Dapat mayroong kontrol ang mga samahan kung sino ang may pahintulot na mag-access sa kanilang mga mapagkukunang AWS, kung aling mga mapagkukunan ang magagamit, at ang mga pagkilos na maaaring gawin ng mga awtorisadong gumagamit. Ang layunin ng AWS IAM ay upang matulungan ang mga administrator ng IT na pamahalaan ang pagkakakilanlan ng gumagamit at kanilang iba't ibang mga antas ng pag-access sa mga mapagkukunang AWS. Sa artikulong ito, mauunawaan namin ang mga tampok at pamamaraan ng pagtatrabaho ng Identity and Access Management (IAM) sa sumusunod na pagkakasunud-sunod:
- Ano ang Pamamahala sa Identity at Access?
- Mga Tampok Ngayon
- Paggawa ng IAM
- Identity at Access Management: Halimbawa
Ano ang Pamamahala sa Identity at Access?
AWS Pagkakakilanlan at Pamamahala ng Access Ang (IAM) ay isang serbisyo sa web na makakatulong sa iyo na ligtas na makontrol ang pag-access sa mga mapagkukunang AWS. Sa IAM, makokontrol mo kung sino ang napatunayan at pinahintulutan na gumamit ng mga mapagkukunan.
Kapag lumikha ka muna ng isang AWS account, kailangan mo ng isang solong pagkakakilanlan sa pag-sign in upang ma-access ang lahat Ang pagkakakilanlan na ito ay tinawag na AWS account root user. Maaari mong ma-access ito sa pamamagitan ng pag-sign in gamit ang email ID at password na ginamit mo upang likhain ang account. Ang AWS IAM ay tumutulong sa pagganap ng mga sumusunod na gawain:
- Ginagamit ito upang itakda ang mga gumagamit, pahintulot at tungkulin. Pinapayagan kang magbigay ng access sa iba't ibang bahagi ng platform ng AWS
- Gayundin, pinapayagan nito ang mga customer ng Amazon Web Services na pamahalaan ang mga gumagamit at mga pahintulot ng gumagamit sa AWS
- Sa IAM, maaaring pangasiwaan ng mga Organisasyon ang mga gumagamit, mga kredensyal sa seguridad tulad ng mga access key, at mga pahintulot
- Pinapayagan ng IAM ang samahan na lumikha ng maraming mga gumagamit , bawat isa ay may sariling mga kredensyal sa seguridad, kinokontrol at nasingil sa isang solong AWS account
- Pinapayagan ng IAM ang gumagamit na gawin lamang ang kailangan nilang gawin bilang bahagi ng trabaho ng gumagamit
Ngayong alam mo na kung ano ang IAM, tingnan natin ang ilan sa mga tampok nito.
Mga Tampok ng Pamamahala ng Pagkakakilanlan at Pag-access
Ang ilan sa mga mahahalagang Tampok ng IAM ay kinabibilangan ng:
- Ibinahagi ang pag-access sa iyong AWS account : Maaari mong bigyan ang ibang tao ng pahintulot na pangasiwaan at gamitin ang mga mapagkukunan sa iyong AWS account nang hindi kinakailangang ibahagi ang iyong password o access key.
- Mga pahintulot sa granular : Maaari kang magbigay ng iba't ibang mga pahintulot sa iba't ibang mga tao para sa iba't ibang mga mapagkukunan.
- Ligtas na pag-access sa mga mapagkukunan ng AWS : Maaari mong gamitin ang mga tampok ng IAM upang ligtas na magbigay ng mga kredensyal para sa mga application na tumatakbo sa mga EC2 na pagkakataon. Ang mga kredensyal na ito ay nagbibigay ng mga pahintulot para sa iyong aplikasyon na ma-access ang iba pang mga mapagkukunan ng AWS.
- Multi-factor authentication (MFA) : Maaari kang magdagdag ng two-factor na pagpapatotoo sa iyong account at sa mga indibidwal na gumagamit para sa karagdagang seguridad.
- Pagkakakaisang pederasyon : Maaari mong payagan ang mga gumagamit na mayroon nang mga password sa ibang lugar
- Ang impormasyon ng pagkakakilanlan para sa kasiguruhan : Nakatanggap ka ng mga tala ng log na may kasamang impormasyon tungkol sa mga humiling ng mga mapagkukunan na batay sa mga pagkakakilanlan ng IAM.
