AWS訪(fǎng)問(wèn)管理功能

本章涵蓋以下主題：

身份和訪(fǎng)問(wèn)管理：如果您的AWS體系結(jié)構(gòu)無(wú)法保護(hù)它，您的AWS體系結(jié)構(gòu)將何去何從？這將是一個(gè)非常非常糟糕的地方。IAM是AWS安全性的關(guān)鍵要素，本章的這一部分可確保您了解AWS中IAM的組件以及這些組件如何協(xié)同工作，以幫助保護(hù)您的環(huán)境。

IAM的最佳實(shí)踐：雖然AWS使IAM變得非常簡(jiǎn)單，但您應(yīng)始終遵循公認(rèn)的最佳實(shí)踐。本章的這一部分為您提供了這些最佳實(shí)踐。

您需要您的用戶(hù)和工程師同事能夠根據(jù)AWS進(jìn)行身份驗(yàn)證，然后嚴(yán)格定義他們的訪(fǎng)問(wèn)權(quán)限。AWS身份和訪(fǎng)問(wèn)管理(IAM)是履行這些職責(zé)的主要工具。在本章中，準(zhǔn)備深入了解IAM。

身份和訪(fǎng)問(wèn)管理

當(dāng)涉及到訪(fǎng)問(wèn)您的帳戶(hù)（根帳戶(hù)），然后在其中工作時(shí),您需要AWS的身份和訪(fǎng)問(wèn)管理(IAM)服務(wù)。IAM允許您向其他個(gè)人授予對(duì)服務(wù)進(jìn)行團(tuán)隊(duì)管理的訪(fǎng)問(wèn)權(quán)限。IAM允許非常精細(xì)的權(quán)限。例如，您可以只授予某人對(duì)S3中單個(gè)對(duì)象桶的讀取訪(fǎng)問(wèn)權(quán)限。IAM的其他功能包括:

在AWS中從服務(wù)到服務(wù)的訪(fǎng)問(wèn)：例如,您可以讓在EC2實(shí)例上運(yùn)行的應(yīng)用程序訪(fǎng)問(wèn)S3存儲(chǔ)桶。正如您將在本章后面了解到的那樣，我們經(jīng)常使用角色進(jìn)行此類(lèi)訪(fǎng)問(wèn)。

多重身份驗(yàn)證(MFA)：允許使用密碼和來(lái)自已批準(zhǔn)設(shè)備的代碼進(jìn)行訪(fǎng)問(wèn)，從而大大增強(qiáng)了安全性。圖7-1顯示了IAM管理控制臺(tái)中MFA的配置區(qū)域。

身份聯(lián)盟：已使用其他服務(wù)進(jìn)行身份驗(yàn)證的用戶(hù)可以臨時(shí)訪(fǎng)問(wèn)您帳戶(hù)中的資源和服務(wù)。

用于保證的標(biāo)識(shí)信息：CloudTrail可以針對(duì)您帳戶(hù)中的每個(gè)服務(wù)和資源跟蹤和記錄所有SPI活動(dòng)。圖7-2顯示了AWS中的CloudTrail儀表板。

PCI DSS合規(guī)性：IAM支持商家或服務(wù)提供商處理、存儲(chǔ)和傳輸信用卡數(shù)據(jù)，并已驗(yàn)證其符合支付卡行業(yè)(PCI)數(shù)據(jù)安全標(biāo)準(zhǔn)(DSS)。

集成:為了取得成功，IAM與AWS的所有主要服務(wù)集成。

最終一致：Amazon通過(guò)其全球基礎(chǔ)架構(gòu)在全球范圍內(nèi)復(fù)制重要數(shù)據(jù)，以幫助確保高可用性(HA)。因此，某些位置的數(shù)據(jù)可能會(huì)使其他位置滯后。因此，使用IAM，請(qǐng)考慮先實(shí)現(xiàn)IAM的更改，然后在使用相關(guān)服務(wù)部署之前驗(yàn)證完全復(fù)制。

始終免費(fèi)：雖然AWS的某些服務(wù)可以免費(fèi)使用一年(使用免費(fèi)套餐賬戶(hù))，但I(xiàn)AM服務(wù)在您的帳戶(hù)生命周期內(nèi)仍然是免費(fèi)的。

輔助功能選項(xiàng)：您可以通過(guò)多種方式訪(fǎng)問(wèn)IAM的組件,包括AWS管理控制臺(tái)、AWS命令行工具、AWS sdk和IAM HTTPS API。

了解將在IAM中使用的主要標(biāo)識(shí)是非常重要的。請(qǐng)注意，IAM除了這些身份之外，還有更多的內(nèi)容，但在您的AWS教育中，此時(shí)我們將涵蓋主要的基本組件。

標(biāo)識(shí)包括以下內(nèi)容：

·AWS賬戶(hù)根用戶(hù)：這是您在注冊(cè)AWS時(shí)建立的帳戶(hù)；請(qǐng)注意，此帳戶(hù)的用戶(hù)名是用于注冊(cè)的電子郵件地址。

·用戶(hù)：這些是您在AWS中創(chuàng)建的實(shí)體，用于表示使用IAM用戶(hù)與AWS交互的人員或服務(wù)。創(chuàng)建IAM用戶(hù)時(shí)，可以通過(guò)使其成為附加了適當(dāng)權(quán)限策略(推薦)的組的成員或直接將策略附加到用戶(hù)來(lái)授予該用戶(hù)權(quán)限。您還可以克隆現(xiàn)有IAM用戶(hù)的權(quán)限，這將自動(dòng)使新用戶(hù)成為同一組的成員，并附加所有相同的策略。圖7-3顯示了AWS中的用戶(hù)。

