AWS访问管理功能

小提示：您能找到这篇{AWS访问管理功能}绝对不是偶然，我们能帮您找到潜在客户，解决您的困扰。如果您对本页介绍的AWS访问管理功能内容感兴趣，有相关需求意向欢迎拨打我们的服务热线，或留言咨询，我们将第一时间联系您！

< ">本章涵盖以下主题：

< ">身份和访问管理：如果您的AWS体系结构无法保护它，您的AWS体系结构将何去何从？这将是一个非常非常糟糕的地方。IAM是AWS安全性的关键要素，本章的这一部分可确保您了解AWS中IAM的组件以及这些组件如何协同工作，以帮助保护您的环境。

< ">IAM的最三鹿奶粉的公关危机的处理佳实践：虽然AWS使IAM变得非常简单，但您应始终遵循公认的最佳实践。本章的这一部分为您提供了这些最佳实践。

< ">您需要您的用户和工程师同事能够根据AWS进行身份验证，然后严格定义他们的访问权限。AWS身份和访问管理(IAM)是履行这些职责的主要工具。在本章中，准备深入了解IAM。

< ">身份和访问管理

< ">当涉及到访问您的帐户（根帐户），然后在其中工作时,您需要AWS的身份和访问管理(IAM)服务。IAM允许您向其他个人授予对服务进行团队管理的访问权限。IAM允许非常精细的权限。例如，您可以只授予某人对S3中单个对象桶的读取访问权限。IAM的其他功能包括:

< ">在AWS中从服务到服务的访问：例如,您可以让在EC2实例上运行的应用程序访问S3存储桶。正如您将在本章后面了解到的那样，我们经常使用角色进行此类访问。

< ">多重身份验证(MFA)：允许使用密码和来自已批准设备的代码进行访问，从而大大增强了安全性。图7-1显示了IAM管理控制台中MFA的配置区域。

< ">身份联盟：已使用其他服务进行身份验证的用户可以临时访问您帐户中的资源和服务。

< ">用于保证的标识信息：CloudTrail可以针对您帐户中的每个服务和资源跟踪和记录所有SPI活动。图7-2显示了AWS中的CloudTrail仪表板。

< ">PCI DSS合规性：IAM支持商家或服务提供商处理、存储品牌企业危机公关处理和传输信用卡数据，并已验证其符合支付卡行业(PCI)数据安全标准(DSS)。

< ">集成:为了取得成功，IAM与AWS的所有主要服务集成。

< ">最终一致：Amazon通过其全球基础架构在全球范围内复制重要数据，以帮助确保高可用性(HA)。因此，某些位置的数据可能会使其他位置滞后。因此，使用IAM，请考虑先实现IAM的更改，然后在使用相关服务部署之前验证完全复制。

< ">始终免费：虽然AWS的某些服务可以免费使用一年(使用免费套餐账户)，但IAM服务在您的帐户生命周期内仍然是免费的。

< ">辅助功能选项：您可以通过多种方式访问IAM的组件,包括AWS管理控制台、AWS命令行工具、AWS sdk和IAM HTTPS API。

< ">了解将在IAM中使用的主要标识是非常重要的。请注意，IAM除了这些身份之外，还有更多的内容，但在您的AWS教育中，此时我们将涵盖主要的基本组件。

< ">标识包括以下内容：

< ">AWS账户根用户：这是您在注册AWS时建立的帐户；请注意，此帐户的用户名是用于注册的电子邮件地址。

< ">用户：这些是您在AWS中创建的实体，用于表示使用IAM用户与AWS交互的人员或服务。创建IAM用户时，可以通过使其成为附加了适当权限策略(推荐)的组的成员或直接将策略附加到用户来授予该用户权限。您还可以克隆现有IAM用户的权限，这将自动使新用户成为同一组的成员，并附加所有相同的策略。图7-3显示了AWS中的用户。

< ">组:IAM用户的集合。您可以使用组指定用户集合的权限，这可以使这些权限更易于管理这些用户。

< ">角色:这些帐户类似于用户帐户，但它们没有与之关联的任何凭据(密码或访问密钥)。

< ">使用IAM的最佳实践

< ">虽然AWS中的IAM提供了许多令人兴奋的功能，但其复杂性可能会导致组织在使用服务时出现致命缺陷。这就是为什么遵循最佳做法至关重要的原因。

< ">您应该考虑遵循这些建议中的大多数(如果不是全部的话)。

< ">安全地存储根用户访问密钥：应很少使用AWS实现的根用户帐户。说到这里，保护此帐户的访问密钥ID和密钥是非常重要的。您必须确保这些凭据在您自己的基础结构中得到保护，并以最谨慎的态度对待它们。事实上，在高安全性环境中，请考虑不定义根帐户的访问密钥。相反,在必须使用此帐户的极少数时间中，请使用电子邮件地址、复杂密码和物理多重身份验证。

