在當今時代,無論組織規模如何,驗證雲端環境的安全性都至關重要。隨著雲端運算採用的加速,特別是亞馬遜網路服務,維護安全性對每個企業都至關重要。因此,使用IAM 保護AWS 變得至關重要。 IAM 扮演著AWS 基礎設施守門人的角色。透過實施IAM 最佳實踐,企業可以保護敏感資料、降低風險並確保符合標準。我們Oncloud AI透過本文將協助您了解IAM 如何保護AWS 環境。
AWS 中的IAM 是什麼?
AWS 中的IAM(身分和存取管理)是保護對AWS 資源的存取的服務。它充分管理權限,僅允許經過身份驗證和授權的使用者存取雲端資產。 AWS中IAM的作用是改變遊戲規則的。
五大AWS IAM 安全準則
AWS IAM 安全基於兩個重要的安全原則:零信任,強調持續驗證並假設存在違規可能性;最小特權訪問,將訪問權限限制為僅對當前任務重要的權限。讓我們深入了解IAM 如何透過其最佳實踐保護AWS 環境:
AWS 存取的身份提供者
管理、操作、開發和使用應用程式的員工被稱為人類身分或使用者。員工身分是與組織合作的人類使用者的另一個縮寫。他們需要擁有身份才能存取AWS 應用程式和環境。與企業合作的外部使用者也可能是人類使用者並使用AWS 資源。企業員工將需要臨時憑證,並且可以使用身分提供者來利用對帳戶的聯合存取。員工可以利用IAM 身分中心進行整體存取管理。
工作負載利用臨時憑證和IAM 角色存取AWS
工作負載是利用業務價值的程式碼和資源的彙編。它可能具有操作工具、元件和應用程序,這些工具、元件和應用程式必須具有身分才能向AWS 服務提交請求。 IAM 角色可用於為工作負載提供機器身分。 IAM 角色具有特定權限和存取AWS 資源的特定方式。它們依賴於臨時憑證和角色會話。 Identity and Access Management Roles Anywhere 可用於AWS 以外的機器。
從AWS 託管策略到最低特權權限
客戶的AWS 帳戶中存在的AWS 託管策略可用於向工作負載和使用者授予權限。應使用客戶託管策略來授予最低特權權限,因為AWS 託管策略有時可能無法為客戶的用例執行該任務。
使用長期憑證時更新存取金鑰
建議盡可能繼續使用臨時憑證。但是,當長期憑證和程式存取至關重要時,更新存取金鑰很重要。 IAM 存取上次使用的資訊可用於刪除和更新存取金鑰。有時,使用角色的臨時憑證無法操作;此時,客戶需要提供長期憑證。在特定情況下客戶需要使用長期憑證,例如第三方AWS 供應商或未在AWS 上託管的用戶端;客戶可以使用長期存取金鑰。
使用特定條件進行附加限制
客戶可以在實踐中對策略語句添加條件以進行進一步的限制。這樣,只有當請求符合特定條件時才會授予存取權限。讓我們舉一個僅透過SSL 提交請求的例子;這樣,透過其他方式收到的請求將被自動駁回。甚至服務操作也可以透過特定條件進行限制。
AWS 安全性的IAM 最佳實務可確保在AWS 環境中進行經過驗證的存取。它們不僅限於上述內容。
IAM 功能:
- AWS 安全令牌服務和身分存取管理可以免費使用。
- AWS IAM 與眾多AWS 服務結合。
- IAM 支援的商家提供的資料的傳輸、處理和儲存符合PCI 和DSS。
- 如果客戶使用AWS Cloud Trail,則可以確保使用者身份,其中包含有關請求提交的資訊;此資訊基於IAM 身份。
- 透過允許擁有密碼的使用者進行臨時訪問,可以實現身份聯合。
- AWS IAM 中的多重身分驗證(MFA) 為個人使用者和客戶的帳戶增加了額外的安全性。在MFA 中,不僅存取金鑰或密碼,而且來自專門配置的裝置的代碼也可以提供額外的安全層。
Oncloud AI身為AWS代理商,提供亞馬遜雲端服務,支援亞馬遜雲端伺服器AWS代付、AWS遷移、AWS維運託管等服務,如有相關需求可聯繫Oncloud AI。
