Što je upravljanje identitetom i pristupom (IAM) u AWS-u?



Upravljanje identitetom i pristupom web je usluga koja sigurno kontrolira pristup AWS resursima. Pomoću IAM-a možete kontrolirati provjeru autentičnosti i autorizaciju.

Organizacije moraju imati kontrolu nad tim tko ima dozvolu za pristup njihovim AWS resursima, koji su resursi dostupni i radnje koje ovlašteni korisnici mogu izvršiti. Svrha AWS IAM-a je pomoći IT administratorima u upravljanju korisnički identiteti i njihove različite razine pristupa AWS resursima. U ovom ćemo članku razumjeti značajke i radni postupak upravljanja identitetom i pristupom (IAM) u sljedećem slijedu:

Što je upravljanje identitetom i pristupom?

AWS upravljanje identitetom i pristupom (IAM) je web usluga koja vam pomaže da sigurno kontrolirate pristup AWS resursima. Pomoću IAM-a možete kontrolirati tko je autentificiran i ovlašten za upotrebu resursa.





AWS IAM - identitet i upravljanje pristupom - edureka

Kada prvi put izrađujete AWS račun, potreban vam je identitet jedinstvene prijave za pristup svima Taj se identitet naziva korijenski korisnik AWS računa. Možete mu pristupiti prijavom s ID-om e-pošte i lozinkom koje ste koristili za izradu računa. AWS IAM pomaže u izvršavanju sljedećih zadataka:



  • Koristi se za postavljanje korisnika, dozvola i uloga. Omogućuje vam dozvoliti pristup na različite dijelove platforme AWS
  • Također, omogućava korisnicima Amazonovih web usluga upravljati korisnicima i korisnička dopuštenja u AWS-u
  • Pomoću IAM-a organizacije mogu centralno upravljati korisnicima, sigurnosne vjerodajnice kao što su pristupni ključevi i dopuštenja
  • IAM omogućuje organizaciji da stvoriti više korisnika , svaka sa svojim sigurnosnim vjerodajnicama, kontroliranim i naplaćenim na jedan AWS račun
  • IAM omogućuje korisniku da radi samo ono što treba učiniti kao dio korisnikova posla

Sad kad znate što je IAM, pogledajmo neke njegove značajke.

Značajke upravljanja identitetom i pristupom

Neke važne značajke IAM-a uključuju:



slučajni razred u primjeru Java
  • Dijeljeni pristup vašem AWS računu : Možete odobriti drugim ljudima dozvolu za upravljanje i upotrebu resursa na vašem AWS računu bez potrebe za dijeljenjem lozinke ili pristupnog ključa.
  • Granularne dozvole : Možete dodijeliti različita dopuštenja različitim ljudima za različite resurse.
  • Siguran pristup resursima AWS-a : IAM značajke možete koristiti za sigurno pružanje vjerodajnica za programe koji se izvode na instancama EC2. Ove vjerodajnice pružaju dozvole vašoj aplikaciji za pristup drugim AWS resursima.
  • Višefaktorska autentifikacija (MFA) : Možete dodati dvofaktorsku provjeru autentičnosti na svoj račun i pojedinačnim korisnicima radi dodatne sigurnosti.
  • Federacija identiteta : Možete dozvoliti korisnicima koji već imaju lozinke negdje drugdje
  • Podaci o identitetu radi osiguranja : Primat ćete zapise dnevnika koji uključuju informacije o onima koji su uputili zahtjeve za resursima koji se temelje na IAM identitetima.
  • Sukladnost s PCI DSS-om : IAM podržava obradu, pohranu i prijenos podataka o kreditnim karticama od strane trgovca ili davatelja usluga, a potvrđeno je da je u skladu s Standardom zaštite podataka (DSS) industrije platnih kartica (PCI).
  • Integrirano s mnogim AWS uslugama : Postoji niz AWS usluga koje rade s IAM-om.
  • Na kraju dosljedan : IAM postiže visoku dostupnost repliciranjem podataka na više poslužitelja unutar Amazonovih podatkovnih centara širom svijeta. Promjena je počinjena i sigurno pohranjena kada zatražite neku izmjenu.
  • Besplatno za upotrebu : Kada drugim AWS uslugama pristupate pomoću IAM korisnika ili AWS STS privremenih sigurnosnih vjerodajnica, tada će vam se naplatiti.

Krenimo sada i shvatimo kako funkcionira upravljanje identitetima i pristupom.

Rad IAM-a

Pristup i upravljanje identitetom nudi najbolja infrastruktura koja je potrebna za kontrolu svih autorizacija i provjere autentičnosti za vaš AWS račun. Evo nekih elemenata IAM infrastrukture:

što je apstrakcija u javi s primjerom

Načelo

Načelo u AWS IAM koristi se za poduzimanje radnje na AWS resursu. Administrativni IAM korisnik je prvo načelo koje može omogućiti korisniku određene usluge kako bi preuzeo ulogu. Možete podržati federalne korisnike da dozvole aplikaciji pristup vašem trenutnom AWS računu.