- Pagsunod sa PCI DSS : Sinusuportahan ng IAM ang pagpoproseso, pag-iimbak, at paghahatid ng data ng credit card ng isang mangangalakal o service provider, at napatunayan bilang sumusunod sa Payment Card Industry (PCI) Data Security Standard (DSS).
- Isinama sa maraming mga serbisyo ng AWS : Mayroong isang bilang ng mga serbisyo ng AWS na gumagana sa IAM.
- Sa huli ay pare-pareho : Nakamit ng IAM ang mataas na kakayahang magamit sa pamamagitan ng pagtiklop ng data sa maraming mga server sa loob ng mga sentro ng data ng Amazon sa buong mundo. Ang pagbabago ay nakatuon at ligtas na nakaimbak kapag humiling ka para sa ilang pagbabago.
- Libreng gamitin : Kapag na-access mo ang iba pang mga serbisyo ng AWS gamit ang iyong mga gumagamit ng IAM o AWS STS pansamantalang mga kredensyal sa seguridad, doon ka lamang masisingil.
Ngayon, magpatuloy tayo at maunawaan ang pagtatrabaho ng Identity at Access Management.
Paggawa ng IAM
Nag-aalok ang Identity Access at Management ng pinakamahusay na imprastraktura kinakailangan iyon upang makontrol ang lahat ng pahintulot at pagpapatotoo para sa iyong AWS account. Narito ang ilan sa mga elemento ng imprastraktura ng IAM:
Prinsipyo
Ang prinsipyo sa AWS IAM ay ginagamit upang gumawa ng isang aksyon sa mapagkukunang AWS. Ang gumagamit ng administrasyong IAM ay ang unang alituntunin, na maaaring payagan ang gumagamit para sa mga partikular na serbisyo upang maangkin ang isang papel. Maaari mong suportahan ang federated na mga gumagamit upang payagan ang application na ma-access ang iyong kasalukuyang AWS account.
Hiling
Habang ginagamit ang AWS management console, awtomatikong ipapadala ng API o CLI ang kahilingan sa AWS. Tutukuyin nito ang mga sumusunod na impormasyon:
- Ang mga kilos ay isinasaalang-alang bilang prinsipyo magtanghal
- Ang mga aksyon ay ginaganap batay sa mapagkukunan
- Kasama sa pangunahing impormasyon ang kapaligiran kung saan ang kahilingan ay dati nang nagawa
Pagpapatotoo
Ito ay isa sa mga pinakakaraniwang ginagamit na prinsipyo na ginagamit upang mag-sign in para sa AWS habang ipinapadala ang kahilingan dito. Gayunpaman, binubuo din ito ng mga kahaliling serbisyo tulad ng Amazon S3 na magpapahintulot sa mga kahilingan mula sa hindi kilalang mga gumagamit. Upang mapatunayan mula sa console, kailangan mong mag-sign in gamit ang iyong mga kredensyal sa pag-login tulad ng username at password. Ngunit upang mapatunayan kailangan mong ibigay ang lihim at i-access ang susi sa kanila kasama ang kinakailangang karagdagang impormasyon sa seguridad.
