AWS訪問管理功能,如何創建aws訪問密鑰AWS訪問管理功能本章涵蓋以下主題:身份和訪問管理:如果您的AWS體系結構無法保護它,您的AWS體系結構將何去何從?這將是一個非常非常糟糕的地方。IAM是AWS安全性的關鍵要素,本章的這一部分可確保您了解AWS中IAM的組件以及這些組件如何協同工作,以幫助保護您的環境。IAM的......
本章涵蓋以下主題:
身份和訪問管理:如果您的AWS體系結構無法保護它,您的AWS體系結構將何去何從?這將是一個非常非常糟糕的地方。IAM是AWS安全性的關鍵要素,本章的這一部分可確保您了解AWS中IAM的組件以及這些組件如何協同工作,以幫助保護您的環境。
IAM的最佳實踐:雖然AWS使IAM變得非常簡單,但您應始終遵循公認的最佳實踐。本章的這一部分為您提供了這些最佳實踐。
您需要您的用戶和工程師同事能夠根據AWS進行身份驗證,然后嚴格定義他們的訪問權限。AWS身份和訪問管理(IAM)是履行這些職責的主要工具。在本章中,準備深入了解IAM。
身份和訪問管理
當涉及到訪問您的帳戶(根帳戶),然后在其中工作時,您需要AWS的身份和訪問管理(IAM)服務。IAM允許您向其他個人授予對服務進行團隊管理的訪問權限。IAM允許非常精細的權限。例如,您可以只授予某人對S3中單個對象桶的讀取訪問權限。IAM的其他功能包括:
在AWS中從服務到服務的訪問:例如,您可以讓在EC2實例上運行的應用程序訪問S3存儲桶。正如您將在本章后面了解到的那樣,我們經常使用角色進行此類訪問。
多重身份驗證(MFA):允許使用密碼和來自已批準設備的代碼進行訪問,從而大大增強了安全性。圖71顯示了IAM管理控制臺中MFA的配置區域。
身份聯盟:已使用其他服務進行身份驗證的用戶可以臨時訪問您帳戶中的資源和服務。
用于保證的標識信息:CloudTrail可以針對您帳戶中的每個服務和資源跟蹤和記錄所有SPI活動。圖72顯示了AWS中的CloudTrail儀表板。
PCI DSS合規性:IAM支持商家或服務提供商處理、存儲和傳輸信用卡數據,并已驗證其符合支付卡行業(PCI)數據安全標準(DSS)。
集成:為了取得成功,IAM與AWS的所有主要服務集成。
最終一致:Amazon通過其全球基礎架構在全球范圍內復制重要數據,以幫助確保高可用性(HA)。因此,某些位置的數據可能會使其他位置滯后。因此,使用IAM,請考慮先實現IAM的更改,然后在使用相關服務部署之前驗證完全復制。
始終免費:雖然AWS的某些服務可以免費使用一年(使用免費套餐賬戶),但IAM服務在您的帳戶生命周期內仍然是免費的。
輔助功能選項:您可以通過多種方式訪問IAM的組件,包括AWS管理控制臺、AWS命令行工具、AWS sdk和IAM HTTPS API。
了解將在IAM中使用的主要標識是非常重要的。請注意,IAM除了這些身份之外,還有更多的內容,但在您的AWS教育中,此時我們將涵蓋主要的基本組件。
標識包括以下內容:
·AWS賬戶根用戶:這是您在注冊AWS時建立的帳戶;請注意,此帳戶的用戶名是用于注冊的電子郵件地址。
·用戶:這些是您在AWS中創建的實體,用于表示使用IAM用戶與AWS交互的人員或服務。創建IAM用戶時,可以通過使其成為附加了適當權限策略(推薦)的組的成員或直接將策略附加到用戶來授予該用戶權限。您還可以克隆現有IAM用戶的權限,這將自動使新用戶成為同一組的成員,并附加所有相同的策略。圖73顯示了AWS中的用戶。
組:IAM用戶的集合。您可以使用組指定用戶集合的權限,這可以使這些權限更易于管理這些用戶。
角色:這些帳戶類似于用戶帳戶,但它們沒有與之關聯的任何憑據(密碼或訪問密鑰)。
使用IAM的最佳實踐
雖然AWS中的IAM提供了許多令人興奮的功能,但其復雜性可能會導致組織在使用服務時出現致命缺陷。這就是為什么遵循最佳做法至關重要的原因。
您應該考慮遵循這些建議中的大多數(如果不是全部的話)。
·安全地存儲根用戶訪問密鑰:應很少使用AWS實現的根用戶帳戶。說到這里,保護此帳戶的訪問密鑰ID和密鑰是非常重要的。您必須確保這些憑據在您自己的基礎結構中得到保護,并以最謹慎的態度對待它們。事實上,在高安全性環境中,請考慮不定義根帳戶的訪問密鑰。相反,在必須使用此帳戶的極少數時間中,請使用電子郵件地址、復雜密碼和物理多重身份驗證。
