logo

Co to jest zarządzanie tożsamością i dostępem (IAM) w AWS?

Główny Chmura Obliczeniowa Co to jest zarządzanie tożsamością i dostępem (IAM) w AWS?



Zarządzanie tożsamością i dostępem to usługa internetowa, która bezpiecznie kontroluje dostęp do zasobów AWS. Dzięki IAM możesz kontrolować uwierzytelnianie i autoryzację.

Organizacje muszą mieć kontrolę nad tym, kto ma uprawnienia dostępu do ich zasobów AWS, które zasoby są dostępne i jakie czynności mogą wykonywać autoryzowani użytkownicy. Celem AWS IAM jest pomoc administratorom IT w zarządzaniu tożsamości użytkowników i ich różne poziomy dostępu do zasobów AWS. W tym artykule poznamy funkcje i procedurę działania zarządzania tożsamością i dostępem (IAM) w następującej kolejności:

Co to jest zarządzanie tożsamością i dostępem?

Zarządzanie tożsamością i dostępem AWS (IAM) to usługa internetowa, która pomaga w bezpiecznej kontroli dostępu do zasobów AWS. Dzięki uprawnieniom możesz kontrolować, kto jest uwierzytelniony i upoważniony do korzystania z zasobów.





AWS IAM - zarządzanie tożsamością i dostępem - edureka

Kiedy po raz pierwszy tworzysz konto AWS, potrzebujesz jednej tożsamości logowania, aby uzyskać dostęp do wszystkich Ta tożsamość jest nazywana użytkownikiem root konta AWS. Możesz uzyskać do niego dostęp, logując się za pomocą identyfikatora e-mail i hasła użytego do utworzenia konta. AWS IAM pomaga w wykonywaniu następujących zadań:



implementacja merge sort c ++
  • Służy do ustawiania użytkowników, uprawnień i ról. To pozwala Dostęp uznany do różnych części platformy AWS
  • Umożliwia także klientom Amazon Web Services zarządzać użytkownikami i uprawnienia użytkowników w AWS
  • Dzięki IAM organizacje mogą centralnie zarządzać użytkownikami, poświadczenia bezpieczeństwa takie jak klucze dostępu i uprawnienia
  • IAM umożliwia organizacji utworzyć wielu użytkowników , każdy z własnymi poświadczeniami bezpieczeństwa, kontrolowany i rozliczany na jednym koncie AWS
  • IAM pozwala użytkownikowi robić tylko to, co musi robić w ramach pracy użytkownika

Skoro już wiesz, co to jest IAM, przyjrzyjmy się niektórym jego funkcjom.

Funkcje zarządzania tożsamością i dostępem

Niektóre z ważnych funkcji uprawnień obejmują:



  • Współdzielony dostęp do Twojego konta AWS : Możesz przyznać innym osobom uprawnienia do administrowania i używania zasobów na Twoim koncie AWS bez konieczności udostępniania swojego hasła lub klucza dostępu.
  • Szczegółowe uprawnienia : Możesz nadać różne uprawnienia różnym osobom dla różnych zasobów.
  • Bezpieczny dostęp do zasobów AWS : Za pomocą funkcji IAM można bezpiecznie podawać poświadczenia dla aplikacji działających na instancjach EC2. Te poświadczenia zapewniają Twojej aplikacji uprawnienia dostępu do innych zasobów AWS.
  • Uwierzytelnianie wieloskładnikowe (MFA) : Możesz dodać uwierzytelnianie dwuskładnikowe do swojego konta i do poszczególnych użytkowników, aby zapewnić dodatkowe bezpieczeństwo.
  • Federacja tożsamości : Możesz zezwolić użytkownikom, którzy mają już hasła w innym miejscu
  • Informacje o tożsamości dla zapewnienia : Otrzymujesz rekordy dziennika zawierające informacje o osobach, które zażądały zasobów na podstawie tożsamości IAM.
  • Zgodność z PCI DSS : IAM obsługuje przetwarzanie, przechowywanie i transmisję danych kart kredytowych przez sprzedawcę lub dostawcę usług i został zatwierdzony jako zgodny z normą Payment Card Industry (PCI) Data Security Standard (DSS).
  • Zintegrowany z wieloma usługami AWS : Istnieje wiele usług AWS, które współpracują z IAM.
  • Ostatecznie spójne : IAM osiąga wysoką dostępność poprzez replikację danych na wielu serwerach w centrach danych Amazon na całym świecie. Zmiana jest zatwierdzana i bezpiecznie przechowywana, gdy zażądasz jakiejś modyfikacji.
  • Bezpłatne w użyciu : Tylko wtedy, gdy uzyskujesz dostęp do innych usług AWS przy użyciu swoich użytkowników IAM lub tymczasowych danych uwierzytelniających AWS STS, zostaniesz obciążony opłatą.

Przejdźmy teraz dalej i poznajmy działanie zarządzania tożsamością i dostępem.

Działanie IAM

Dostęp do tożsamości i zarządzanie nią oferuje najlepsza infrastruktura który jest wymagany do kontrolowania całej autoryzacji i uwierzytelniania na Twoim koncie AWS. Oto niektóre elementy infrastruktury IAM:

Zasada

Zasada w AWS IAM służy do podejmowania działań na zasobie AWS. Administrator uprawnień to pierwsza zasada, która pozwala użytkownikowi na korzystanie z określonych usług w celu przejęcia roli. Możesz wesprzeć sfederowanych użytkowników, aby umożliwić aplikacji dostęp do Twojego obecnego konta AWS.

