AWS訪問管理功能

本章涵蓋以下主題：

身份和訪問管理：如果您的AWS體系結(jié)構(gòu)無法保護它，您的AWS體系結(jié)構(gòu)將何去何從？這將是一個非常非常糟糕的地方。IAM是AWS安全性的關(guān)鍵要素，本章的這一部分可確保您了解AWS中IAM的組件以及這些組件如何協(xié)同工作，以幫助保護您的環(huán)境。

IAM的最佳實踐：雖然AWS使IAM變得非常簡單，但您應(yīng)始終遵循公認(rèn)的最佳實踐。本章的這一部分為您提供了這些最佳實踐。

您需要您的用戶和工程師同事能夠根據(jù)AWS進行身份驗證，然后嚴(yán)格定義他們的訪問權(quán)限。AWS身份和訪問管理(IAM)是履行這些職責(zé)的主要工具。在本章中，準(zhǔn)備深入了解IAM。

身份和訪問管理

當(dāng)涉及到訪問您的帳戶（根帳戶），然后在其中工作時,您需要AWS的身份和訪問管理(IAM)服務(wù)。IAM允許您向其他個人授予對服務(wù)進行團隊管理的訪問權(quán)限。IAM允許非常精細(xì)的權(quán)限。例如，您可以只授予某人對S3中單個對象桶的讀取訪問權(quán)限。IAM的其他功能包括:

在AWS中從服務(wù)到服務(wù)的訪問：例如,您可以讓在EC2實例上運行的應(yīng)用程序訪問S3存儲桶。正如您將在本章后面了解到的那樣，我們經(jīng)常使用角色進行此類訪問。

多重身份驗證(MFA)：允許使用密碼和來自已批準(zhǔn)設(shè)備的代碼進行訪問，從而大大增強了安全性。圖7-1顯示了IAM管理控制臺中MFA的配置區(qū)域。

身份聯(lián)盟：已使用其他服務(wù)進行身份驗證的用戶可以臨時訪問您帳戶中的資源和服務(wù)。

用于保證的標(biāo)識信息：CloudTrail可以針對您帳戶中的每個服務(wù)和資源跟蹤和記錄所有SPI活動。圖7-2顯示了AWS中的CloudTrail儀表板。

PCI DSS合規(guī)性：IAM支持商家或服務(wù)提供商處理、存儲和傳輸信用卡數(shù)據(jù)，并已驗證其符合支付卡行業(yè)(PCI)數(shù)據(jù)安全標(biāo)準(zhǔn)(DSS)。

集成:為了取得成功，IAM與AWS的所有主要服務(wù)集成。

最終一致：Amazon通過其全球基礎(chǔ)架構(gòu)在全球范圍內(nèi)復(fù)制重要數(shù)據(jù)，以幫助確保高可用性(HA)。因此，某些位置的數(shù)據(jù)可能會使其他位置滯后。因此，使用IAM，請考慮先實現(xiàn)IAM的更改，然后在使用相關(guān)服務(wù)部署之前驗證完全復(fù)制。

始終免費：雖然AWS的某些服務(wù)可以免費使用一年(使用免費套餐賬戶)，但IAM服務(wù)在您的帳戶生命周期內(nèi)仍然是免費的。

輔助功能選項：您可以通過多種方式訪問IAM的組件,包括AWS管理控制臺、AWS命令行工具、AWS sdk和IAM HTTPS API。

了解將在IAM中使用的主要標(biāo)識是非常重要的。請注意，IAM除了這些身份之外，還有更多的內(nèi)容，但在您的AWS教育中，此時我們將涵蓋主要的基本組件。

標(biāo)識包括以下內(nèi)容：

·AWS賬戶根用戶：這是您在注冊AWS時建立的帳戶；請注意，此帳戶的用戶名是用于注冊的電子郵件地址。

·用戶：這些是您在AWS中創(chuàng)建的實體，用于表示使用IAM用戶與AWS交互的人員或服務(wù)。創(chuàng)建IAM用戶時，可以通過使其成為附加了適當(dāng)權(quán)限策略(推薦)的組的成員或直接將策略附加到用戶來授予該用戶權(quán)限。您還可以克隆現(xiàn)有IAM用戶的權(quán)限，這將自動使新用戶成為同一組的成員，并附加所有相同的策略。圖7-3顯示了AWS中的用戶。

組:IAM用戶的集合。您可以使用組指定用戶集合的權(quán)限，這可以使這些權(quán)限更易于管理這些用戶。

角色:這些帳戶類似于用戶帳戶，但它們沒有與之關(guān)聯(lián)的任何憑據(jù)(密碼或訪問密鑰)。

使用IAM的最佳實踐

雖然AWS中的IAM提供了許多令人興奮的功能，但其復(fù)雜性可能會導(dǎo)致組織在使用服務(wù)時出現(xiàn)致命缺陷。這就是為什么遵循最佳做法至關(guān)重要的原因。

您應(yīng)該考慮遵循這些建議中的大多數(shù)(如果不是全部的話)。

·安全地存儲根用戶訪問密鑰：應(yīng)很少使用AWS實現(xiàn)的根用戶帳戶。說到這里，保護此帳戶的訪問密鑰ID和密鑰是非常重要的。您必須確保這些憑據(jù)在您自己的基礎(chǔ)結(jié)構(gòu)中得到保護，并以最謹(jǐn)慎的態(tài)度對待它們。事實上，在高安全性環(huán)境中，請考慮不定義根帳戶的訪問密鑰。相反,在必須使用此帳戶的極少數(shù)時間中，請使用電子郵件地址、復(fù)雜密碼和物理多重身份驗證。