Pahintulot
Habang pinapahintulutan ang mga halagang IAM na tinaasan mula sa kahilingan ay magkakaroon ng konteksto upang suriin ang lahat ng mga tumutugmang patakaran at suriin kung pinapayagan o tinanggihan ang kani-kanilang kahilingan. Ang lahat ng mga patakaran ay nakaimbak sa IAM bilang Si JSON mga dokumento at nag-aalok ng tinukoy na pahintulot para sa iba pang mga mapagkukunan. AWS IAM awtomatikong suriin ang lahat ng mga patakaran na partikular na tumutugma sa konteksto ng lahat ng iyong mga kahilingan. Kung tinanggihan ang solong pagkilos pagkatapos ay tatanggihan ng IAM ang buong kahilingan at panghihinayang na suriin ang mga natitira, na tinatawag na isang tahasang tanggihan. Ang mga sumusunod ay ilan sa mga patakaran sa lohika ng pagsusuri para sa IAM:
pagkakaiba sa pagitan ng panghuli sa wakas at pagwakas sa java
- Ang lahat ng mga kahilingan ay tinanggihan bilang default
- Maaaring payagan ng malinaw ang mga override bilang default
- Ang isang tahasang maaari ring tanggihan ang pag-override sa pamamagitan ng pagpapahintulot sa kanila
Mga kilos
Matapos maproseso ang iyong pahintulot sa kahilingan o awtomatikong hindi napatunayan, inaprubahan ng AWS ang iyong pagkilos sa anyo ng kahilingan. Dito ang lahat ng mga aksyon ay tinukoy ng mga serbisyo at ang mga bagay ay maaaring gawin ng mga mapagkukunan tulad ng paglikha, pag-edit, pagtanggal at pagtingin. Upang pahintulutan ang prinsipyo ng pagkilos, kailangan naming isama ang lahat ng mga kinakailangang pagkilos sa patakaran nang hindi nakakaapekto sa umiiral na mapagkukunan.
Mga mapagkukunan
Matapos makuha ang mga pag-apruba ng AWS lahat ng mga pagkilos sa iyong kahilingan ay maaaring gawin batay sa mga nauugnay na mapagkukunan na naglalaman ng iyong account. Pangkalahatan, ang isang mapagkukunan ay tinatawag na isang entity na mayroong partikular na umiiral sa loob ng mga serbisyo. Ang mga ito mga serbisyo sa mapagkukunan maaaring tukuyin bilang isang hanay ng mga aktibidad na partikular na ginaganap sa bawat mapagkukunan. Kung nais mong lumikha ng isang kahilingan, kailangan mo munang gawin ang hindi kaugnay na pagkilos na hindi maaaring tanggihan.
Ngayon kumuha tayo ng isang halimbawa at maunawaan nang mas mabuti ang konsepto ng Identity Access Management.
Identity at Access Management: Halimbawa
Upang maunawaan ang konsepto ng Identity and Access Management (IAM) , kumuha tayo ng isang halimbawa. Ipagpalagay na ang isang tao ay may isang pagsisimula na may 3-4 na miyembro at naka-host sa Application sa Amazon. Dahil ito ay isang maliit na samahan ang lahat ay magkakaroon ng pag-access sa Amazon kung saan maaari nilang mai-configure at maisagawa ang iba pang mga aktibidad sa kanilang Amazon Account. Kapag ang laki ng koponan ay lumalaki sa isang hanay ng mga tao sa bawat departamento, hindi niya gugustuhin na magbigay ng buong access , dahil lahat sila mga empleyado at ang data ay kailangang protektahan. Sa kasong ito, ipinapayong lumikha ng ilang mga account sa serbisyo ng web sa Amazon na tinatawag na mga gumagamit ng IAM. Ang kalamangan dito ay makokontrol natin kung anong domain ang maaari nilang gumana.
Ngayon, kung lumaki ang koponan 4,000 mga taong may iba`t ibang mga gawain at kagawaran. Ang pinakamahusay na solusyon ay ang pagsuporta sa Amazon ng solong pag-sign in gamit ang mga serbisyo sa direktoryo. Nagbibigay ang Amazon ng serbisyo na suportado ng SAML batay sa pagpapatotoo. Hindi ito hihilingin para sa anumang kredensyal kapag ang isang tao mula sa samahan ay nag-log in sa machine ng samahan. Gusto nito sa Amazon Portal at magpapakita ito ng mga serbisyo na pinahihintulutang gamitin ang partikular na gumagamit. Ang pinakamalaking bentahe ng paggamit ng IAM ay hindi na kailangang lumikha ng maraming mga gumagamit ngunit magpatupad ng isang simpleng pag-sign in.
Sa pamamagitan nito, napunta kami sa dulo ng aming artikulo. Inaasahan kong naiintindihan mo kung ano ang Identity at Access Management sa AWS at kung paano ito gumagana.
Kung nagpasya kang maghanda para sa isang sertipikasyon ng AWS, dapat mong suriin ang aming mga kurso sa May tanong ba sa amin? Mangyaring banggitin ito sa seksyon ng mga komento ng 'Pamamahala sa Pagkakakilanlan at Pag-access' at babalikan ka namin.