AWS訪問管理功能,如何創(chuàng)建aws訪問密鑰AWS訪問管理功能本章涵蓋以下主題:身份和訪問管理:如果您的AWS體系結(jié)構(gòu)無法保護(hù)它,您的AWS體系結(jié)構(gòu)將何去何從?這將是一個非常非常糟糕的地方。IAM是AWS安全性的關(guān)鍵要素,本章的這一部分可確保您了解AWS中IAM的組件以及這些組件如何協(xié)同工作,以幫助保護(hù)您的環(huán)境。IAM的......
本章涵蓋以下主題:
身份和訪問管理:如果您的AWS體系結(jié)構(gòu)無法保護(hù)它,您的AWS體系結(jié)構(gòu)將何去何從?這將是一個非常非常糟糕的地方。IAM是AWS安全性的關(guān)鍵要素,本章的這一部分可確保您了解AWS中IAM的組件以及這些組件如何協(xié)同工作,以幫助保護(hù)您的環(huán)境。
IAM的最佳實踐:雖然AWS使IAM變得非常簡單,但您應(yīng)始終遵循公認(rèn)的最佳實踐。本章的這一部分為您提供了這些最佳實踐。
您需要您的用戶和工程師同事能夠根據(jù)AWS進(jìn)行身份驗證,然后嚴(yán)格定義他們的訪問權(quán)限。AWS身份和訪問管理(IAM)是履行這些職責(zé)的主要工具。在本章中,準(zhǔn)備深入了解IAM。
身份和訪問管理
當(dāng)涉及到訪問您的帳戶(根帳戶),然后在其中工作時,您需要AWS的身份和訪問管理(IAM)服務(wù)。IAM允許您向其他個人授予對服務(wù)進(jìn)行團隊管理的訪問權(quán)限。IAM允許非常精細(xì)的權(quán)限。例如,您可以只授予某人對S3中單個對象桶的讀取訪問權(quán)限。IAM的其他功能包括:
在AWS中從服務(wù)到服務(wù)的訪問:例如,您可以讓在EC2實例上運行的應(yīng)用程序訪問S3存儲桶。正如您將在本章后面了解到的那樣,我們經(jīng)常使用角色進(jìn)行此類訪問。
多重身份驗證(MFA):允許使用密碼和來自已批準(zhǔn)設(shè)備的代碼進(jìn)行訪問,從而大大增強了安全性。圖71顯示了IAM管理控制臺中MFA的配置區(qū)域。
身份聯(lián)盟:已使用其他服務(wù)進(jìn)行身份驗證的用戶可以臨時訪問您帳戶中的資源和服務(wù)。
用于保證的標(biāo)識信息:CloudTrail可以針對您帳戶中的每個服務(wù)和資源跟蹤和記錄所有SPI活動。圖72顯示了AWS中的CloudTrail儀表板。
PCI DSS合規(guī)性:IAM支持商家或服務(wù)提供商處理、存儲和傳輸信用卡數(shù)據(jù),并已驗證其符合支付卡行業(yè)(PCI)數(shù)據(jù)安全標(biāo)準(zhǔn)(DSS)。
集成:為了取得成功,IAM與AWS的所有主要服務(wù)集成。
最終一致:Amazon通過其全球基礎(chǔ)架構(gòu)在全球范圍內(nèi)復(fù)制重要數(shù)據(jù),以幫助確保高可用性(HA)。因此,某些位置的數(shù)據(jù)可能會使其他位置滯后。因此,使用IAM,請考慮先實現(xiàn)IAM的更改,然后在使用相關(guān)服務(wù)部署之前驗證完全復(fù)制。
始終免費:雖然AWS的某些服務(wù)可以免費使用一年(使用免費套餐賬戶),但I(xiàn)AM服務(wù)在您的帳戶生命周期內(nèi)仍然是免費的。
輔助功能選項:您可以通過多種方式訪問IAM的組件,包括AWS管理控制臺、AWS命令行工具、AWS sdk和IAM HTTPS API。
了解將在IAM中使用的主要標(biāo)識是非常重要的。請注意,IAM除了這些身份之外,還有更多的內(nèi)容,但在您的AWS教育中,此時我們將涵蓋主要的基本組件。