·創(chuàng)建單個IAM用戶：因為您不想在AWS實現(xiàn)中使用根帳戶，所以創(chuàng)建其他用戶帳戶至關(guān)重要。這將包括為您自己，以便您不需要使用根帳戶。在較大的組織中，您將有一個大型團隊在AWS上工作。您必須為員工創(chuàng)建多個帳戶，以確保每個人都在對每個成員執(zhí)行其工作所需的資源和權(quán)限進行身份驗證和授權(quán)。對于每個需要管理訪問權(quán)限的人，您很可能在IAM中至少有一個帳戶。

·使用組將權(quán)限分配給IAM用戶：即使看起來很愚蠢，但如果您是AWS實現(xiàn)的唯一管理員，您也需要創(chuàng)建一個組并為此組分配權(quán)限。為什么？如果確實需要增長和雇用其他管理員，則只需將該用戶帳戶添加到您創(chuàng)建的組中即可。我們始終希望我們的AWS實現(xiàn)能夠擴展，使用組有助于確保這一點。還應(yīng)該注意的是，將權(quán)限應(yīng)用于組而不是單個用戶帳戶也將有助于消除分配錯誤，因為我們正在最大限度地減少必須授予的權(quán)限量。

·使用aws定義的權(quán)限策略：Amazon對我們非常友好。他們定義了大量我們在使用IAM時可以輕松利用的策略。此外，AWS在引入新服務(wù)和API操作時維護和更新這些策略。AWS為我們創(chuàng)建的策略是圍繞我們需要執(zhí)行的最常見任務(wù)定義的。這些構(gòu)成了你自己的政策的一個很好的起點。您可以復(fù)制給定的策略并對其進行自定義，使其更加安全。通常情況下，您會發(fā)現(xiàn)默認(rèn)定義的策略在訪問權(quán)限方面過于寬泛。

·授予最少權(quán)限：為什么您最終會在AWS中擁有許多不同的帳戶？好吧，你總是想用為你要完成的任務(wù)提供最少特權(quán)的賬戶登錄。這樣，如果攻擊者確實設(shè)法捕獲您的安全憑據(jù)，并開始作為您在AWS體系結(jié)構(gòu)中的角色，他們可能會造成有限的損害。例如，如果您只需要監(jiān)視AWS S3存儲桶中的文件，則可以使用僅對這些存儲桶具有讀取權(quán)限的帳戶。這肯定會限制攻擊者可能造成的傷害。

·查看IAM權(quán)限：當(dāng)涉及到IAM中的權(quán)限時，不應(yīng)使用“設(shè)置和忘記”策略。您應(yīng)該一致地查看分配的權(quán)限級別，以確保您遵循的是最小特權(quán)概念，并且您仍在向需要這些權(quán)限的組授予這些權(quán)限。在IAM中甚至有一個策略摘要選項來促進這一點。

·始終為您的用戶配置強密碼策略：這是人性的一個可悲事實。您的用戶往往會懶得設(shè)置(和更改)他們的密碼。他們傾向于使用簡單的密碼，這些密碼很容易讓他們記住。不幸的是，這些簡單的密碼也很容易破解。通過設(shè)置用戶必須遵守的強密碼策略來幫助您的安全。圖7-4顯示了IAM管理控制臺中用戶帳戶密碼策略的配置。

為特權(quán)用戶帳戶啟用多重身份驗證：當(dāng)然，您對很少使用的AWS根帳戶執(zhí)行此操作，但也應(yīng)保護在AWS中創(chuàng)建的關(guān)鍵管理帳戶。使用多重身份驗證(MFA)可確保用戶了解某些內(nèi)容（如密碼），并擁有某些內(nèi)容(如智能手機)。在當(dāng)今大多數(shù)AWS環(huán)境中，MFA被認(rèn)為是強制性的。

使用角色：當(dāng)您在需要訪問其他服務(wù)或資源的EC2實例上運行應(yīng)用程序或服務(wù)時，應(yīng)考慮在AWS中使用角色。

使用角色委派權(quán)限:當(dāng)您需要允許一個AWS帳戶訪問另一個AWS帳戶中的資源時，角色也可能非常有價值。這是一個更安全的選項，為其他AWS帳戶提供您帳戶的用戶名和密碼信息。

不要共享訪問密鑰：獲取允許編程訪問服務(wù)或資源的訪問密鑰，并與需要相同訪問的另一個帳戶共享這些密鑰可能很有誘惑力。抵制這種誘惑。請記住，您始終可以創(chuàng)建包含所需訪問權(quán)限的角色。

旋轉(zhuǎn)憑據(jù)：請務(wù)必定期在AWS中更改密碼和訪問密鑰。當(dāng)然，這樣做的原因是,如果這些憑據(jù)受到威脅，您將最大限度地減少在被盜憑據(jù)不再起作用時可以造成的損害!

刪除不必要的憑據(jù)：因為在AWS中學(xué)習(xí)和測試新功能非常容易，因此，只要您將IAM組件放在不再需要的位置，它就會變得很混亂。一定要定期審核你的資源，發(fā)現(xiàn)任何不再需要的“糞便”。Aws甚至在這方面協(xié)助圍繞最近未使用的憑據(jù)構(gòu)建報告。

使用策略條件：始終考慮在安全策略中構(gòu)建條件。例如,訪問可能必須來自選定的IP地址范圍?；蛘呖赡苄枰狹FA?；蛘呖赡苡幸惶熘械臅r間或一周中的一天條件。

監(jiān)視、監(jiān)視、監(jiān)視：AWS服務(wù)提供了大量日志記錄的選項。以下是一些仔細(xì)的日志記錄和分析可以顯著提高安全性的服務(wù):

·CloudFront

·CloudTrail

·CloudWatch

·AWS Config

·S3