Żądanie

Podczas korzystania z konsoli zarządzania AWS, API lub CLI automatycznie wyśle ​​żądanie do AWS. Będzie zawierał następujące informacje:

  • Akcje są traktowane jako zasady występować
  • Akcje są wykonywane na podstawie zasoby
  • Podstawowe informacje obejmują środowisko tam, gdzie wniosek składał wcześniej

Poświadczenie

Jest to jedna z najczęściej używanych zasad, która służy do logowania się do AWS podczas wysyłania do niego żądania. Jednak składa się również z usług alternatywnych, takich jak Amazon S3 co pozwoli na żądania od nieznanych użytkowników. Aby uwierzytelnić się z konsoli, musisz zalogować się przy użyciu swoich danych logowania, takich jak nazwa użytkownika i hasło. Ale aby się uwierzytelnić, musisz podać im sekret i klucz dostępu wraz z wymaganymi dodatkowymi informacjami bezpieczeństwa.

Upoważnienie

Podczas autoryzacji wartości uprawnień, które są wywoływane z żądania, sprawdzają wszystkie pasujące zasady i oceniają, czy jest to dozwolone, czy odrzucane. Wszystkie zasady są przechowywane w IAM jako JSON dokumenty i zaoferuj określone pozwolenie dla innych zasobów. AWS IAM automatycznie sprawdza wszystkie zasady, które szczególnie pasują do kontekstu wszystkich Twoich żądań. Jeśli pojedyncze działanie zostanie odrzucone, IAM odrzuca całe żądanie i żałuje oceny pozostałych, co jest nazywane jawnym zaprzeczeniem. Poniżej przedstawiono niektóre z reguł logiki oceny dla uprawnień:

  • Wszystkie żądania są domyślnie odrzucane
  • Jawne może domyślnie zezwalać na przesłonięcia
  • Osoba jawna może również odmówić zastąpienia, zezwalając im

działania

Po przetworzeniu Twojego żądania autoryzacji lub po automatycznym nieuwierzytelnionym, AWS zatwierdza Twoje działanie w formie żądania. Tutaj wszystkie działania są zdefiniowane przez usługi i można je wykonać za pomocą zasobów, takich jak tworzenie, edycja, usuwanie i przeglądanie. Aby przyjąć zasadę działania, musimy uwzględnić wszystkie wymagane działania w polityce bez wpływu na istniejące zasoby.

Zasoby

Po uzyskaniu akceptacji AWS wszystkie działania w Twoim żądaniu można wykonać w oparciu o powiązane zasoby, które znajdują się na Twoim koncie. Ogólnie zasób nazywany jest bytem, ​​który istnieje szczególnie w ramach usług. Te usługi zasobów można zdefiniować jako zbiór działań, które są wykonywane szczególnie na każdym zasobie. Jeśli chcesz utworzyć jedno żądanie, najpierw musisz wykonać niepowiązaną akcję, której nie można odmówić.

Teraz weźmy przykład i lepiej zrozummy koncepcję zarządzania dostępem do tożsamości.

wywołanie przez referencję c ++

Zarządzanie tożsamością i dostępem: przykład

Zrozumieć pojęcie Zarządzanie tożsamością i dostępem (IAM) , weźmy przykład. Załóżmy, że osoba ma start-up z 3-4 członkami i hostuje Aplikację przez Amazon. Ponieważ jest to mała organizacja, każdy miałby dostęp do Amazon, gdzie może konfigurować i wykonywać inne czynności za pomocą swojego konta Amazon. Gdy rozmiar zespołu wzrośnie wraz z zestawem osób w każdym dziale, nie wolałby udzielać pełnego dostępu , ponieważ wszyscy są pracownikami i dane muszą być chronione. W takim przypadku wskazane byłoby utworzenie kilku kont usług internetowych Amazon zwanych użytkownikami IAM. Zaletą jest to, że możemy kontrolować, w jakiej domenie mogą pracować.

Teraz, jeśli zespół się rozrośnie 4000 osoby z różnymi zadaniami i działami. Najlepszym rozwiązaniem byłoby to, że Amazon obsługuje pojedyncze logowanie w usługach katalogowych. Amazon świadczy usługi obsługiwane przez SAML uwierzytelnianie oparte. Nie będzie prosić o żadne poświadczenia, gdy ktoś z organizacji loguje się do komputera organizacji. Następnie skierowałby się do portalu Amazon i pokazałby usługi, z których dany użytkownik może korzystać. Największą zaletą korzystania z uprawnień jest to, że nie ma potrzeby tworzenia wielu użytkowników, ale zaimplementuj proste logowanie.

W ten sposób dotarliśmy do końca naszego artykułu. Mam nadzieję, że rozumiesz, czym jest zarządzanie tożsamością i dostępem w AWS i jak to działa.

Jeśli zdecydowałeś się przygotować do certyfikacji AWS, zapoznaj się z naszymi kursami Masz do nas pytanie? Wspomnij o tym w sekcji komentarzy w sekcji „Zarządzanie tożsamością i dostępem”, a my skontaktujemy się z Tobą.

Chmura Obliczeniowa

Kategorie

Popular Articles

Co to jest zwinne zarządzanie projektami? Przewodnik dla początkujących

Historia sukcesu Edureka - Shyam przechodzi z konsultanta EMC ds. Pamięci masowej na kierownika technicznego

Statystyki uczenia maszynowego: przewodnik dla początkujących

Ansible Provisioning: mądrzejszy i bezproblemowy sposób obsługi administracyjnej

Jak czytać i analizować plik XML w Javie?

Jak zaimplementować liniową analizę dyskryminacyjną w R?

Jak zbudować imponujące CV dla programistów Tableau?

Różnica między analitykiem danych a analitykiem danych

Dlaczego powinieneś się mieszać, kiedy możesz już dołączyć do Tableau?

Przewodnik planowania kariery jako programista Ruby on Rails