技术原理

什么是AWS中的身份和访问管理(IAM)?

成为一个认证的专业

组织必须控制谁有权访问他们的AWS资源,哪些资源是可用的,以及授权用户可以执行的操作。AWS IAM的目的是帮助IT管理员管理AWS用户身份及其对AWS资源的不同访问级别。在本文中,我们将按照以下顺序理解身份和访问管理(Identity and Access Management,IAM)的特性和工作过程:

什么是身份和访问管理?IAM的特点是处理IAM的标识和访问管理:例如

什么是标识和访问管理

“AWS标识和访问管理(IAM)是一个web服务,帮助您安全地控制对AWS资源的访问。使用IAM,您可以控制谁经过身份验证和授权使用资源。

AWS IAM - identity and Access management - edureka

当您第一次创建AWS帐户时,您需要一个单一登录标识才能访问所有AWS服务。此标识称为AWS帐户根用户。您可以使用用于创建帐户的电子邮件ID和密码登录来访问它。AWS IAM帮助执行以下任务:

它用于设置用户、权限和角色。它允许您授予对AWS平台不同部分的访问权限,它允许Amazon Web服务客户使用IAM管理AWS中的用户和用户权限,组织可以集中管理用户,安全凭据(如访问密钥)和权限IAM允许组织创建多个用户,每个具有自己的安全凭据、受控制并计费到单个AWS帐户的IAM都允许用户只做作为用户工作

一部分需要做的事情,现在您知道什么是IAM了,让我们来看看它的一些特性。

标识和访问管理特性

IAM的一些重要特性包括:

对您的AWS帐户的共享访问:您可以授予其他人管理和使用资源的权限在您的AWS帐户中,无需共享您的密码或访问密钥。粒度权限:您可以为不同资源的不同人员授予不同的权限。对AWS资源的安全访问:可以使用IAM功能为在EC2实例上运行的应用程序安全地提供凭据。这些凭据为您的应用程序提供访问其他AWS资源的权限。多因素身份验证(MFA):您可以将双因素身份验证添加到您的帐户和单个用户,以获得额外的安全性。身份联合:您可以允许已在其他地方拥有密码的用户使用身份信息进行保证:您将收到日志记录,其中包括基于IAM身份请求资源的用户的信息。PCI DSS合规性:IAM支持商户或服务提供商处理、存储和传输信用卡数据,并已验证符合支付卡行业(PCI)数据安全标准(DSS)。与许多AWS服务集成:有许多AWS服务与IAM一起工作。最终一致性:IAM通过在亚马逊全球数据中心的多个服务器上复制数据来实现高可用性。当您请求某些修改时,将提交并安全地存储更改。免费使用:当您使用IAM用户或AWS STS临时安全凭据访问其他AWS服务时,只有这样您才会被收费。”

“现在让我们继续了解身份和访问管理的工作。”

“”

“”

“IAM”的工作

身份访问和管理提供了控制AWS帐户的所有授权和身份验证所需的最佳基础结构。以下是IAM基础设施的一些元素:

原则

AWS IAM中的原则用于对AWS资源执行操作。管理IAM用户是第一个原则,它允许用户使用特定的se服务以承担角色。您可以支持联合用户允许应用程序访问您当前的AWS帐户。

请求

,而使用AWS管理控制台时,API或CLI将自动向AWS发送请求。它将指定以下信息:

操作被视为执行操作的原则,这些操作是基于资源执行的原则信息包括请求先前进行身份验证的环境

这是最常用的原则之一,用于在向它发送请求。然而,它也包括类似Amazon S3这样的备用服务,它允许来自未知用户的请求。为了从控制台进行身份验证,您需要使用用户名和密码等登录凭据登录。但是要进行身份验证,您需要向他们提供密钥和访问密钥以及所需的附加安全信息。

授权

在授权从请求中引发的IAM值时将上下文检查所有匹配的策略,并评估是否允许或拒绝相应的请求。所有策略都作为JSON文档存储在IAM中,并为其他资源提供指定的权限。AWS IAM会自动检查与所有请求的上下文特别匹配的所有策略。如果单个操作被拒绝,那么IAM将拒绝整个请求,并后悔评估其余的请求,这称为显式拒绝。以下是IAM的一些求值逻辑规则:

默认情况下拒绝所有请求显式可以允许覆盖默认情况下显式也可以通过允许它们在处理您的请求授权或自动未经身份验证后操作

来拒绝覆盖,AWS以请求的形式批准您的行动。这里所有的操作都是由服务定义的,可以通过创建、编辑、删除和查看等资源来完成。为了遵循行动原则,我们需要在不影响现有资源的情况下,将所有必需的行动包括在策略中。

资源

在获得AWS批准后,您请求中的所有行动都可以基于您帐户中包含的相关资源来完成。通常,资源被称为实体,它特别存在于服务中。这些资源服务可以定义为一组活动,这些活动尤其在每个资源上执行。如果要创建一个请求,首先需要执行不可拒绝的无关操作。

现在让我们举一个例子,更好地理解标识访问管理的概念。

标识和访问管理:示例

来理解标识和访问管理(IAM)的概念,举个例子。假设一个人有一个有3-4个成员的初创公司,并在Amazon上托管了应用程序。因为这是一个小型组织,每个人都可以访问Amazon,在那里他们可以使用自己的Amazon帐户配置和执行其他活动。一旦团队规模随着每个部门中的一组人员而增长,他就不愿意完全访问Amazon Web服务,因为他们都是员工,数据需要保护。在这种情况下,最好创建几个名为IAM用户的Amazon web服务帐户。这里的优势是我们可以控制他们可以在哪个领域工作。

AWS IAM Example - identity and access management - edureka

现在,如果团队增加到4000人,有不同的任务和部门。最好的解决方案是Amazon支持目录服务的单点登录。Amazon提供基于SAML的身份验证支持的服务。当组织中有人登录到组织机器时,它不会要求任何凭证。然后它会转到Amazon门户,并显示特定用户可以使用的服务。使用IAM的最大优点是不需要创建多个用户,只需要imp

你也可能喜欢

发表评论

您的电子邮件地址不会被公开。 必填项已用 * 标注

提示:点击验证后方可评论!

插入图片
人工智能要学什么 投稿者
我还没有学会写个人说明!
最近文章
  • * 没有更多文章了
  • 热门搜索

    分类目录