Начало работы с AWS (часть 7)

- Начало работы с AWS (часть 2)
- Начало работы с AWS (часть 3)
- Начало работы с AWS (часть 4)
- Начало работы с AWS (часть 5)
- Начало работы с AWS (часть 6)
- Начало работы с AWS (часть 9)
- Начало работы с AWS (часть 10)
- Начало работы с AWS (часть 11)
- Начало работы с AWS (часть 12)
- Начало работы с AWS (часть 13)
- Начало работы с AWS (часть 14)
Введение
Давайте кратко подытожим то, что мы узнали до сих пор в этой серии статей. В части 1 мы описали уровень бесплатного использования Amazon Web Services (AWS) и то, как вы можете подписаться на него, чтобы иметь возможность тестировать AWS в течение 12 месяцев. Затем во второй части мы рассмотрели различные инструменты управления и разработки, предоставляемые Amazon для создания облачных ресурсов и управления ими в AWS. В части 3 мы описали некоторые шаги, которые вы можете использовать для защиты своей учетной записи AWS в случае взлома вашей учетной записи. В части 4 мы познакомились с AWS Identity and Access Management (IAM) — веб-сервисом, который позволяет создавать пользователей и управлять ими, а также назначать разрешения пользователей для облачной среды AWS. Затем в части 5 мы узнали о функциях консоли IAM и создали понятный псевдоним для идентификатора нашей учетной записи AWS, чтобы убедиться, что мы не сгенерировали никаких ключей доступа для нашей корневой учетной записи AWS. Затем в части 6 было продемонстрировано, как можно создать нового пользователя с правами администратора, чтобы можно было использовать этого пользователя вместо корневой учетной записи для управления средой AWS. В этой статье рассматривается, как реализовать многофакторную аутентификацию (MFA) для добавления дополнительного уровня защиты вашей корневой учетной записи AWS и учетным записям пользователей IAM. Мы также рассмотрим преимущества и недостатки использования MFA для защиты учетных записей AWS, особенно вашей корневой учетной записи.
Общие сведения о многофакторной аутентификации AWS
Давайте начнем с входа в консоль AWS в нашей среде уровня бесплатного пользования AWS, используя нового пользователя IAM уровня администратора с именем Bob_Smith, которого мы создали ранее в части 6 этой серии. Для этого мы запускаем наш веб-браузер и открываем следующий URL:
где <псевдоним> — понятное имя, которое мы создали для нашей учетной записи AWS в части 5 этой серии. Если вы помните, мы создали псевдоним, чтобы нам не приходилось запоминать 12-значный идентификатор учетной записи, когда нам нужно войти в консоль AWS. Откройте указанный выше URL-адрес и введите учетные данные Боба в диалоговое окно входа следующим образом:
Рис. 1. Вход в консоль AWS.
Это приведет вас к странице панели инструментов для вашей учетной записи AWS, которая на данном этапе нашей серии должна выглядеть примерно так:
Рис. 2. Страница панели управления учетной записи AWS.
Кончик:
Если вместо этого вы попали на домашнюю страницу консоли AWS, щелкните значок «Управление учетными данными и доступом» в разделе «Администрирование и безопасность» на главной странице консоли.
Однако, прежде чем мы перейдем к разговору о MFA, позвольте мне сначала отметить, что могут быть небольшие различия между тем, что вы видите на своей собственной странице Dashboard, и тем, что показано на рис. 2 выше. Например, между написанием части 6 и части 7 этой серии Amazon изменила название страницы «Политика паролей» на «Настройки учетной записи». Это то, к чему вы, вероятно, уже привыкли, если вы использовали облачные сервисы любого поставщика услуг, будь то Amazon, Microsoft или Google: а именно, что поставщик всегда вносит изменения в пользовательский интерфейс своих консолей администрирования. Иногда изменения носят инкрементальный характер, например изменение имени страницы, вкладки или настройки. В других случаях изменения могут быть немного шокирующими, например, когда они полностью изменяют внешний вид того, как работает их консоль администратора. Что ответить на это? Привыкайте к этому. Если вы хотите использовать облачные сервисы для своей организации, ожидайте постоянных изменений в той или иной форме. Но еще одна вещь, на которую следует обратить внимание, является более важной, как мы увидим далее.
