Возьмите под свой контроль: как настроить и использовать бесплатный сервис Amazon IAM

Опубликовано: 4 Марта, 2023
Возьмите под свой контроль: как настроить и использовать бесплатный сервис Amazon IAM

Amazon Web Services имеет встроенный сервис, который контролирует доступ к ресурсам AWS. Эта служба, называемая IAM (управление идентификацией и доступом), позволяет администраторам контролировать, кто, что и где любой конкретный пользователь может выполнять действие в ресурсе.

В следующем списке перечислены все ключевые функции, доступные при использовании IAM в вашей среде AWS.

  • Общий доступ: с помощью IAM мы можем делегировать разрешение другому лицу на управление ресурсами AWS без совместного использования паролей или ключей доступа.
  • Гибкое разрешение: мы можем назначать разрешения определенным ресурсам, и мы можем воспользоваться такой гибкостью и давать разрешения определенным ресурсам в службе. (Например, сегмент в S3 или экземпляр EC2.)
  • Инстансы EC2 могут использовать роли IAM для доступа к другим ресурсам AWS (например, корзинам S3) без совместного использования имени пользователя и/или пароля, что повышает безопасность.
  • MFA (многофакторная аутентификация): всех пользователей IAM можно настроить на использование второго фактора аутентификации для повышения безопасности доступа к консоли AWS.
  • Мы можем использовать другой каталог для аутентификации. Хорошим примером этого является использование Active Directory для аутентификации вместо создания пользователей в IAM.
  • Интегрируется с AWS CloudTrail, где все изменения, внесенные в вашу среду AWS, можно отслеживать в целях аудита, безопасности и регулирования. Вся информация основана на идентификаторах IAM.
  • Несколько сервисов AWS используют преимущества IAM, поэтому использование этого сервиса помогает централизовать и стандартизировать безопасность вашего облака AWS в единообразном и простом в использовании сервисе.
  • И последнее, но не менее важное: это бесплатно! Эта услуга не требует затрат.

IAM — ключевой сервис облака AWS, и его нельзя описать в одной статье. В этой статье мы сосредоточимся на основных настройках управления IAM. В будущих статьях здесь, в TechGenix, мы будем работать над расширенными функциями.

Веб-консоль службы IAM

Все настроим с помощью веб-консоли IAM-сервиса. Войдите в консоль AWS, нажмите «Службы», а затем «IAM» (в разделе «Управление идентификацией и доступом»).

На начальной странице слева перечислены все параметры, которые мы рассмотрим в этой статье, а на главной странице у нас будет ссылка для входа, сводка всех используемых ресурсов IAM и состояние безопасности службы.

По умолчанию первая учетная запись, которая используется при подготовке нового клиента в AWS, — это адрес электронной почты. Это корневая учетная запись, которая имеет доступ ко всей платформе. Рекомендации по обеспечению безопасности рекомендуют включить MFA для этой учетной записи и использовать надежный пароль. Избегайте использования этой учетной записи: эту учетную запись следует использовать для создания новых учетных записей, но не ежедневно.

Настройка доступа к консоли AWS

Первый шаг легко выполнить: используйте удобный URL-адрес для доступа к порталу. Мы собираемся сообщить этот URL-адрес нашим администраторам AWS, чтобы упростить запоминание адреса консоли. Нажмите «Настроить» и в новом диалоговом окне введите псевдоним учетной записи, который будет использоваться для создания нового URL-адреса для консоли AWS. Нажмите «Да, создать», когда закончите, и проверьте изменения в URL-адресе.

При использовании нового URL-адреса поле идентификатора учетной записи или псевдонима будет автоматически заполнено псевдонимом, созданным на предыдущем шаге. Нам просто нужно ввести пользователя IAM и пароль. (На данный момент у нас ничего не настроено.)

Управление пользователями IAM

Первый шаг — создать пару пользователей. Нажмите на «Пользователи», а затем на кнопку «Добавить пользователя». Отобразится новый мастер.

: нам нужно определить одно или несколько имен пользователей, которые мы собираемся создать (мы будем использовать пару людей из вселенной Лиги справедливости, чтобы заполнить наших пользователей AIM). Во втором разделе той же страницы, который помечен как , мы выберем доступ к AWS Management Console и оставим настройки по умолчанию. После этого нажмите Далее: Разрешения.

Примечание. AWS также предлагает программный доступ, который позволяет приложениям использовать две части информации: и для доступа к CLI, SDK и API. Если пользователю не требуется этот тип доступа, этого доступа следует избегать по соображениям безопасности.

