Что такое пользователи AWS IAM и как ими управлять? — CloudSavvy IT

AWS IAM логотип

Возможно, худшая ошибка безопасности, которую вы можете совершить, — это оставить секретные ключи секретного доступа на сервере, обращенном к сети, очень конфиденциальным Итак, когда приходит время установить и аутентифицировать CLI AWS на удаленном экземпляре EC2, как вы его настраиваете?

Вы должны использовать пользователей IAM

Ответ точно нет использование корневых ключей доступа — это самые важные токены в вашей учетной записи, и они могут обойти любое настроенное вами устройство многофакторной аутентификации. (Вы можете настроить MFA-защищенный доступ к API но не для учетной записи root.)

AWS предоставляет сервис, чтобы исправить это. Консоль «Identity and Access Management» (IAM) позволяет создавать дочерних пользователей отдельно от вашей корневой учетной записи. Это могут быть пользователи службы с доступом к API или полные учетные записи пользователей (с доступом к консоли управления AWS), которые можно использовать для учетных записей сотрудников.

Программы для Windows, мобильные приложения, игры - ВСЁ БЕСПЛАТНО, в нашем закрытом телеграмм канале - Подписывайтесь:)

Каждый пользователь IAM имеет доступ к ресурсам AWS в вашей учетной записи. Доступ контролируется с помощью политик, которые выдают набор разрешений, управляющих действиями каждого пользователя. Эти подробные политики могут контролировать практически все действия, которые вы можете выполнять в Консоли управления AWS.

Вы также можете вручную установить границу разрешений, которая действует как максимальное разрешение, которое пользователь не может пройти, переопределяя любую политику, которая может предоставить им больше. Это расширенная функция, используемая для делегирования управления разрешениями сотрудникам IAM и позволяющая им создавать дополнительные роли служб без повышения привилегий.

Как настроить пользователей IAM

Из Консоль управления IAMнажмите на вкладку «Пользователи» и выберите «Добавить пользователя».

IAM создать пользователя

Дайте ему имя, затем выберите способ доступа этого пользователя к AWS. Программный доступ дает вам идентификатор ключа доступа и секретный ключ доступа, используемые для аутентификации с помощью AWS API и CLI.

Доступ к консоли управления позволяет пользователю получить доступ к веб-консоли, которую вы включаете, если вы предоставляете сотруднику доступ. Если вы настраиваете это, AWS по умолчанию дает автоматически сгенерированный пароль и заставляет сотрудника менять его при входе в систему.

Вы можете предоставить оба типа доступа, если хотите.

IAM тип доступа

Далее вы настраиваете разрешения. AWS предоставляет множество готовых политик, которые вы можете прикрепить непосредственно к пользователю. Вы также можете создать группу и добавить пользователя в эту группу, что позволит вам более легко управлять несколькими пользователями.

Селектор разрешений

На самом деле, мы не рекомендуем использовать большинство этих готовых политик. Вы действительно не хотите предоставлять «Полный доступ» какой-либо отдельной службе, а другой альтернативой обычно является «Только чтение», что, вероятно, само по себе недостаточно для доступа. Некоторые из более точно настроенных разрешений хороши, но вы действительно должны создать свои собственные.

Вы быстро поймете, почему «Полный доступ» — плохая идея. Допустим, вы настраиваете сервер, которому требуется доступ к S3 и загрузка объектов. Возможно, вы захотите предоставить ему доступ «Запись», но это также позволяет этому пользователю удалять целые сегменты, что вовсе не идеально. Лучшее решение — дать разрешение «PutObject», которое позволяет выполнять запросы PUT.

Включение

Эти разрешения достаточно интенсивны и варьируются от сервиса к сервису, но вы всегда можете нажать на знак вопроса рядом с названием разрешения, чтобы получить быстрое определение. В противном случае вы можете прочитать наше руководство по разрешениям IAM, чтобы узнать больше.

Вы можете (и, вероятно, должны) ограничить доступ к определенным ресурсам по их имени ресурса Amazon (ARN), которое отключает доступ для всей учетной записи. Есть также определенные условия, которые вы можете прикрепить к разрешениям, такие как дата и время, которые AWS проверяет перед тем, как разрешить действие.

Завершив прикрепление разрешений, вы можете создать пользователя (опционально сначала добавив теги). Вы попадаете на экран, где вы можете загрузить или скопировать ключи доступа, и если вы добавляете доступ к консоли управления, появится ссылка для входа, которую вы можете отправить сотруднику, владеющему учетной записью.

Замените свою корневую учетную запись на пользователя IAM

AWS фактически рекомендует это для организационных учетных записей. Вместо того, чтобы использовать свою учетную запись root для таких вещей, как личный интерфейс командной строки, вы должны создать пользователя IAM «Администратор» с доступом к консоли управления и использовать маркер доступа от него для аутентификации вашего личного терминала.

Это не означает, что вы должны рассматривать учетные данные для этого пользователя IAM как менее безопасные, чем ваша корневая учетная запись — это все равно разрушит ваш день, если ваша учетная запись администратора будет скомпрометирована, поэтому вам следует продолжать использовать служебные учетные записи для удаленных приложений, и все равно обязательно включите многофакторную аутентификацию для вашей учетной записи администратора IAM. Однако использование пользователя IAM вместо корневой учетной записи более безопасно, поскольку существуют определенные действия для всей учетной записи, которые может выполнять только настоящая корневая учетная запись.

При такой настройке единственная вещь, для которой вы используете свою корневую учетную запись, — это супер-безопасные вещи, которые напрямую связаны с вашей корневой учетной записью, такие как обслуживание учетной записи и выставление счетов. Для всего остального достаточно прав администратора, что позволяет Удалить ваши корневые ключи доступа так что вы можете получить доступ только к учетной записи root, выполнив вход вручную (и передав MFA).

Программы для Windows, мобильные приложения, игры - ВСЁ БЕСПЛАТНО, в нашем закрытом телеграмм канале - Подписывайтесь:)

Похожие записи

Добавить комментарий

Ваш адрес email не будет опубликован.