AWS訪問管理功能,如何創(chuàng)建aws訪問密鑰-ESG跨境

AWS訪問管理功能,如何創(chuàng)建aws訪問密鑰

來源網(wǎng)絡(luò)
來源網(wǎng)絡(luò)
2022-05-31
點贊icon 0
查看icon 917

AWS訪問管理功能,如何創(chuàng)建aws訪問密鑰AWS訪問管理功能本章涵蓋以下主題:身份和訪問管理:如果您的AWS體系結(jié)構(gòu)無法保護(hù)它,您的AWS體系結(jié)構(gòu)將何去何從?這將是一個非常非常糟糕的地方。IAM是AWS安全性的關(guān)鍵要素,本章的這一部分可確保您了解AWS中IAM的組件以及這些組件如何協(xié)同工作,以幫助保護(hù)您的環(huán)境。IAM的......

AWS訪問管理功能,如何創(chuàng)建aws訪問密鑰




AWS訪問管理功能

本章涵蓋以下主題:

身份和訪問管理:如果您的AWS體系結(jié)構(gòu)無法保護(hù)它,您的AWS體系結(jié)構(gòu)將何去何從?這將是一個非常非常糟糕的地方。IAM是AWS安全性的關(guān)鍵要素,本章的這一部分可確保您了解AWS中IAM的組件以及這些組件如何協(xié)同工作,以幫助保護(hù)您的環(huán)境。

IAM的最佳實踐:雖然AWS使IAM變得非常簡單,但您應(yīng)始終遵循公認(rèn)的最佳實踐。本章的這一部分為您提供了這些最佳實踐。

您需要您的用戶和工程師同事能夠根據(jù)AWS進(jìn)行身份驗證,然后嚴(yán)格定義他們的訪問權(quán)限。AWS身份和訪問管理(IAM)是履行這些職責(zé)的主要工具。在本章中,準(zhǔn)備深入了解IAM。

身份和訪問管理

當(dāng)涉及到訪問您的帳戶(根帳戶),然后在其中工作時,您需要AWS的身份和訪問管理(IAM)服務(wù)。IAM允許您向其他個人授予對服務(wù)進(jìn)行團隊管理的訪問權(quán)限。IAM允許非常精細(xì)的權(quán)限。例如,您可以只授予某人對S3中單個對象桶的讀取訪問權(quán)限。IAM的其他功能包括:

在AWS中從服務(wù)到服務(wù)的訪問:例如,您可以讓在EC2實例上運行的應(yīng)用程序訪問S3存儲桶。正如您將在本章后面了解到的那樣,我們經(jīng)常使用角色進(jìn)行此類訪問。

多重身份驗證(MFA):允許使用密碼和來自已批準(zhǔn)設(shè)備的代碼進(jìn)行訪問,從而大大增強了安全性。圖71顯示了IAM管理控制臺中MFA的配置區(qū)域。

身份聯(lián)盟:已使用其他服務(wù)進(jìn)行身份驗證的用戶可以臨時訪問您帳戶中的資源和服務(wù)。

用于保證的標(biāo)識信息:CloudTrail可以針對您帳戶中的每個服務(wù)和資源跟蹤和記錄所有SPI活動。圖72顯示了AWS中的CloudTrail儀表板。

PCI DSS合規(guī)性:IAM支持商家或服務(wù)提供商處理、存儲和傳輸信用卡數(shù)據(jù),并已驗證其符合支付卡行業(yè)(PCI)數(shù)據(jù)安全標(biāo)準(zhǔn)(DSS)。

集成:為了取得成功,IAM與AWS的所有主要服務(wù)集成。

最終一致:Amazon通過其全球基礎(chǔ)架構(gòu)在全球范圍內(nèi)復(fù)制重要數(shù)據(jù),以幫助確保高可用性(HA)。因此,某些位置的數(shù)據(jù)可能會使其他位置滯后。因此,使用IAM,請考慮先實現(xiàn)IAM的更改,然后在使用相關(guān)服務(wù)部署之前驗證完全復(fù)制。

始終免費:雖然AWS的某些服務(wù)可以免費使用一年(使用免費套餐賬戶),但I(xiàn)AM服務(wù)在您的帳戶生命周期內(nèi)仍然是免費的。

輔助功能選項:您可以通過多種方式訪問IAM的組件,包括AWS管理控制臺、AWS命令行工具、AWS sdk和IAM HTTPS API。

了解將在IAM中使用的主要標(biāo)識是非常重要的。請注意,IAM除了這些身份之外,還有更多的內(nèi)容,但在您的AWS教育中,此時我們將涵蓋主要的基本組件。

標(biāo)識包括以下內(nèi)容:

·AWS賬戶根用戶:這是您在注冊AWS時建立的帳戶;請注意,此帳戶的用戶名是用于注冊的電子郵件地址。

·用戶:這些是您在AWS中創(chuàng)建的實體,用于表示使用IAM用戶與AWS交互的人員或服務(wù)。創(chuàng)建IAM用戶時,可以通過使其成為附加了適當(dāng)權(quán)限策略(推薦)的組的成員或直接將策略附加到用戶來授予該用戶權(quán)限。您還可以克隆現(xiàn)有IAM用戶的權(quán)限,這將自動使新用戶成為同一組的成員,并附加所有相同的策略。圖73顯示了AWS中的用戶。