Теперь вернемся к теме МИД. Обратите внимание на рис. 2: страница Dashboard информирует нас о том, что нам нужно выполнить еще одну последнюю задачу безопасности, прежде чем мы закончим настройку нашей новой среды AWS. Задача, которую еще предстоит выполнить, — активировать MFA в нашей корневой учетной записи (учетной записи Amazon, которую вы использовали для первой регистрации на уровне бесплатного пользования AWS). MFA — это функция AWS, которая позволяет вам добавить дополнительный уровень защиты, чтобы помочь обеспечить безопасность вашей корневой учетной записи AWS или учетной записи пользователя IAM, требуя, чтобы пользователь учетной записи вводил уникальный код аутентификации, генерируемый устройством аутентификации каждый раз. время, когда вы пытаетесь получить доступ к консоли AWS. Аналогичным образом MFA также можно использовать в качестве дополнительного уровня защиты для приложений и сервисов, пытающихся получить доступ к API сервисов AWS, требуя, чтобы приложение указывало аналогичный уникальный код аутентификации, снова генерируемый устройством аутентификации, каждый раз, когда приложение или служба пытается получить доступ к сервисному API AWS. Однако в оставшейся части этой статьи мы сосредоточимся на том, как можно использовать MFA для защиты вашей корневой учетной записи AWS и любых учетных записей пользователей IAM в вашей среде.
Типы устройств МФА
Существует два основных типа устройств, которые можно использовать для создания уникального кода аутентификации, необходимого для реализации MFA в среде AWS:
- Физические (или аппаратные) устройства MFA. К ним относятся брелоки и аналогичные аппаратные устройства, которые пользователь может носить с собой и использовать для создания кода аутентификации, который потребуется в дополнение к паролю для входа в консоль AWS. Amazon AWS в настоящее время поддерживает два физических устройства MFA производства голландской компании Gemalto, которая предоставляет решения для идентификации и доступа для государственных учреждений, финансовых услуг и других отраслей, где цифровая безопасность имеет первостепенное значение.
- Виртуальные устройства MFA — это специальные приложения, которые вы можете установить на свой компьютер, планшет или смартфон, а затем использовать для генерации необходимого кода аутентификации. Поддерживаемые виртуальные приложения MFA зависят от используемой вами платформы. Например, вы можете использовать Google Authenticator, если у вас есть iPhone, устройство Android или Blackberry. Дополнительную информацию о поддерживаемых виртуальных приложениях MFA можно найти здесь.
Использование устройства МФА
На рис. 3 показано одно из устройств Gemalto MFA, предназначенное для использования только с AWS. Вы можете приобрести это устройство через интернет-магазин Gemalto для пользователей AWS. Устройства не дорогие, а выполнение осуществляется Amazon.
Давайте рассмотрим одно из этих устройств, 6-значный токен Ezio на основе времени для использования только с веб-сервисами Amazon. По сути, это устройство представляет собой жетон, который очень похож на брелок для автомобиля. Как показано на веб-сайте Gemalto, устройство имеет кнопку с одной стороны и ЖК-дисплей, на котором отображаются шесть цифр:
Рис. 3. 6-значный токен Ezio на основе времени для использования с Amazon Web Services только от Gemalto
Это устройство работает следующим образом: вы нажимаете кнопку, и оно генерирует уникальную 6-значную аутентификацию для входа в AWS с использованием вашей учетной записи пользователя с поддержкой MFA. Сгенерированный код аутентификации можно использовать только один раз (это называется одноразовым кодом доступа или OTP) и он действителен только в течение 30 секунд. После того как вы включили устройство, чтобы внедрить MFA либо для вашей корневой учетной записи AWS, либо для используемой вами учетной записи пользователя IAM, вход в консоль AWS изменится с простого ввода ваших учетных данных (имя пользователя и пароль) на это:
- Введите свое имя пользователя и пароль на странице входа в AWS.