. Администратор может назначить всех пользователей, созданных в этом мастере, группе, скопировать разрешения от существующего пользователя или напрямую назначить существующие политики. Поскольку мы создаем не только пользователя, на следующем шаге мы выполним эти действия вручную. А пока нажмите «Далее: обзор».

: будет отображаться сводка всех настроек, которые мы определили до сих пор. Нажмите «Создать».

страницу: мы увидим всех созданных пользователей. Мы можем показать их временные пароли, а также можем отправить инструкции по входу новым пользователям по электронной почте.

Управление IAM-группами

Рекомендуется использовать группы для делегирования разрешений по нескольким причинам. Одним из самых важных является соблюдение последовательности. Когда у нас есть все разрешения, применяемые к группе, и когда пользователь добавляется или удаляется из организации, наша работа заключается только в добавлении/удалении нужного пользователя из группы.

Чтобы создать группу в IAM, нажмите «Группы».
Нажмите «Новая группа», и появится мастер. Первым шагом является определение имени группы. Мы определим как имя группы, и эта группа будет отвечать за управление экземплярами EC2.

. Политика подключения — это определение того, какие ресурсы и какой тип доступа могут быть назначены (в данном случае группе). В нашем примере мы присоединяем политику AmazonEC2FullAccess к этой группе. Щелкните Следующий шаг.

страницы. Будет показана сводка, содержащая имя группы и связанные с ней политики. Нажмите «Создать группу», чтобы завершить процесс.

После создания группы нам нужно назначить в нее пользователей. Есть несколько способов выполнить эту задачу. В области «Группы» щелкните нужную группу, а затем перейдите на вкладку «Пользователи». Мы видим кнопку «Добавить пользователей в группу». В приведенном ниже примере мы можем убедиться, что мы уже добавили в эту группу.

Тестирование группового делегирования

После создания группы и делегирования доступа наш следующий шаг — войти в отдельный браузер с пользователем, который является частью EC2Admins, и попытаться предоставить новый экземпляр. Во время процесса мы не должны получать никаких ошибок, и процесс завершится успешно.

Если пользователи попытаются использовать другую службу, для которой у них нет политики, назначенной им или группам, к которым они принадлежат, будет отображена ошибка. В приведенном ниже примере пользователь batman пытается создать корзину S3, и, как мы видим, доступа к сервису Amazon S3 нет.

Если пользователь пытается создать базу данных RDS, сообщение об ошибке будет более информативным, но основная причина та же. У текущего пользователя нет прав на управление сервисами AWS, к которым он пытается получить доступ.

Удаление IAM-объектов

Частью процесса управления IAM является удаление объектов. Такими объектами могут быть: пользователи, группы, политики и роли.

Сам процесс не сложный. Просто перейдите к элементу конфигурации, которым вы хотите управлять, и кнопка удаления будет доступна.

Одна из интересных функций заключается в том, что консоль IAM предоставляет дополнительную информацию вместо обычного диалогового окна, которое просто просит вас подтвердить удаление.

В приведенном ниже примере мы пытаемся удалить пользователя . IAM показывает его последнюю активность, и поскольку это произошло несколько часов назад, нам нужно установить флажок, чтобы подтвердить удаление учетной записи.

Мы прошли процесс управления основными объектами в IAM, включая пользователей и группы. В области группы мы смогли связать существующие политики с группой, чтобы применить определенные разрешения к ресурсам облака AWS.

Используя эту функцию, мы можем применить принцип наименьших привилегий, при котором должны применяться только необходимые разрешения для выполнения задач любой данной роли/пользователя.

Облачные вычисления

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Вопросы безопасности для облачных вычислений (часть 5) — быстрая эластичность
9 Марта, 2023
Использование Hyper-V для создания частного облака (часть 6)
9 Марта, 2023
Начало работы с VMware vCloud Director (часть 1)
9 Марта, 2023
Вопросы безопасности для облачных вычислений (часть 4) — объединение ресурсов
9 Марта, 2023
Сценарии развертывания облачной сетевой инфраструктуры Microsoft с Windows Server 8 (часть 1) — традиционный центр обработки данных
9 Марта, 2023
Вопросы безопасности для облачных вычислений (часть 3) — широкий доступ к сети
9 Марта, 2023
Использование Hyper-V для создания частного облака (часть 5)
9 Марта, 2023
System Center 2012 и управление облаком
9 Марта, 2023