標(biāo)識包括以下內(nèi)容:
·AWS賬戶根用戶:這是您在注冊AWS時建立的帳戶;請注意,此帳戶的用戶名是用于注冊的電子郵件地址。
·用戶:這些是您在AWS中創(chuàng)建的實體,用于表示使用IAM用戶與AWS交互的人員或服務(wù)。創(chuàng)建IAM用戶時,可以通過使其成為附加了適當(dāng)權(quán)限策略(推薦)的組的成員或直接將策略附加到用戶來授予該用戶權(quán)限。您還可以克隆現(xiàn)有IAM用戶的權(quán)限,這將自動使新用戶成為同一組的成員,并附加所有相同的策略。圖73顯示了AWS中的用戶。
組:IAM用戶的集合。您可以使用組指定用戶集合的權(quán)限,這可以使這些權(quán)限更易于管理這些用戶。
角色:這些帳戶類似于用戶帳戶,但它們沒有與之關(guān)聯(lián)的任何憑據(jù)(密碼或訪問密鑰)。
使用IAM的最佳實踐
雖然AWS中的IAM提供了許多令人興奮的功能,但其復(fù)雜性可能會導(dǎo)致組織在使用服務(wù)時出現(xiàn)致命缺陷。這就是為什么遵循最佳做法至關(guān)重要的原因。
您應(yīng)該考慮遵循這些建議中的大多數(shù)(如果不是全部的話)。
·安全地存儲根用戶訪問密鑰:應(yīng)很少使用AWS實現(xiàn)的根用戶帳戶。說到這里,保護(hù)此帳戶的訪問密鑰ID和密鑰是非常重要的。您必須確保這些憑據(jù)在您自己的基礎(chǔ)結(jié)構(gòu)中得到保護(hù),并以最謹(jǐn)慎的態(tài)度對待它們。事實上,在高安全性環(huán)境中,請考慮不定義根帳戶的訪問密鑰。相反,在必須使用此帳戶的極少數(shù)時間中,請使用電子郵件地址、復(fù)雜密碼和物理多重身份驗證。
·創(chuàng)建單個IAM用戶:因為您不想在AWS實現(xiàn)中使用根帳戶,所以創(chuàng)建其他用戶帳戶至關(guān)重要。這將包括為您自己,以便您不需要使用根帳戶。在較大的組織中,您將有一個大型團隊在AWS上工作。您必須為員工創(chuàng)建多個帳戶,以確保每個人都在對每個成員執(zhí)行其工作所需的資源和權(quán)限進(jìn)行身份驗證和授權(quán)。對于每個需要管理訪問權(quán)限的人,您很可能在IAM中至少有一個帳戶。
·使用組將權(quán)限分配給IAM用戶:即使看起來很愚蠢,但如果您是AWS實現(xiàn)的唯一管理員,您也需要創(chuàng)建一個組并為此組分配權(quán)限。為什么?如果確實需要增長和雇用其他管理員,則只需將該用戶帳戶添加到您創(chuàng)建的組中即可。我們始終希望我們的AWS實現(xiàn)能夠擴展,使用組有助于確保這一點。還應(yīng)該注意的是,將權(quán)限應(yīng)用于組而不是單個用戶帳戶也將有助于消除分配錯誤,因為我們正在最大限度地減少必須授予的權(quán)限量。
·使用aws定義的權(quán)限策略:Amazon對我們非常友好。他們定義了大量我們在使用IAM時可以輕松利用的策略。此外,AWS在引入新服務(wù)和API操作時維護(hù)和更新這些策略。AWS為我們創(chuàng)建的策略是圍繞我們需要執(zhí)行的最常見任務(wù)定義的。這些構(gòu)成了你自己的政策的一個很好的起點。您可以復(fù)制給定的策略并對其進(jìn)行自定義,使其更加安全。通常情況下,您會發(fā)現(xiàn)默認(rèn)定義的策略在訪問權(quán)限方面過于寬泛。
