我們已經討論過了十大最優實踐中的大部分,所以在跳到AWS配置領域的一些最優實踐前,讓我們總結一下關於IAM的討論。這篇帖子將會總結關於控制個人的討論。對個人的控制利用了IAM服務,而IAM服務則是通過利用角色來簡化和創建一個更加安全的環境來實現。
但是首先,讓我簡單概括一下:
在這一系列帖子的前面一些帖子中,我們講到了如何以及為什麼你的EC2實例應該使用各種角色。它的前提是利用 AWS Security Token Service(安全令牌服務),使你的資源安全溝通和減輕管理負擔變得更輕鬆。你既能夠保證安全又能簡化管理的頻率是多少?雖然它們聽起來像相互矛盾的兩個方面,但是它們實際上是我們奮鬥的目標。任何時候只要你能使用戶安全變得更簡單,你的方法就越可能得到採納。反之,如果你使安全變得太複雜,它可能實際上在實踐中會導致更加不安全。例如,如果你強迫所有用戶使用它們根本不可能記住的隨機產生的24位字符構成的密碼,又有多少用戶會將回歸到寫下密碼或者將它存儲在一個可能不符合安全規則的地方呢?當然,密碼本身可能看起來增強了安全性,但是實際上,它可能導致了壞習慣,降低了安全性。
今天,我們將要為EC2擴展角色,討論對IAM用戶使用各種角色。這同樣是為了使安全維護變得更安全,更簡單。在本示例中,我將使用 Evident.ioDemo AWS帳戶。Evident剛開始打算作為一個公司運行時,只有一個AWS帳戶,該帳戶被用來展示Evident Security Platform(ESP,Evident安全平臺)和它創建自定義驗證,安全檢查和集成的能力。兩個工程師使用一個帳戶,那確保完全安全會是很簡單的嗎?我們 關閉了根API訪問確保沒有秘密金鑰。然後,我們為兩個管理員 啟動了MFA令牌。 我們甚至為一些銷售人員 創建了擁有隻讀權限和特定策略的IAM用戶,所以他們不會惹上麻煩。利用內置的ESP IAM Credential Rotation(ESP IAM證書重置)安全檢查,我們預先找到需要重置的密鑰。
現在,ESP被設計成一個企業平臺,支持客戶擁有成百上千甚至成千上萬個帳戶(有一篇博客是關於SEP平臺上職責劃分的)。為了擴展我們的演示,我們添加了一小部分AWS帳戶,到現在,訪問該演示帳戶的人數正在增加。我們可以像一開始做的那樣,瀏覽每一個AWS帳戶,創建新用戶,生成密碼,限制那個用戶的權限,但是那看起來像很多重複性的手工操作的步驟。更好的選擇是利用我們已創建和保護的用戶,只是使他們能夠訪問這些追加的帳戶。這聽起來相當簡單,實際上,它也是相當簡單的。
AWS提供快速的演練,幫助你開始授權 另一個帳戶中IAM用戶對AWS帳戶的訪問權限。現在,在很多情況下,你甚至可以擁有一個AWS主帳戶,該帳戶中沒有資源運行,只是用於管理控制和計費訪問。在我們的案例中,我們擴展了一個AWS帳戶,允許工程師和銷售人員在控制臺上通過輕點滑鼠就可以對其他帳戶擁有相同的訪問權限。
如果你有不止一個AWS帳戶,你就值得花費時間去瀏覽AWS概括的步驟,深入了解利用IAM用戶和角色你可以實現的目標。
活動推薦:Amazon CloudFormation 簡介
( 翻譯/呂冬梅 責編/王鑫賀 )
訂閱「AWS中文技術社區」微信公眾號,實時掌握AWS技術及產品消息!
AWS中文技術社區為廣大開發者提供了一個Amazon Web Service技術交流平臺,推送AWS最新資訊、技術視頻、技術文檔、精彩技術博文等相關精彩內容,更有AWS社區專家與您直接溝通交流!快加入AWS中文技術社區,更快更好的了解AWS雲計算技術。