< ">创建单个IAM用户：因为您不想在AWS实现中使用根帐户，所以创建其他用户帐户至关重要。这将包括为您自己，以便您不需要使用根帐户。在较大的组织中，您将有一个大型团队在AWS上工作。您必须为员工创建多个帐户，以确保每个人都在对每个成员执行其工作所需的资源和权限进行身份验证和授权。对于每个需要管理访问权限的人，您很可能在IAM中至少有一个帐户。

< ">使用组将权限分配给IAM用户：即使看起来很愚蠢，但如果您是AWS实现的唯一管理员，您也需要创建一个组并为此组分配权限。为什么？如果确实需要增长和雇用其他管理员，则只需将该用户帐户添加到您创建的组中即可。我们始终希望我们的AWS实现能够扩展，使用组有助于确保这一点。还应该注意的是，将权限应用于组而不是单个用户帐户也将有助于消除分配错误，因为我们正在最大限度地减少必须授予的权限量。

< ">使用aws定义的权限策略：Amazon对我们非常友好。他们定义了大量我们在使用IAM时可以轻松利用的策略。此外，AWS在引入新服务和API操作时维护和更新这些策略。AWS为我们创建的策略是围绕我们需要执行的最常见任务定义的。这些构成了你自己的政策的一个很好的起点。您可以复制给定的策略并对其进行自定义，使其更加安全。通常情况下，您会发现默认定义的策略在访问权限方面过于宽泛。

< ">授予最少权限：为什么您最终会在AWS中拥有许多不同的帐户？好吧，你总是想用为你要完成的任务提供最少特权的账户登录。这样，如果攻击者确实设法捕获您的安全凭据，并开始作为您在AWS体系结构中的角色，他们可能会造成有限的损害。例如，如果您只需要监视AWS S3存储桶中的文件，则可以使用仅对这些存储桶具有读取权限的帐户。这肯定会限制攻击者可能造成的伤害。

< ">查看IAM权限：当涉及到IAM中的权限时，不应使用“设置和忘记”策略。您应该一致地查看分配的权限级别，以确保您遵循的是最小特权概念，并且您仍在向需要这些权限的组授予这些权限。在IAM中甚至有一个策略摘要选项来促进这一点。

< ">始终为您的用户配置强密码策略：这是人性的一个可悲事实。您的用户往往会懒得设置(和更改)他们的密码。他们倾向于使用简单的密码，这些密码很容易让他们记住。不幸的是，这些简单的密码也很容易破解。通过设置用户必须遵守的强密码策略来帮助您的安全。图7-4显示了IAM管理控制台中用户帐户密码策略的配置。

< ">为特权用户帐户启用多重身份验证：当然，您对很少使用的AWS根帐户执行此操作，但也应保护在AWS中创建的关键管理帐户。使用多重身份验证(MFA)可确保用户了解某些内容（如密码），并拥有某些内容(如智能手机)。在当今大多数AWS环境中，MFA被认为是强制性的。

< ">使用角色：当您在需要访问其他服务或资源的EC2实例上运行应用程序或服务时，应考虑在AWS中使用角色。

< ">使用角色委派权限:当您需要允许一个AWS帐户访问另一个AWS帐户中的资源时，角色也可能非常有价值。这是一个更安全的选项，为其他AWS帐户提供您帐户的用户名和密码信息。

< ">不要共享访问密钥：获取允许编程访问服务或资源的访问密钥，并与需要相同访问的另一个帐户共享这些密钥可能很有诱惑力。抵制这种诱惑。请记住，您始终可以创建包含所需访问权限的角色。

< ">旋转凭据：请务必定期在AWS中更改密码和访问密钥。当然，这样做的原因是,如果这些凭据受到威胁，您将最大限度地减少在被盗凭据不再起作用时可以造成的损害!

< ">删除不必要的凭据：因为在AWS中学习和测试新功能非常容易，因此，只要您将IAM组件放在不再需要的位置，它就会变得很混乱。一定要定期审核你的资源，发现任何不再需要的“粪便”。Aws甚至在这方面协助围绕最近未使用的凭据构建报告。

< ">使用策略条件：始终考虑在安全策略中构建条件。例如,访问可能必须来自选定的IP地址范围。或者可能需要MFA。或者可能有一天中的时间或一周中的一天条件。

< ">监视、监视、监视：AWS服务提供了大量日志记录的选项。以下是一些仔细的日志记录和分析可以显著提高安全性的服务:

< ">CloudFront

< ">CloudTrail

< ">CloudWatch

< ">AWS Config

< ">S3