IAM - назначение ролевой идентификации в AWS

Локальное администрирование виртуальных машин Linux, мы создаем такие удостоверения, как пользователь, группа, и назначаем политики для удостоверения группы. Мы не думаем о ролевой идентичности.

В облаке AWS, помимо создания идентификаторов пользователей и групп,

мы также создаем удостоверение ролей с политиками разрешений, которые определяют, что удостоверение может и что не может делать в AWS.

Роль может быть, например, служебной (EC2-> S3) или простой ролью.

Что делает идентификация ролей в AWS, чего не дает идентификация пользователя и группы?


amazon-web-services amazon-iam aws-iam
person overexchange    schedule 10.12.2018    source источник
comment
Я думаю, что основная суть ролей заключается в том, что ресурсы могут принимать роли, и вам не нужно поддерживать имена пользователей / пароли или KeyIds / SecretKeys. Например, вместо того, чтобы хранить секреты в исходном коде, вы включаете EC2 в роль, и она автоматически получает правильные разрешения. Это намного безопаснее, а клавиши вращаются автоматически. Таким образом, если кто-то завладел вашим исходным кодом, он не получит вместе с ним секретных ключей.   -  person Dmitri Sandler    schedule 11.12.2018
comment
@DmitriSandler, почему у нас не было необходимости, чтобы ресурсы брали на себя роли в локальной среде Linux? Локальная среда может иметь аналогичную среду, например efs (/ usr), ebs (/ sbin) и т. Д.   -  person overexchange    schedule 11.12.2018
comment
Возможный дубликат роли AWS IAM в сравнении с группой   -  person S.V.    schedule 11.12.2018
comment
@overexchange, как правило, локальная среда довольно монолитна (простите за чрезмерно используемый термин). Обычно это означает, что виртуальные машины имеют более длительный срок службы, а пароли / ключи не меняются с очень высокой скоростью. Вы могли бы использовать что-то вроде Ansible / Puppet / Chief, чтобы поддерживать конфигурацию кластера виртуальных машин и редко (относительно) изменять ее. Я бы посмотрел на роли как на следующее поколение или продвинутые группы. Я не совсем понимаю, что вы имеете в виду под EFS (/ usr) и EBS (/ sbin) на предварительном уровне. Если бы вы могли объяснить и, возможно, дать мне более конкретный пример, я мог бы попытаться помочь дальше.   -  person Dmitri Sandler    schedule 13.12.2018
comment
@DmitriSandler Локально мы храним /home/abc файловую систему в общей файловой системе, и все виртуальные машины в сети подключаются к ней. Таким образом, одна виртуальная машина, обновляющая /home/abc папку на одной виртуальной машине, может видеть обновления на другой виртуальной машине с тем же именем входа. Это не что иное, как EFS в AWS.   -  person overexchange    schedule 13.12.2018
comment
@overexchange, в зависимости от требований безопасности вашей организации и тактики снижения рисков, может быть введена ротация паролей / ключей. Существует множество корпоративных решений, которые выполняют управление паролями / ключами. Например, LastPass позволяет автоматизировать ротацию паролей, а также заставлять администраторов вводить пароли для регистрации и отъезда, гарантируя, что пароли меняются при каждой регистрации (или в соответствии с вашей индивидуальной политикой). . Фактически, предотвращение того, чтобы кто-либо удерживал пароль в течение длительного периода времени. Функции LastPass   -  person Dmitri Sandler    schedule 13.12.2018
comment
@overexchange, Я хочу сказать, что роль IAM - это способ AWS автоматизировать задачи управления ключами / паролями в попытке улучшить и упростить ваши методы обеспечения безопасности. Это ответ на ваш вопрос?   -  person Dmitri Sandler    schedule 13.12.2018
comment
@DmitriSandler да, понял   -  person overexchange    schedule 13.12.2018
comment
@overexchange Не могли бы вы отметить ответ ниже как ответ, если он вам помог.   -  person Dmitri Sandler    schedule 20.03.2019

Ответы (1)


arrow_upward
1
arrow_downward

Обзор

По мере того как организации по всему миру создают новые политики безопасности, направленные на минимизацию рисков и уязвимости компании. Системные администраторы должны соглашаться на выполнение более сложных административных задач, связанных с управлением учетными данными. AWS IAM Roles - это новый инструмент, который администраторы могут использовать для снижения административных издержек, связанных с управлением паролями / ключами. Роли можно рассматривать как расширение прав пользователя / группы.

Роли AWS IAM

Роли позволяют ресурсам (например, EC2) принимать разрешения и получать доступ к ресурсам без сохранения ключей доступа в исходном коде. Также роли автоматически поворачивают ключи, чтобы ограничить уязвимость в случае взлома ключа.

Локально

Многие организации переходят на решения для управления учетными данными. Программное обеспечение для управления учетными данными предприятия обычно позволяет заставлять пользователей регистрировать / снимать пароли / ключи, менять пароли / ключи при регистрации, не позволяя пользователям удерживать пароли. Администраторы также могут создавать собственные политики для управления всеми аспектами управления ключами / паролями. Одним из примеров является LastPass, имеющий эти features.

person Dmitri Sandler    schedule 14.12.2018