我们对内部IT人员使用AWS身份和访问管理(IAM)实施了限制。 IAM如何保护对服务、应用程序和最终用户的访问?
安全漏洞可能出现在云中的任何地方,甚至在可信的资源和人员的连接中。AWS IAM服务使管理员能够对内部IT员工、及外部用户、服务和应用程序定义访问权限。通过动态创建访问密钥来授予对帐户的临时访问权,AWS IAM有助于保护资源。
通过AWS IAM ,管理员可以在抽象中创建权限,并将其应用于用户、工作负载或服务,如弹性计算云(EC2或简单存储服务(S3)实例。 管理员必须将相对应的角色应用于具有AWS访问凭据的用户、工作负载或服务上。
通常,IT团队使用AWS IAM与应用一起来处理运行在AWS工具上的凭据。 虽然可以为每个实例调配和更新AWS凭据,允许工作负载签署请求进行身份验证,但公有云的动态环境使该过程变得复杂。管理员将角色应用于实例,这样工作负载就可以做出安全的API请求,而不必担心底层安全凭证;AWS IAM允许管理员和开发人员指派API权限。 例如,AWS IAM可以允许EC2应用访问S3中的存储。
管理员通过IAM控制台、IAM API或AWS命令行界面创建角色。首先,他们定义用于承担定义角色的AWS账户或服务 ,以及定义角色可以访问的API操作和资源。 接下来,管理员在实例启动时提供角色;他们可能需要重新启动角色所需的实例才能生效。最后,管理员允许实体——服务、用户或API,检索用于访问的临时凭证。
联合身份管理 VS. MFA
身份联合与角色不同,它为外部资源分配信任和管理访问权限。 当业务人员打开AWS账户并使用IAM时,管理员通常会创建IAM用户,并分配许可和凭据,从而允许这些用户访问资源。只有具有IAM凭据和权限的用户或服务才能访问公司AWS账户中的资源。但AWS允许管理员将访问权限指派给不是首先在IAM中创建的外部资源。这些外部身份可能来自Active Directory、AWS Directory Service、Amazon Cognito或来自外部身份提供者如Facebook或Google。
多因素认证(MFA)是一种旨在增强企业AWS账户和资源安全性的技术。管理员将用户名和密码的详细信息与MFA设备生成的唯一身份验证码组合。同时,管理员在帐户中,使MFA在AWS帐户级别中为各个IAM用户所用,并访问AWS API。
MFA需要额外添加生成认证码的唯一物理或虚拟设备;AWS目前支持用于移动设备的虚拟MFA设备、发送到特定移动设备的硬件密钥MFA设备和SMS MFA代码。虚拟设备本质上是安装在硬件设备上的实体,例如Android或Windows手机。硬件密钥设备通常通过PC USB端口或无线同步连接来操作。
SMS MFA通常仅保留用于最安全的情况。 SMS MFA确保每个移动设备分配的用户能够访问MFA代码。其他密码或生物识别工具,如iPad指纹,将进一步支持MFA的安全性。AWS目前仅测试SMS,但它可以是高度安全用户或帐户的特定访问选项。
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
相关推荐
-
AWS Organizations为大型用户帐户提供一致性
企业操作多个AWS账户有多种原因。然而,这种做法造成了管理上的困难。AWS Organizations可以自动化并且简化这一流程。
-
确保公有云安全:AWS IAM足够吗?
我们的企业希望能够限制其生成身份和访问管理策略时所花费的时间。对于这项任务,有什么工具可以帮助自动化完成吗?