組:IAM用戶的集合。您可以使用組指定用戶集合的權(quán)限,這可以使這些權(quán)限更易于管理這些用戶。

角色:這些帳戶類似于用戶帳戶,但它們沒有與之關(guān)聯(lián)的任何憑據(jù)(密碼或訪問密鑰)。

使用IAM的最佳實踐

雖然AWS中的IAM提供了許多令人興奮的功能,但其復(fù)雜性可能會導(dǎo)致組織在使用服務(wù)時出現(xiàn)致命缺陷。這就是為什么遵循最佳做法至關(guān)重要的原因。

您應(yīng)該考慮遵循這些建議中的大多數(shù)(如果不是全部的話)。

·安全地存儲根用戶訪問密鑰:應(yīng)很少使用AWS實現(xiàn)的根用戶帳戶。說到這里,保護(hù)此帳戶的訪問密鑰ID和密鑰是非常重要的。您必須確保這些憑據(jù)在您自己的基礎(chǔ)結(jié)構(gòu)中得到保護(hù),并以最謹(jǐn)慎的態(tài)度對待它們。事實上,在高安全性環(huán)境中,請考慮不定義根帳戶的訪問密鑰。相反,在必須使用此帳戶的極少數(shù)時間中,請使用電子郵件地址、復(fù)雜密碼和物理多重身份驗證。

·創(chuàng)建單個IAM用戶:因為您不想在AWS實現(xiàn)中使用根帳戶,所以創(chuàng)建其他用戶帳戶至關(guān)重要。這將包括為您自己,以便您不需要使用根帳戶。在較大的組織中,您將有一個大型團隊在AWS上工作。您必須為員工創(chuàng)建多個帳戶,以確保每個人都在對每個成員執(zhí)行其工作所需的資源和權(quán)限進(jìn)行身份驗證和授權(quán)。對于每個需要管理訪問權(quán)限的人,您很可能在IAM中至少有一個帳戶。

·使用組將權(quán)限分配給IAM用戶:即使看起來很愚蠢,但如果您是AWS實現(xiàn)的唯一管理員,您也需要創(chuàng)建一個組并為此組分配權(quán)限。為什么?如果確實需要增長和雇用其他管理員,則只需將該用戶帳戶添加到您創(chuàng)建的組中即可。我們始終希望我們的AWS實現(xiàn)能夠擴展,使用組有助于確保這一點。還應(yīng)該注意的是,將權(quán)限應(yīng)用于組而不是單個用戶帳戶也將有助于消除分配錯誤,因為我們正在最大限度地減少必須授予的權(quán)限量。

·使用aws定義的權(quán)限策略:Amazon對我們非常友好。他們定義了大量我們在使用IAM時可以輕松利用的策略。此外,AWS在引入新服務(wù)和API操作時維護(hù)和更新這些策略。AWS為我們創(chuàng)建的策略是圍繞我們需要執(zhí)行的最常見任務(wù)定義的。這些構(gòu)成了你自己的政策的一個很好的起點。您可以復(fù)制給定的策略并對其進(jìn)行自定義,使其更加安全。通常情況下,您會發(fā)現(xiàn)默認(rèn)定義的策略在訪問權(quán)限方面過于寬泛。

·授予最少權(quán)限:為什么您最終會在AWS中擁有許多不同的帳戶?好吧,你總是想用為你要完成的任務(wù)提供最少特權(quán)的賬戶登錄。這樣,如果攻擊者確實設(shè)法捕獲您的安全憑據(jù),并開始作為您在AWS體系結(jié)構(gòu)中的角色,他們可能會造成有限的損害。例如,如果您只需要監(jiān)視AWS S3存儲桶中的文件,則可以使用僅對這些存儲桶具有讀取權(quán)限的帳戶。這肯定會限制攻擊者可能造成的傷害。

·查看IAM權(quán)限:當(dāng)涉及到IAM中的權(quán)限時,不應(yīng)使用“設(shè)置和忘記”策略。您應(yīng)該一致地查看分配的權(quán)限級別,以確保您遵循的是最小特權(quán)概念,并且您仍在向需要這些權(quán)限的組授予這些權(quán)限。在IAM中甚至有一個策略摘要選項來促進(jìn)這一點。

·始終為您的用戶配置強密碼策略:這是人性的一個可悲事實。您的用戶往往會懶得設(shè)置(和更改)他們的密碼。他們傾向于使用簡單的密碼,這些密碼很容易讓他們記住。不幸的是,這些簡單的密碼也很容易破解。通過設(shè)置用戶必須遵守的強密碼策略來幫助您的安全。圖74顯示了IAM管理控制臺中用戶帳戶密碼策略的配置。