- Нажмите кнопку на устройстве MFA, чтобы сгенерировать новый 6-значный код аутентификации.
- Установите флажок «У меня есть токен MFA» и введите код аутентификации в текстовое поле «Код MFA», затем нажмите «Войти»:
Рис. 4. Вход в систему с помощью устройства MFA.
Обратите внимание, что у вас есть только 30 секунд, чтобы использовать код аутентификации, сгенерированный вашим устройством MFA. Кроме того, если вы допустили ошибку при вводе кода в приведенном выше диалоговом окне, вам нужно будет снова нажать кнопку, чтобы сгенерировать новый код.
Включение устройства MFA для учетной записи пользователя
Как AWS узнает, что код аутентификации, созданный вашим устройством MFA, является правильным для вашей учетной записи пользователя? Ответ заключается в том, что вам сначала нужно включить устройство для пользователя, для которого вы хотите включить MFA в вашей среде AWS. Например, предположим, что мы хотим включить наше устройство MFA для пользователя Bob_Smith в нашей среде AWS. Для этого мы нажимаем «Управление идентификацией и доступом» в консоли AWS, а затем выбираем страницу «Пользователи»:
Рисунок 5: Шаг 1 включения устройства MFA для учетной записи пользователя.
Затем щелкните имя пользователя (здесь Bob_Smith), для которого вы хотите разрешить использование устройства MFA. На странице со свойствами пользователя прокрутите вниз до раздела «Учетные данные безопасности»:
Рис. 6. Шаг 2 включения устройства MFA для учетной записи пользователя.
В показанном выше разделе «Учетные данные безопасности» нажмите «Управление устройством MFA», чтобы открыть диалоговое окно «Управление устройством MFA».
Рис. 7. Шаг 3 включения устройства MFA для учетной записи пользователя.
На показанной выше странице «Управление устройством MFA» выберите тип устройства MFA, который будет использовать пользователь, а затем нажмите «Следующий шаг».
Рис. 8. Шаг 4 включения устройства MFA для учетной записи пользователя.
На показанной выше странице «Управление устройством MFA» введите серийный номер вашего устройства (здесь мы предполагаем, что пользователь будет использовать физическое или аппаратное устройство MFA). Для используемого здесь устройства Gemalto серийный номер можно найти на задней панели устройства:
Рис. 9. Обратная сторона 6-значного токена Ezio на основе времени для использования только с Amazon Web Services от Gemalto
Теперь нажмите кнопку на устройстве и введите код аутентификации, сгенерированный в текстовое поле Код аутентификации 1, показанное на рисунке 8. Нажмите кнопку еще раз и введите второй код аутентификации, сгенерированный в текстовом поле Код аутентификации 2 на рисунке. Затем, чтобы завершить процесс, нажмите «Следующий шаг», а затем «Связать MFA». Если вы допустили ошибку при вводе серийного номера вашего устройства, появится сообщение об ошибке, говорящее о том, что указанное вами устройство не существует, поэтому вводите все внимательно.
Стоит ли использовать MFA для своей учетной записи root?
Устройства MFA, такие как Gemalto, показанное выше, могут очень помочь в защите вашей учетной записи AWS от злоупотреблений. Во многих средах, таких как финансовый сектор, правительства или военные, двухфакторная аутентификация де-факто является требованием для обеспечения безопасности при доступе к конфиденциальным сайтам и другим ресурсам корпоративной сети. Но стоит ли включать устройство MFA для вашей корневой учетной записи AWS?
