aws iam 架構(gòu)圖

在開發(fā)新產(chǎn)品并發(fā)現(xiàn)合適的產(chǎn)品市場時，每個團(tuán)隊都需要快速行動。 尤其是初創(chuàng)公司，因為公司的整個未來都取決于快速找到為您的產(chǎn)品付款的人。

對于初創(chuàng)企業(yè)和其他團(tuán)隊來說， Amazon Web Services是令人難以置信的工具，可以快速構(gòu)建其應(yīng)用程序和基礎(chǔ)架構(gòu)。 這些團(tuán)隊通常具有比適當(dāng)?shù)南到y(tǒng)操作更強(qiáng)大的開發(fā)背景。

AWS提供了出色的工具來處理密鑰，身份驗證和安全性，但是由于經(jīng)常出現(xiàn)更緊迫的問題，許多團(tuán)隊并未對此進(jìn)行研究。

我們想介紹一些概念和功能，這些功能將幫助您以最小的努力提高基礎(chǔ)架構(gòu)的安全性。

身份和訪問管理（IAM），AWS安全的核心

IAM（身份和訪問管理）是AWS安全系統(tǒng)的核心。 它使您可以管理基礎(chǔ)架構(gòu)中的用戶，組和不同角色。 您可以創(chuàng)建具有不同權(quán)限的不同功能組，并將人員添加到這些組中。 這樣，一旦人們移入其他組并且不再需要訪問系統(tǒng)的每個部分，就可以輕松更改權(quán)限。

您可以將多個策略附加到用戶，組或角色，以涵蓋對不同AWS服務(wù)或不同資源的訪問。

IAM文檔易于閱讀，并且瀏覽一遍絕對很有趣。 它以HTML，PDF或Kindle的形式提供，因此您甚至可以在上下班途中閱讀。

不要使用提供給您的AWS賬戶的默認(rèn)密鑰

您可以對AWS采取的第一個也是最重要的措施是不使用提供給您的AWS賬戶的默認(rèn)密鑰。 該密鑰具有對每個系統(tǒng)的完全訪問權(quán)限。 這是一個主要的安全問題，因為泄露此密鑰將意味著您使其他人可以訪問基礎(chǔ)結(jié)構(gòu)的每個部分。 此外，隨著時間的流逝，很難確定在基礎(chǔ)架構(gòu)中使用密鑰的位置，因此，一旦要更改密鑰，就必須在沒有任何指針的情況下搜索所有基礎(chǔ)架構(gòu)。

為應(yīng)用程序的不同用途創(chuàng)建用戶或組可以使該部分進(jìn)行自我記錄，因此，每當(dāng)要更改密鑰時，您都知道基礎(chǔ)結(jié)構(gòu)的哪一部分。

為每個人創(chuàng)建一個用戶帳戶

第一步，不建議登錄到主要AWS賬戶。 團(tuán)隊中需要訪問AWS的每個人都應(yīng)該使用不同的憑據(jù)獲得自己的帳戶。 通過將這些用戶添加到特定的組，您可以輕松添加或刪除權(quán)限，而不會丟失誰可以執(zhí)行的操作。 不要對特定用戶設(shè)置權(quán)限，而是為該權(quán)限創(chuàng)建一個組，因為它是自我記錄，可以為每個人更改。 在下圖中，我們?yōu)楣芾韱T，財務(wù)和API訪問創(chuàng)建了不同的組。

我們財務(wù)組中的用戶只能訪問我們的帳單。 即使萬一他們的帳戶被盜，也無法訪問任何基礎(chǔ)架構(gòu)。

保護(hù)用戶帳戶的第二個重要步驟是對所有用戶帳戶啟用兩因素身份驗證。 登錄到系統(tǒng)并有權(quán)訪問重要資源的每個人都需要啟用兩個因素。 作為管理員，您可以檢查IAM的用戶詳細(xì)信息頁面中是否啟用了兩個因素。 您可以立即為團(tuán)隊中的每個新員工啟用此功能。

例如，以下用戶未啟用兩個因素。 通過添加它并按照向?qū)нM(jìn)行操作，可以大大提高安全性。

對具有指定功能的角色使用多個鍵

如前所述，您永遠(yuǎn)不要使用您的AWS賬戶的主密鑰訪問API。 這并不意味著只創(chuàng)建一個管理員用戶并在任何地方使用此密鑰。

用戶，組和角色應(yīng)僅具有完成一項特定任務(wù)所需的特定權(quán)限。 不要混在一起。 也許您將來希望將任務(wù)放置到另一臺服務(wù)器上。 如果您組合了權(quán)限，則必須將其分成不同的組或角色。 您確實(shí)應(yīng)該將這些與開始隔離開來。