為特權(quán)用戶帳戶啟用多重身份驗證:當(dāng)然,您對很少使用的AWS根帳戶執(zhí)行此操作,但也應(yīng)保護(hù)在AWS中創(chuàng)建的關(guān)鍵管理帳戶。使用多重身份驗證(MFA)可確保用戶了解某些內(nèi)容(如密碼),并擁有某些內(nèi)容(如智能手機)。在當(dāng)今大多數(shù)AWS環(huán)境中,MFA被認(rèn)為是強制性的。

使用角色:當(dāng)您在需要訪問其他服務(wù)或資源的EC2實例上運行應(yīng)用程序或服務(wù)時,應(yīng)考慮在AWS中使用角色。

使用角色委派權(quán)限:當(dāng)您需要允許一個AWS帳戶訪問另一個AWS帳戶中的資源時,角色也可能非常有價值。這是一個更安全的選項,為其他AWS帳戶提供您帳戶的用戶名和密碼信息。

不要共享訪問密鑰:獲取允許編程訪問服務(wù)或資源的訪問密鑰,并與需要相同訪問的另一個帳戶共享這些密鑰可能很有誘惑力。抵制這種誘惑。請記住,您始終可以創(chuàng)建包含所需訪問權(quán)限的角色。

旋轉(zhuǎn)憑據(jù):請務(wù)必定期在AWS中更改密碼和訪問密鑰。當(dāng)然,這樣做的原因是,如果這些憑據(jù)受到威脅,您將最大限度地減少在被盜憑據(jù)不再起作用時可以造成的損害!

刪除不必要的憑據(jù):因為在AWS中學(xué)習(xí)和測試新功能非常容易,因此,只要您將IAM組件放在不再需要的位置,它就會變得很混亂。一定要定期審核你的資源,發(fā)現(xiàn)任何不再需要的“糞便”。Aws甚至在這方面協(xié)助圍繞最近未使用的憑據(jù)構(gòu)建報告。

使用策略條件:始終考慮在安全策略中構(gòu)建條件。例如,訪問可能必須來自選定的IP地址范圍?;蛘呖赡苄枰狹FA?;蛘呖赡苡幸惶熘械臅r間或一周中的一天條件。

監(jiān)視、監(jiān)視、監(jiān)視:AWS服務(wù)提供了大量日志記錄的選項。以下是一些仔細(xì)的日志記錄和分析可以顯著提高安全性的服務(wù):

·CloudFront

·CloudTrail

·CloudWatch

·AWS Config

·S3


文章推薦
Azure容器應(yīng)用測試的妙招推薦!,azure stack 用戶界面
Google AdWords廣告文字和鏈接網(wǎng)址的優(yōu)化,google play正在核對信息怎么解決
Amazon排名提升辦法及常見流量誤區(qū),amazon怎么看排名指標(biāo)
Flaregames前CEO談游戲發(fā)行協(xié)議可能要面對的問題處理


特別聲明:以上文章內(nèi)容僅代表作者本人觀點,不代表ESG跨境電商觀點或立場。如有關(guān)于作品內(nèi)容、版權(quán)或其它問題請于作品發(fā)表后的30日內(nèi)與ESG跨境電商聯(lián)系。

搜索 放大鏡
韓國平臺交流群
加入
韓國平臺交流群
掃碼進(jìn)群
歐洲多平臺交流群
加入
歐洲多平臺交流群
掃碼進(jìn)群
美國賣家交流群
加入
美國賣家交流群
掃碼進(jìn)群
ESG跨境專屬福利分享群
加入
ESG跨境專屬福利分享群
掃碼進(jìn)群
拉美電商交流群
加入
拉美電商交流群
掃碼進(jìn)群
亞馬遜跨境增長交流群
加入
亞馬遜跨境增長交流群
掃碼進(jìn)群
亞馬遜跨境增長交流群
加入
亞馬遜跨境增長交流群
掃碼進(jìn)群
拉美電商交流群
加入
拉美電商交流群
掃碼進(jìn)群
ESG獨家招商-PHH GROUP賣家交流群
加入
ESG獨家招商-PHH GROUP賣家交流群
掃碼進(jìn)群
《TikTok官方運營干貨合集》
《TikTok綜合運營手冊》
《TikTok短視頻運營手冊》
《TikTok直播運營手冊》
《TikTok全球趨勢報告》
《韓國節(jié)日營銷指南》
《開店大全-全球合集》
《開店大全-主流平臺篇》
《開店大全-東南亞篇》
《CD平臺自注冊指南》
通過ESG入駐平臺,您將解鎖
綠色通道,更高的入駐成功率
專業(yè)1v1客戶經(jīng)理服務(wù)
運營實操指導(dǎo)
運營提效資源福利
平臺官方專屬優(yōu)惠
聯(lián)系顧問

平臺顧問

平臺顧問 平臺顧問

微信掃一掃
馬上聯(lián)系在線顧問

icon icon

小程序

微信小程序

ESG跨境小程序
手機入駐更便捷

icon icon

返回頂部