На странице Dashboard IAM, показанной ранее на рис. 2, ясно показано, что активация MFA в вашей учетной записи root — это один из основных шагов безопасности, которые вы должны выполнить при первоначальной настройке среды AWS. Но включение MFA для вашей учетной записи root может привести к проблемам. Если вы перейдете на страницу Amazon, где указано устройство Gemalto, и прочитаете отзывы клиентов, вы увидите, что несколько обозревателей жаловались на то, что после определенного периода времени их устройство перестало работать. Это могло быть вызвано неправильным использованием со стороны пользователя, но независимо от причины, эффект на пользователя был, по меньшей мере, раздражающим, поскольку он не позволял им войти в AWS, используя свою корневую учетную запись. В результате пользователю пришлось обратиться в службу поддержки клиентов AWS и попросить их деактивировать устройство MFA, чтобы пользователь мог снова войти в AWS без использования устройства. Из того, что я читал, это может быть утомительным процессом, когда пользователю может потребоваться отправить по факсу документы, подтверждающие личность, в Amazon, чтобы убедить их в том, кто они такие.
Теперь, если вы настроили хотя бы одну дополнительную учетную запись уровня администратора в IAM, вы по-прежнему можете выполнять любые задачи, которые могут потребоваться администратору в вашей среде AWS. Однако по умолчанию вы не можете получить доступ к разделу Billing & Cost Management консоли AWS, доступ к которому может получить ваша учетная запись root, щелкнув имя пользователя в правой части верхней строки меню. Таким образом, другими словами, блокировка возможности входа в систему с вашей учетной записью root может иметь большое значение, когда устройство MFA, назначенное этой учетной записи, выходит из строя. Однако вы можете настроить доступ пользователей IAM к платежной информации, чтобы специально назначенные пользователи IAM (например, альтернативная учетная запись уровня администратора) могли получить доступ к вашей платежной информации. Это может быть полезной мерой предосторожности на случай, если устройство MFA, связанное с вашей учетной записью root, выйдет из строя, но если вы настроите эту функцию, вам также следует убедиться, что пользователь IAM, которому вы предоставляете этот доступ, также имеет устройство MFA, связанное с его учетной записью. для дополнительной безопасности.
Чтобы настроить доступ пользователя IAM к платежной информации, войдите в AWS, используя свою учетную запись root, откройте IAM, затем нажмите «Настройки учетной записи» и прокрутите вниз, пока не увидите раздел «Доступ пользователя IAM к платежной информации»:
Рис. 10: Шаг 1 настройки доступа пользователя IAM к платежной информации.
Щелкните элемент «Изменить» в правом верхнем углу рисунка выше, чтобы отобразить дополнительную информацию:
Рис. 11. Шаг 2 настройки доступа пользователя IAM к платежной информации.
Установите флажок «Активировать доступ к IAM» и нажмите «Обновить». Затем вы можете использовать политики IAM для назначения необходимых разрешений пользователям, которым вы хотите разрешить доступ к вашей платежной информации. Мы рассмотрим политики IAM более подробно в следующей статье этой серии.
Конечно, если все ваши устройства MFA выходят из строя как для вашей корневой учетной записи, так и для любых пользователей IAM, которым вы разрешили доступ к своей платежной информации, у вас возникла проблема. Если вы хотите избежать хлопот, связанных со службой поддержки клиентов AWS в случае возникновения такого инцидента, вы можете просто использовать очень длинную и сложную фразу-пароль в качестве пароля для своей учетной записи root и не назначать этому устройству MFA учетная запись.
- Начало работы с AWS (часть 2)
- Начало работы с AWS (часть 3)
- Начало работы с AWS (часть 4)
- Начало работы с AWS (часть 5)
- Начало работы с AWS (часть 6)
- Начало работы с AWS (часть 9)
- Начало работы с AWS (часть 10)
- Начало работы с AWS (часть 11)
- Начало работы с AWS (часть 12)
- Начало работы с AWS (часть 13)
- Начало работы с AWS (часть 14)