·授予最少權(quán)限:為什么您最終會在AWS中擁有許多不同的帳戶?好吧,你總是想用為你要完成的任務(wù)提供最少特權(quán)的賬戶登錄。這樣,如果攻擊者確實設(shè)法捕獲您的安全憑據(jù),并開始作為您在AWS體系結(jié)構(gòu)中的角色,他們可能會造成有限的損害。例如,如果您只需要監(jiān)視AWS S3存儲桶中的文件,則可以使用僅對這些存儲桶具有讀取權(quán)限的帳戶。這肯定會限制攻擊者可能造成的傷害。
·查看IAM權(quán)限:當(dāng)涉及到IAM中的權(quán)限時,不應(yīng)使用“設(shè)置和忘記”策略。您應(yīng)該一致地查看分配的權(quán)限級別,以確保您遵循的是最小特權(quán)概念,并且您仍在向需要這些權(quán)限的組授予這些權(quán)限。在IAM中甚至有一個策略摘要選項來促進(jìn)這一點。
·始終為您的用戶配置強密碼策略:這是人性的一個可悲事實。您的用戶往往會懶得設(shè)置(和更改)他們的密碼。他們傾向于使用簡單的密碼,這些密碼很容易讓他們記住。不幸的是,這些簡單的密碼也很容易破解。通過設(shè)置用戶必須遵守的強密碼策略來幫助您的安全。圖74顯示了IAM管理控制臺中用戶帳戶密碼策略的配置。
為特權(quán)用戶帳戶啟用多重身份驗證:當(dāng)然,您對很少使用的AWS根帳戶執(zhí)行此操作,但也應(yīng)保護(hù)在AWS中創(chuàng)建的關(guān)鍵管理帳戶。使用多重身份驗證(MFA)可確保用戶了解某些內(nèi)容(如密碼),并擁有某些內(nèi)容(如智能手機)。在當(dāng)今大多數(shù)AWS環(huán)境中,MFA被認(rèn)為是強制性的。
使用角色:當(dāng)您在需要訪問其他服務(wù)或資源的EC2實例上運行應(yīng)用程序或服務(wù)時,應(yīng)考慮在AWS中使用角色。
使用角色委派權(quán)限:當(dāng)您需要允許一個AWS帳戶訪問另一個AWS帳戶中的資源時,角色也可能非常有價值。這是一個更安全的選項,為其他AWS帳戶提供您帳戶的用戶名和密碼信息。
不要共享訪問密鑰:獲取允許編程訪問服務(wù)或資源的訪問密鑰,并與需要相同訪問的另一個帳戶共享這些密鑰可能很有誘惑力。抵制這種誘惑。請記住,您始終可以創(chuàng)建包含所需訪問權(quán)限的角色。
旋轉(zhuǎn)憑據(jù):請務(wù)必定期在AWS中更改密碼和訪問密鑰。當(dāng)然,這樣做的原因是,如果這些憑據(jù)受到威脅,您將最大限度地減少在被盜憑據(jù)不再起作用時可以造成的損害!
刪除不必要的憑據(jù):因為在AWS中學(xué)習(xí)和測試新功能非常容易,因此,只要您將IAM組件放在不再需要的位置,它就會變得很混亂。一定要定期審核你的資源,發(fā)現(xiàn)任何不再需要的“糞便”。Aws甚至在這方面協(xié)助圍繞最近未使用的憑據(jù)構(gòu)建報告。
使用策略條件:始終考慮在安全策略中構(gòu)建條件。例如,訪問可能必須來自選定的IP地址范圍?;蛘呖赡苄枰狹FA?;蛘呖赡苡幸惶熘械臅r間或一周中的一天條件。
監(jiān)視、監(jiān)視、監(jiān)視:AWS服務(wù)提供了大量日志記錄的選項。以下是一些仔細(xì)的日志記錄和分析可以顯著提高安全性的服務(wù):
·CloudFront
·CloudTrail
·CloudWatch
·AWS Config
·S3
特別聲明:以上文章內(nèi)容僅代表作者本人觀點,不代表ESG跨境電商觀點或立場。如有關(guān)于作品內(nèi)容、版權(quán)或其它問題請于作品發(fā)表后的30日內(nèi)與ESG跨境電商聯(lián)系。
二維碼加載中...
使用微信掃一掃登錄
使用賬號密碼登錄
平臺顧問
微信掃一掃
馬上聯(lián)系在線顧問
小程序
ESG跨境小程序
手機入駐更便捷
返回頂部