ארגונים חייבים להיות בעלי שליטה למי יש הרשאה לגשת למשאבי ה- AWS שלהם, אילו משאבים זמינים, והפעולות שמשתמשים מורשים יכולים לבצע. מטרת AWS IAM היא לעזור למנהלי IT להתנהל זהויות משתמשים ורמות הגישה המשתנות שלהם למשאבי AWS. במאמר זה נבין את התכונות ואת הליך העבודה של ניהול זהויות וגישה (IAM) ברצף הבא:
כיצד להפוך כפול לאינטל
מהו ניהול זהויות וגישה?
ניהול זהות וגישה של AWS (IAM) הוא שירות אינטרנט המסייע לך לשלוט באופן מאובטח בגישה למשאבי AWS. באמצעות IAM, אתה יכול לקבוע מי מאומת ומורשה להשתמש במשאבים.
כאשר אתה יוצר לראשונה חשבון AWS, אתה זקוק לזהות כניסה יחידה כדי לגשת לכל זהות זו נקראת משתמש שורש חשבון AWS. תוכל לגשת אליו על ידי כניסה באמצעות מזהה הדוא'ל והסיסמה שבה השתמשת ליצירת החשבון. AWS IAM מסייע בביצוע המשימות הבאות:
- הוא משמש לקביעת משתמשים, הרשאות ותפקידים. זה מאפשר לך לאפשר גישה לחלקים השונים של פלטפורמת AWS
- כמו כן, זה מאפשר ללקוחות שירותי האינטרנט של אמזון לנהל משתמשים והרשאות משתמשים ב- AWS
- באמצעות IAM, ארגונים יכולים לנהל משתמשים באופן מרכזי, אישורי אבטחה כגון מפתחות גישה והרשאות
- IAM מאפשר לארגון ליצור מספר משתמשים , לכל אחד אישורי אבטחה משלו, הנשלטים ומחויבים בחשבון AWS יחיד
- IAM מאפשר למשתמש לעשות רק את מה שהוא צריך לעשות כחלק מתפקיד המשתמש
עכשיו שאתה יודע מה זה IAM, בואו נסתכל על כמה מהתכונות שלו.
תכונות ניהול זהות וגישה
חלק מהתכונות החשובות של IAM כוללות:
- גישה משותפת לחשבון AWS שלך : אתה יכול להעניק לאנשים אחרים הרשאה לנהל ולהשתמש במשאבים בחשבון AWS שלך מבלי שתצטרך לשתף את הסיסמה או מפתח הגישה שלך.
- אישורים גרגירים : אתה יכול להעניק הרשאות שונות לאנשים שונים למשאבים שונים.
- גישה מאובטחת למשאבי AWS : באפשרותך להשתמש בתכונות IAM כדי לספק אישורים מאובטחים ליישומים הפועלים במופעי EC2. אישורים אלה מספקים הרשאות ליישום שלך לגשת למשאבי AWS אחרים.
- אימות רב גורמים (MFA) : באפשרותך להוסיף אימות דו-גורמי לחשבונך ולמשתמשים בודדים ליתר ביטחון.
- התאחדות זהויות : אתה יכול לאפשר למשתמשים שכבר יש להם סיסמאות במקום אחר
- מידע זהות לביטחון : אתה מקבל רשומות יומן הכוללות מידע על אלה שהגישו בקשות למשאבים על בסיס זהויות IAM.
- תאימות PCI DSS : IAM תומך בעיבוד, אחסון והעברה של נתוני כרטיסי אשראי על ידי סוחר או נותן שירות, ותוקף כמתאים לתקן אבטחת הנתונים (DSS) של תעשיית כרטיסי התשלום (PCI).
- משולב בשירותי AWS רבים : ישנם מספר שירותי AWS שעובדים עם IAM.
- בסופו של דבר עקבי : IAM משיגה זמינות גבוהה על ידי שכפול נתונים במספר שרתים במרכזי הנתונים של אמזון ברחבי העולם. השינוי מתבצע ומאוחסן בבטחה כאשר אתה מבקש שינוי כלשהו.
- חינם לשימוש : כאשר אתה ניגש לשירותי AWS אחרים באמצעות משתמשי ה- IAM שלך או אישורי האבטחה הזמניים של AWS STS, רק אז תחויב.
עכשיו בואו נמשיך ונבין את העבודה של ניהול זהויות וגישה.
עבודה ב- IAM
גישה וניהול זהויות מציעה את התשתית הטובה ביותר הנדרש לשליטה בכל ההרשאות והאימות עבור חשבון ה- AWS שלך. להלן כמה מרכיבים בתשתית IAM:
כשרון פתוח סטודיו להדרכת שילוב נתונים
עִקָרוֹן
העיקרון ב- IWS של ה- AWS משמש לנקיטת פעולה במשאב ה- AWS. משתמש ה- IAM הניהולי הוא העיקרון הראשון, שיכול לאפשר למשתמש את השירותים הספציפיים על מנת לקבל תפקיד. אתה יכול לתמוך במשתמשים המאוחדים כדי לאפשר ליישום לגשת לחשבון AWS הנוכחי שלך.