·創建單個IAM用戶:因為您不想在AWS實現中使用根帳戶,所以創建其他用戶帳戶至關重要。這將包括為您自己,以便您不需要使用根帳戶。在較大的組織中,您將有一個大型團隊在AWS上工作。您必須為員工創建多個帳戶,以確保每個人都在對每個成員執行其工作所需的資源和權限進行身份驗證和授權。對于每個需要管理訪問權限的人,您很可能在IAM中至少有一個帳戶。
·使用組將權限分配給IAM用戶:即使看起來很愚蠢,但如果您是AWS實現的唯一管理員,您也需要創建一個組并為此組分配權限。為什么?如果確實需要增長和雇用其他管理員,則只需將該用戶帳戶添加到您創建的組中即可。我們始終希望我們的AWS實現能夠擴展,使用組有助于確保這一點。還應該注意的是,將權限應用于組而不是單個用戶帳戶也將有助于消除分配錯誤,因為我們正在最大限度地減少必須授予的權限量。
·使用aws定義的權限策略:Amazon對我們非常友好。他們定義了大量我們在使用IAM時可以輕松利用的策略。此外,AWS在引入新服務和API操作時維護和更新這些策略。AWS為我們創建的策略是圍繞我們需要執行的最常見任務定義的。這些構成了你自己的政策的一個很好的起點。您可以復制給定的策略并對其進行自定義,使其更加安全。通常情況下,您會發現默認定義的策略在訪問權限方面過于寬泛。
·授予最少權限:為什么您最終會在AWS中擁有許多不同的帳戶?好吧,你總是想用為你要完成的任務提供最少特權的賬戶登錄。這樣,如果攻擊者確實設法捕獲您的安全憑據,并開始作為您在AWS體系結構中的角色,他們可能會造成有限的損害。例如,如果您只需要監視AWS S3存儲桶中的文件,則可以使用僅對這些存儲桶具有讀取權限的帳戶。這肯定會限制攻擊者可能造成的傷害。
·查看IAM權限:當涉及到IAM中的權限時,不應使用“設置和忘記”策略。您應該一致地查看分配的權限級別,以確保您遵循的是最小特權概念,并且您仍在向需要這些權限的組授予這些權限。在IAM中甚至有一個策略摘要選項來促進這一點。
·始終為您的用戶配置強密碼策略:這是人性的一個可悲事實。您的用戶往往會懶得設置(和更改)他們的密碼。他們傾向于使用簡單的密碼,這些密碼很容易讓他們記住。不幸的是,這些簡單的密碼也很容易破解。通過設置用戶必須遵守的強密碼策略來幫助您的安全。圖74顯示了IAM管理控制臺中用戶帳戶密碼策略的配置。
為特權用戶帳戶啟用多重身份驗證:當然,您對很少使用的AWS根帳戶執行此操作,但也應保護在AWS中創建的關鍵管理帳戶。使用多重身份驗證(MFA)可確保用戶了解某些內容(如密碼),并擁有某些內容(如智能手機)。在當今大多數AWS環境中,MFA被認為是強制性的。
使用角色:當您在需要訪問其他服務或資源的EC2實例上運行應用程序或服務時,應考慮在AWS中使用角色。
使用角色委派權限:當您需要允許一個AWS帳戶訪問另一個AWS帳戶中的資源時,角色也可能非常有價值。這是一個更安全的選項,為其他AWS帳戶提供您帳戶的用戶名和密碼信息。
不要共享訪問密鑰:獲取允許編程訪問服務或資源的訪問密鑰,并與需要相同訪問的另一個帳戶共享這些密鑰可能很有誘惑力。抵制這種誘惑。請記住,您始終可以創建包含所需訪問權限的角色。
旋轉憑據:請務必定期在AWS中更改密碼和訪問密鑰。當然,這樣做的原因是,如果這些憑據受到威脅,您將最大限度地減少在被盜憑據不再起作用時可以造成的損害!
刪除不必要的憑據:因為在AWS中學習和測試新功能非常容易,因此,只要您將IAM組件放在不再需要的位置,它就會變得很混亂。一定要定期審核你的資源,發現任何不再需要的“糞便”。Aws甚至在這方面協助圍繞最近未使用的憑據構建報告。
使用策略條件:始終考慮在安全策略中構建條件。例如,訪問可能必須來自選定的IP地址范圍。或者可能需要MFA。或者可能有一天中的時間或一周中的一天條件。
監視、監視、監視:AWS服務提供了大量日志記錄的選項。以下是一些仔細的日志記錄和分析可以顯著提高安全性的服務:
·CloudFront
·CloudTrail
·CloudWatch
·AWS Config
·S3
特別聲明:以上文章內容僅代表作者本人觀點,不代表ESG跨境電商觀點或立場。如有關于作品內容、版權或其它問題請于作品發表后的30日內與ESG跨境電商聯系。
二維碼加載中...
使用微信掃一掃登錄
使用賬號密碼登錄
平臺顧問
微信掃一掃
馬上聯系在線顧問
小程序
ESG跨境小程序
手機入駐更便捷
返回頂部