Zahtjev

Dok koristite AWS upravljačku konzolu, API ili CLI automatski će poslati zahtjev AWS-u. Navest će sljedeće informacije:

  • Akcije se smatraju principi izvoditi
  • Radnje se izvode na temelju resursi
  • Osnovni podaci uključuju okoliš gdje je zahtjev prethodno upućen

Ovjera

To je jedno od najčešće korištenih načela koje se koristi za prijavu na AWS tijekom slanja zahtjeva na njega. Međutim, ona se također sastoji od zamjenskih usluga poput Amazon S3 što će omogućiti zahtjeve nepoznatih korisnika. Da biste se ovjerili s konzole, morate se prijaviti svojim vjerodajnicama za prijavu poput korisničkog imena i lozinke. Ali za provjeru autentičnosti morate im dostaviti tajnu i pristupni ključ, zajedno s potrebnim dodatnim sigurnosnim informacijama.

Ovlaštenje

Tijekom autorizacije IAM vrijednosti koje su podignute iz zahtjeva kontekst će provjeriti sve politike podudaranja i procijeniti je li dopušteno ili odbijeno odgovarajući zahtjev. Sve se politike pohranjuju u IAM kao JSON dokumente i ponuditi određeno dopuštenje za ostale resurse. AWS IAM automatski provjerava sve politike koje se posebno podudaraju s kontekstom svih vaših zahtjeva. Ako je pojedinačna radnja odbijena, IAM odbija cijeli zahtjev i žali zbog procjene preostalih, što se naziva eksplicitnim odbijanjem. Slijede neka od pravila logike procjene za IAM:

  • Svi su zahtjevi odbijeni prema zadanim postavkama
  • Izričito prema zadanim postavkama može dopustiti nadjačavanje
  • Izričito može odbiti nadjačavanje dopuštajući im

Akcije

Nakon obrade autorizacije vašeg zahtjeva ili automatske neautentifikacije, AWS odobrava vašu radnju u obliku zahtjeva. Ovdje su sve radnje definirane uslugama, a stvari mogu raditi resursi poput stvaranja, uređivanja, brisanja i pregledavanja. Da bismo omogućili načelo djelovanja, moramo uključiti sve potrebne radnje u politiku bez utjecaja na postojeći resurs.

Resursi

Nakon dobivanja odobrenja za AWS, sve radnje u vašem zahtjevu mogu se izvršiti na temelju povezanih resursa koji se nalaze na vašem računu. Općenito, resurs se naziva entitetom koji postoji posebno unutar usluga. Ovi resursne usluge može se definirati kao skup aktivnosti koji se izvodi posebno na svakom resursu. Ako želite stvoriti jedan zahtjev, prvo morate izvršiti nepovezanu radnju koja se ne može odbiti.

Uzmimo sada primjer i bolje shvatimo koncept upravljanja pristupom identitetu.

Upravljanje identitetom i pristupom: Primjer

Da bi se razumio koncept Upravljanje identitetom i pristupom (IAM) , uzmimo primjer. Pretpostavimo da osoba ima start-up s 3-4 člana i da je Aplikaciju hostirala preko Amazona. Budući da je riječ o maloj organizaciji, svi bi imali pristup Amazonu gdje mogu konfigurirati i obavljati druge aktivnosti sa svojim Amazon računom. Jednom kad veličina tima naraste s nizom ljudi u svakom odjelu, ne bi mu više volio dati puni pristup , jer su svi zaposlenici i podatke treba zaštititi. U ovom slučaju, bilo bi poželjno stvoriti nekoliko računa web usluga Amazon koji se nazivaju IAM korisnici. Prednost je ovdje što možemo kontrolirati u kojoj domeni mogu raditi.

Ako tim naraste 4.000 ljudi s raznim zadacima i odjelima. Najbolje rješenje bilo bi da Amazon podržava jedinstvenu prijavu s imeničkim uslugama. Amazon pruža uslugu koju podržava SAML temeljem provjere autentičnosti. Ne bi tražio nikakvu vjerodajnicu kad se netko iz organizacije prijavi na stroj organizacije. Tada bi se došlo na Amazon Portal i pokazalo bi usluge koje određeni korisnik smije koristiti. Najveća prednost korištenja IAM-a je u tome što nije potrebno stvoriti više korisnika, već implementirati jednostavnu prijavu.

stvoriti niz objekata java

Ovime smo došli do kraja našeg članka. Nadam se da ste razumjeli što je upravljanje identitetima i pristupom u AWS-u i kako to funkcionira.

Ako ste se odlučili pripremiti za AWS certifikat, trebali biste provjeriti naše tečajeve na Imate pitanje za nas? Molimo spomenite to u odjeljku za komentare u 'Upravljanje identitetom i pristupom', a mi ćemo vam se javiti.