Nejlepším řešením by bylo, že Amazon podporuje jednotné přihlášení pomocí adresářových služeb. Amazon poskytuje služby podporované SAML založené na autentizaci. Když se někdo z organizace přihlásí k organizačnímu stroji, nebude požadovat žádné pověření. Poté by se dostal na portál Amazon a ukázal by služby, které má daný uživatel povoleno používat. Největší výhodou používání IAM je, že není nutné vytvářet více uživatelů, ale implementovat jednoduché přihlášení.

Tím jsme se dostali na konec našeho článku. Doufám, že jste pochopili, co je Správa identit a přístupu v AWS a jak to funguje.

Pokud jste se rozhodli připravit na certifikaci AWS, měli byste se podívat na naše kurzy Máte na nás dotaz? Uveďte to v sekci komentářů v části „Správa identit a přístupu“ a my se vám ozveme.