Начало работы с AWS (часть 4)

Опубликовано: 7 Марта, 2023
Начало работы с AWS (часть 4)

  • Начало работы с AWS (часть 2)
  • Начало работы с AWS (часть 3)
  • Начало работы с AWS (часть 5)
  • Начало работы с AWS (часть 6)
  • Начало работы с AWS (часть 7)
  • Начало работы с AWS (часть 9)
  • Начало работы с AWS (часть 10)
  • Начало работы с AWS (часть 11)
  • Начало работы с AWS (часть 12)
  • Начало работы с AWS (часть 13)
  • Начало работы с AWS (часть 14)

Введение

До сих пор в этой серии мы описали уровень бесплатного использования Amazon Web Services (AWS) и то, как вы можете подписаться на него, чтобы вы могли тестировать AWS в течение 12 месяцев. Затем мы рассмотрели различные инструменты управления и разработки, предоставляемые Amazon для создания и управления облачными ресурсами на AWS. Затем мы описали некоторые шаги, которые вы можете использовать для защиты своей учетной записи AWS в случае взлома вашей учетной записи. В этой статье вы познакомитесь с AWS Identity and Access Management (IAM) — веб-сервисом, который позволяет создавать пользователей и управлять ими, а также назначать разрешения пользователей для вашей облачной среды AWS.

Почему ИАМ?

Системные администраторы сред на основе Windows Server знают, что использование учетной записи администратора по умолчанию для выполнения повседневных задач — не очень хорошая идея. Вместо этого лучше создать отдельные учетные записи для каждого пользователя уровня администратора, а затем сделать эти учетные записи членами групп уровня администратора или уровня оператора для домена или на определенных серверах по мере необходимости, чтобы они могли выполнять задачи, которые им необходимы. выполнять на серверах.

Точно так же не стоит разрешать обычным пользователям входить на клиентские компьютеры Windows с учетной записью администратора по умолчанию. Причина, по которой это плохо, конечно, заключается в том, что если пользователь должен просматривать веб-страницы или проверять электронную почту, войдя в систему как администратор, и он загружает вирус или открывает вредоносное вложение, его система может быть скомпрометирована. И если злоумышленник получает привилегии администратора на компьютере, единственный способ убедиться, что проблема решена, — это стереть машину и переустановить все с нуля.

Администраторы Windows также знают, что лучше назначать разрешения группам, а не пользователям, если вы хотите контролировать степень доступа отдельных пользователей к определенным ресурсам в вашей среде. Другими словами, передовой опыт управления идентификацией и предоставления доступа к ресурсам в средах Microsoft Active Directory выглядит следующим образом:

  1. Создавайте разные группы для разных целей, например, полные администраторы, администраторы базы данных, операторы сервера, персонал службы поддержки, обычные пользователи, гостевые пользователи и т. д. Иногда для таких целей можно перепрофилировать существующую встроенную группу, но чаще вместо этого лучше создавать собственные группы.
  2. Назначьте соответствующие разрешения для каждой группы, чтобы предоставить членам группы доступ к различным сетевым ресурсам, таким как общие папки, сайты SharePoint, принтеры, сканеры, веб-приложения, веб-порталы и т. д.
  3. Сделайте пользователей членами соответствующих групп, чтобы предоставить пользователям уровень доступа к ресурсам, необходимый им для того, чтобы они могли выполнять назначенную им работу в организации. Вы также можете сделать учетные записи компьютеров членами соответствующих групп, чтобы контролировать поток ресурсов в вашей сети.

Как показано на диаграмме на рис. 1 ниже, AWS Identity and Access Management (IAM) функционирует аналогично тому, что было описано выше для Active Directory, за исключением того, что теперь мы говорим об управлении удостоверениями и доступом к ресурсам, которые находятся в облаке, а не в традиционной локальной среде Active Directory. Но IAM использует технологии Amazon AWS, поэтому, хотя в некоторых отношениях он похож на Active Directory, он работает по-другому и представляет собой другую технологию. Однако можно объединить вашу среду AWS со службами федерации Active Directory (AD FS), связав поставщиков языка разметки утверждений безопасности (SAML) с ролями IAM. Это может быть полезно для предприятий, которые хотят интегрировать свою локальную среду Active Directory с приложениями и службами, работающими в AWS, но это сложная тема, которую нам придется оставить для будущей статьи здесь, на InsideAWS.com. А пока давайте изучим основы IAM и узнаем, как использовать его, чтобы правильно начать работу с нашей средой уровня бесплатного использования AWS.

Рис. 1. Управление идентификацией и доступом к ресурсам AWS с помощью IAM.

Понимание IAM

Во-первых, вот некоторые виды задач, которые вы можете выполнять с помощью IAM:

  • Вы можете создавать пользователей и группы IAM и делать пользователей членами групп. Пользователь на языке IAM — это сущность, которая представляет либо человека, либо приложение или службу, работающую в облаке AWS. Другими словами, пользователь — это личность с учетными данными, которая представляет что-то, так что чему-то могут быть назначены разрешения, чтобы он мог что-то делать с AWS. Вы можете сравнить это с Active Directory, в которой есть учетные записи пользователей, учетные записи служб, учетные записи компьютеров и так далее.
  • Вы можете назначать долгосрочные учетные данные безопасности пользователям и группам. Эти учетные данные безопасности уникальны и включают следующие пароли, ключи доступа и пары ключей:
    • Пароль позволяет пользователю безопасно входить в AWS и получать доступ к Консоли управления AWS и другим ресурсам для выполнения задач, на выполнение которых у него есть разрешение.
    • Ключ доступа позволяет пользователю использовать интерфейсы прикладного программирования (API) AWS для отправки запросов на обслуживание.
    • Пара ключей и сертификат X.509 позволяют пользователю использовать API Amazon CloudFront для управления распространением контента.
  • Долгосрочные учетные данные безопасности могут быть назначены пользователям несколькими способами:
    • Через Консоль управления AWS
    • С интерфейсом командной строки AWS (CLI)
    • С помощью API-интерфейсов AWS
  • Долгосрочные учетные данные безопасности также могут быть отозваны, когда они больше не нужны.
  • Для повышения безопасности IAM также позволяет реализовать многофакторную аутентификацию (MFA). Это означает, например, что вы можете потребовать, чтобы пользователь, который входит в ресурс AWS, предоставил два типа учетных данных:
    • Их имя пользователя и пароль IAM
    • Токен, такой как смарт-карта, брелок или виртуальная смарт-карта
  • Вы также можете назначать пользователям временные учетные данные, создавая и назначая роли. Срок действия таких учетных данных истекает через заранее определенный период времени, и они полезны, например, когда вам нужно предоставить приложению временный доступ к облачным ресурсам.

Некоторые другие вещи, которые вам нужно знать об IAM, включают:

  • IAM защищен по умолчанию. Это означает, что когда вы создаете новую учетную запись AWS, изначально в вашей среде AWS нет пользователей IAM. И когда вы создаете новых пользователей, у них изначально нет доступа к каким-либо ресурсам в вашей среде AWS, пока вы явно не предоставите им разрешения, что обычно делается путем назначения разрешений группам, а затем добавления пользователей в соответствующие группы.
  • Вы должны создать пользователей IAM, если хотите выполнять в своей среде AWS любое из следующих действий:
    • Используйте интерфейс командной строки AWS
    • Использовать роли
    • Используйте федерацию с Active Directory, Google, Facebook или другой сторонней службой идентификации.
    • Использовать федерацию веб-удостоверений
  • Разрешения IAM назначаются с помощью политик. Чтобы предоставить пользователю разрешение, необходимое для доступа к ресурсу AWS и выполнения какой-либо задачи с ресурсом, вы прикрепляете политику к пользователю или, что предпочтительнее, прикрепляете политику к группе, а затем делаете пользователя членом этой группы. Политики IAM могут указывать любое или все из следующего:
    • Действие, которое может выполнить пользователь или группа.
    • Ресурсы, над которыми может быть выполнено действие.
    • Разрешить или запретить выполнение действия.
    • Любые дополнительные условия, которые должны быть соблюдены, чтобы политика вступила в силу.
  • Разрешения IAM обычно назначаются группам, чтобы предоставить пользователям, которые являются членами этих групп (независимо от того, являются ли пользователи реальными людьми или приложениями, службами, системами или чем-то еще, работающим в облаке) с определенным уровнем доступа к ресурсам AWS.. Вот некоторые типичные примеры пользователей IAM:
    • Привилегированные администраторы, которые управляют частью (или всей) вашей средой AWS и ее ресурсами.
    • Конечные пользователи, которым нужен доступ к вашим приложениям и службам, работающим в AWS.
    • Системы, которым необходимо использовать API-интерфейсы AWS, получают программный доступ к приложениям и службам, работающим в AWS.
  • Разрешения IAM могут быть очень детализированы в том, что они указывают. Это означает, например, что вы можете использовать IAM, чтобы предоставить определенному пользователю определенный уровень доступа к определенному экземпляру, работающему в облаке Amazon EC2. Но детализация также может быть проблемой, потому что вы не хотите назначать десятки разрешений пользователю только для того, чтобы он мог иметь некоторый общий уровень доступа к целому ряду различных приложений, работающих в различных сервисах AWS. Таким образом, чтобы сбалансировать возможности детализации, IAM также предоставляет шаблоны для назначения разрешений, как вы увидите в следующей статье этой серии.
  • Наконец, IAM является бесплатным, а это значит, что вы можете использовать его со всеми предложениями сервисов уровня бесплатного использования AWS, не опасаясь каких-либо затрат.

Вывод

Теперь, когда мы немного познакомились с основами IAM, в следующей статье этой серии мы рассмотрим этапы создания пользователей и групп и назначения разрешений с помощью политик.

  • Начало работы с AWS (часть 2)
  • Начало работы с AWS (часть 3)
  • Начало работы с AWS (часть 5)
  • Начало работы с AWS (часть 6)
  • Начало работы с AWS (часть 7)
  • Начало работы с AWS (часть 9)
  • Начало работы с AWS (часть 10)
  • Начало работы с AWS (часть 11)
  • Начало работы с AWS (часть 12)
  • Начало работы с AWS (часть 13)
  • Начало работы с AWS (часть 14)
Облачные вычисления

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Вопросы безопасности для облачных вычислений (часть 5) — быстрая эластичность
9 Марта, 2023
Использование Hyper-V для создания частного облака (часть 6)
9 Марта, 2023
Начало работы с VMware vCloud Director (часть 1)
9 Марта, 2023
Вопросы безопасности для облачных вычислений (часть 4) — объединение ресурсов
9 Марта, 2023
Сценарии развертывания облачной сетевой инфраструктуры Microsoft с Windows Server 8 (часть 1) — традиционный центр обработки данных
9 Марта, 2023
Вопросы безопасности для облачных вычислений (часть 3) — широкий доступ к сети
9 Марта, 2023
Использование Hyper-V для создания частного облака (часть 5)
9 Марта, 2023
System Center 2012 и управление облаком
9 Марта, 2023