不要在EC2實(shí)例中使用密鑰

IAM的一個鮮為人知的功能是角色以及如何將其連接到基礎(chǔ)結(jié)構(gòu)的不同部分。 例如，如果您擁有應(yīng)能夠讀取數(shù)據(jù)或?qū)?shù)據(jù)上傳到S3的應(yīng)用服務(wù)器。 過去，您可能已將AWS機(jī)密和訪問密鑰添加到計算機(jī)中，因此它可以使用它們來訪問S3。

相反，您可以創(chuàng)建一個角色，該角色包括上載到特定S3存儲桶的權(quán)限，并將EC2實(shí)例設(shè)置為使用此角色。 如果您將AWS開發(fā)工具包的不同語言使用，它們將自動生成具有與角色中定義的相同權(quán)限的臨時密鑰。

在IAM中創(chuàng)建角色

首先，您需要在IAM for EC2中創(chuàng)建一個新角色。 您可以為Opsworks等不同的服務(wù)創(chuàng)建角色，這些角色可以為您調(diào)用AWS API。

然后創(chuàng)建一個策略，讓您訪問特定的S3存儲桶

將以下策略導(dǎo)入向?qū)?#xff1a;

{"Version": "2012-10-17","Statement": [{"Sid": "Stmt1385708770000","Effect": "Allow","Action": ["s3:Get*","s3:List*","s3:DeleteObject","s3:PutObject","s3:PutObjectAcl","s3:PutObjectVersionAcl"],"Resource": ["arn:aws:s3:::testbucket/*","arn:aws:s3:::testbucket"]}] }

這將只允許對testbucket進(jìn)行讀寫訪問，而不能訪問其他S3存儲桶。 您可以在IAM文檔中閱讀有關(guān)政策的更多信息。 您可以將策略限制為具有ARN，Amazon資源名稱的特定實(shí)例，存儲桶或其他基礎(chǔ)結(jié)構(gòu)項目，就像我們在上述示例中對testbucket所做的那樣。 AWS擁??有有關(guān)ARN的大量文檔

現(xiàn)在，我們要將角色連接到EC2實(shí)例。 每當(dāng)您啟動一個新實(shí)例時，都將該實(shí)例的IAM角色設(shè)置為我們剛剛創(chuàng)建的角色。

在這里，我們將角色設(shè)置為checkbot

現(xiàn)在，無論何時調(diào)用AWS API，您都不必提供任何密鑰，因為它們將自動為您創(chuàng)建具有正確權(quán)限的密鑰。 從現(xiàn)在開始，實(shí)例內(nèi)部不再需要任何鍵，這使整個設(shè)置更加簡潔且易于使用。

啟用Cloudtrail

Cloudtrail是一項新服務(wù)，于去年11月在AWS：reInvent上發(fā)布。 它將自動將對AWS API的每次調(diào)用記錄到S3存儲桶中。 這可以幫助將來進(jìn)行審核。

只需單擊幾下即可完成不到30秒的設(shè)置，幾乎不需要花什么錢（您只需為S3存儲桶付費(fèi)，而無需為Cloudtrail付費(fèi)），并可以在將來為您省錢。 去做就對了！

結(jié)論

AWS是一個非常龐大和復(fù)雜的系統(tǒng)，但提供了輕松的第一步來實(shí)現(xiàn)您的產(chǎn)品和安全性。 您可以遵循一些步驟和實(shí)踐來大量提高安全性，而無需付出太多努力。 當(dāng)然，從長遠(yuǎn)來看，您需要投資于安全性，并且從閱讀IAM文檔開始是一個好的開始。

作為初創(chuàng)公司，我們希望快速發(fā)展，制造產(chǎn)品并交付給我們的客戶。 所有這些對于啟動公司來說都是必要且重要的。 通過一些簡單的修補(bǔ)程序，您可以盡早提高安全性，從而不會由于可預(yù)防的原因而泄漏客戶數(shù)據(jù)。

船長而繁榮！

更多信息

• 我希望在開始之前知道的AWS技巧
• AWS上的旋轉(zhuǎn)憑證文檔
• Trevor Rowe的憑證管理博客文章
• AWS的權(quán)限和策略文檔
• Amazon資源名稱文檔

參考：來自Codeship Blog博客的JCG合作伙伴 Florian Motlik 使用IAM保護(hù)您的AWS基礎(chǔ)設(shè)施 。

翻譯自: https://www.javacodegeeks.com/2014/03/securing-your-aws-infrastructure-with-iam.html

aws iam 架構(gòu)圖

總結(jié)

以上是生活随笔為你收集整理的aws iam 架构图_使用IAM保护您的AWS基础架构的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。