בַּקָשָׁה
בעת השימוש במסוף הניהול של AWS, ה- API או CLI ישלחו את הבקשה באופן אוטומטי ל- AWS. הוא יפרט את המידע הבא:
- פעולות נחשבות כ- עקרונות להופיע
- הפעולות מתבצעות על בסיס אֶמְצָעִי
- המידע העיקרי כולל את סביבה היכן שהבקשה הוגשה בעבר
אימות
זהו אחד העקרונות הנפוצים ביותר המשמשים לכניסה ל- AWS תוך כדי שליחת הבקשה אליו. עם זאת, הוא מורכב גם משירותים חלופיים כמו אמזון S3 שיאפשר בקשות ממשתמשים לא ידועים. על מנת לבצע אימות מהקונסולה, עליך להיכנס באמצעות אישורי הכניסה שלך כמו שם משתמש וסיסמה. אך כדי לאמת עליך לספק להם את סוד מפתח הגישה יחד עם מידע אבטחה נוסף הנדרש.
הרשאה
בעוד שמאשרים את ערכי ה- IAM המועלים מהבקשה, יהיה בהקשר לבדוק את כל מדיניות ההתאמה ולהעריך האם מותרת או נדחית את הבקשה בהתאמה. כל הפוליסות מאוחסנות ב- IAM כ- ג'סון מסמכים ולהציע את האישור שצוין למשאבים האחרים. AWS IAM בודק באופן אוטומטי את כל המדיניות שתואמת במיוחד את ההקשר של כל הבקשות שלך. אם הפעולה היחידה נדחית אז ה- IAM דוחה את כל הבקשה ומצטער להעריך את הנותרים, מה שמכונה הכחשה מפורשת. להלן מספר כללי לוגיקה הערכה עבור IAM:
- כל הבקשות נדחות כברירת מחדל
- המפורש יכול לאפשר לעקיפות כברירת מחדל
- מפורש עשוי גם להכחיש את הבטלה בכך שהוא מאפשר להם
פעולות
לאחר שעיבד את הרשאת הבקשה שלך או שאינך מאומת באופן אוטומטי, AWS מאשר את הפעולה שלך בצורה של בקשה. כאן כל הפעולות מוגדרות על ידי שירותים וניתן לעשות דברים על ידי משאבים כמו יצירה, עריכה, מחיקה וצפייה. על מנת לאפשר את עקרון הפעולה עלינו לכלול את כל הפעולות הנדרשות במדיניות מבלי להשפיע על המשאב הקיים.
אֶמְצָעִי
לאחר קבלת האישורים של AWS ניתן לבצע את כל הפעולות בבקשתך על סמך המשאבים הקשורים שמכילים בחשבונך. בדרך כלל, משאב נקרא ישות שקיימת במיוחד בשירותים. אלה שירותי משאבים ניתן להגדיר כמערכת פעילויות המתבצעת במיוחד בכל משאב ומשאב. אם ברצונך ליצור בקשה אחת, ראשית עליך לבצע את הפעולה הלא קשורה שלא ניתן לדחותה.
כיצד להמיר כפול ל- int ב- Java - -
עכשיו בואו ניקח דוגמא ונבין טוב יותר את המושג ניהול גישה לזהות.
ניהול זהות וגישה: דוגמה
כדי להבין את המושג ניהול זהויות וגישה (IAM) , בואו ניקח דוגמא. נניח שלאדם יש סטארט-אפ עם 3-4 חברים ואירח את היישום על פני אמזון. מכיוון שמדובר בארגון קטן לכולם תהיה גישה לאמזון, שם הם יכולים להגדיר ולבצע פעילויות אחרות באמצעות חשבון אמזון שלהם. ברגע שגודל הצוות גדל עם קבוצה של אנשים בכל מחלקה, הוא לא יעדיף לתת גישה מלאה , מכיוון שכולם עובדים ויש צורך להגן על הנתונים. במקרה זה, מומלץ ליצור כמה חשבונות שירות אינטרנט של אמזון הנקראים משתמשי IAM. היתרון כאן הוא שאנחנו יכולים לשלוט באיזה תחום הם יכולים לעבוד.
עכשיו, אם הצוות יגדל ל 4,000 אנשים עם משימות ומחלקות שונות. הפיתרון הטוב ביותר יהיה שאמזון תומכת בכניסה יחידה באמצעות שירותי הספריות. אמזון מספקת שירות הנתמך על ידי SAML אימות מבוסס. זה לא יבקש שום אישורים כאשר מישהו מהארגון נכנס למכונת הארגון. לאחר מכן זה היה עובר לפורטל אמזון והוא יציג שירותים שהמשתמש המסוים רשאי להשתמש בהם. היתרון הגדול ביותר בשימוש ב- IAM הוא שאין צורך ליצור מספר משתמשים אלא ליישם כניסה פשוטה.
בכך הגענו לסוף המאמר שלנו. אני מקווה שהבנת מה זה ניהול זהות וגישה ב- AWS ואיך זה עובד.
אם החלטתם להתכונן להסמכת AWS, עליכם לבדוק את הקורסים שלנו בנושא יש לך שאלה עבורנו? אנא הזכיר זאת בסעיף ההערות של 'ניהול זהות וגישה' ונחזור אליך.