組:IAM用戶(hù)的集合。您可以使用組指定用戶(hù)集合的權(quán)限，這可以使這些權(quán)限更易于管理這些用戶(hù)。

角色:這些帳戶(hù)類(lèi)似于用戶(hù)帳戶(hù)，但它們沒(méi)有與之關(guān)聯(lián)的任何憑據(jù)(密碼或訪(fǎng)問(wèn)密鑰)。

使用IAM的最佳實(shí)踐

雖然AWS中的IAM提供了許多令人興奮的功能，但其復(fù)雜性可能會(huì)導(dǎo)致組織在使用服務(wù)時(shí)出現(xiàn)致命缺陷。這就是為什么遵循最佳做法至關(guān)重要的原因。

您應(yīng)該考慮遵循這些建議中的大多數(shù)(如果不是全部的話(huà))。

·安全地存儲(chǔ)根用戶(hù)訪(fǎng)問(wèn)密鑰：應(yīng)很少使用AWS實(shí)現(xiàn)的根用戶(hù)帳戶(hù)。說(shuō)到這里，保護(hù)此帳戶(hù)的訪(fǎng)問(wèn)密鑰ID和密鑰是非常重要的。您必須確保這些憑據(jù)在您自己的基礎(chǔ)結(jié)構(gòu)中得到保護(hù)，并以最謹(jǐn)慎的態(tài)度對(duì)待它們。事實(shí)上，在高安全性環(huán)境中，請(qǐng)考慮不定義根帳戶(hù)的訪(fǎng)問(wèn)密鑰。相反,在必須使用此帳戶(hù)的極少數(shù)時(shí)間中，請(qǐng)使用電子郵件地址、復(fù)雜密碼和物理多重身份驗(yàn)證。

·創(chuàng)建單個(gè)IAM用戶(hù)：因?yàn)槟幌朐贏WS實(shí)現(xiàn)中使用根帳戶(hù)，所以創(chuàng)建其他用戶(hù)帳戶(hù)至關(guān)重要。這將包括為您自己，以便您不需要使用根帳戶(hù)。在較大的組織中，您將有一個(gè)大型團(tuán)隊(duì)在AWS上工作。您必須為員工創(chuàng)建多個(gè)帳戶(hù)，以確保每個(gè)人都在對(duì)每個(gè)成員執(zhí)行其工作所需的資源和權(quán)限進(jìn)行身份驗(yàn)證和授權(quán)。對(duì)于每個(gè)需要管理訪(fǎng)問(wèn)權(quán)限的人，您很可能在IAM中至少有一個(gè)帳戶(hù)。

·使用組將權(quán)限分配給IAM用戶(hù)：即使看起來(lái)很愚蠢，但如果您是AWS實(shí)現(xiàn)的唯一管理員，您也需要?jiǎng)?chuàng)建一個(gè)組并為此組分配權(quán)限。為什么？如果確實(shí)需要增長(zhǎng)和雇用其他管理員，則只需將該用戶(hù)帳戶(hù)添加到您創(chuàng)建的組中即可。我們始終希望我們的AWS實(shí)現(xiàn)能夠擴(kuò)展，使用組有助于確保這一點(diǎn)。還應(yīng)該注意的是，將權(quán)限應(yīng)用于組而不是單個(gè)用戶(hù)帳戶(hù)也將有助于消除分配錯(cuò)誤，因?yàn)槲覀冋谧畲笙薅鹊販p少必須授予的權(quán)限量。

·使用aws定義的權(quán)限策略：Amazon對(duì)我們非常友好。他們定義了大量我們?cè)谑褂肐AM時(shí)可以輕松利用的策略。此外，AWS在引入新服務(wù)和API操作時(shí)維護(hù)和更新這些策略。AWS為我們創(chuàng)建的策略是圍繞我們需要執(zhí)行的最常見(jiàn)任務(wù)定義的。這些構(gòu)成了你自己的政策的一個(gè)很好的起點(diǎn)。您可以復(fù)制給定的策略并對(duì)其進(jìn)行自定義，使其更加安全。通常情況下，您會(huì)發(fā)現(xiàn)默認(rèn)定義的策略在訪(fǎng)問(wèn)權(quán)限方面過(guò)于寬泛。

·授予最少權(quán)限：為什么您最終會(huì)在AWS中擁有許多不同的帳戶(hù)？好吧，你總是想用為你要完成的任務(wù)提供最少特權(quán)的賬戶(hù)登錄。這樣，如果攻擊者確實(shí)設(shè)法捕獲您的安全憑據(jù)，并開(kāi)始作為您在AWS體系結(jié)構(gòu)中的角色，他們可能會(huì)造成有限的損害。例如，如果您只需要監(jiān)視AWS S3存儲(chǔ)桶中的文件，則可以使用僅對(duì)這些存儲(chǔ)桶具有讀取權(quán)限的帳戶(hù)。這肯定會(huì)限制攻擊者可能造成的傷害。

·查看IAM權(quán)限：當(dāng)涉及到IAM中的權(quán)限時(shí)，不應(yīng)使用“設(shè)置和忘記”策略。您應(yīng)該一致地查看分配的權(quán)限級(jí)別，以確保您遵循的是最小特權(quán)概念，并且您仍在向需要這些權(quán)限的組授予這些權(quán)限。在IAM中甚至有一個(gè)策略摘要選項(xiàng)來(lái)促進(jìn)這一點(diǎn)。

·始終為您的用戶(hù)配置強(qiáng)密碼策略：這是人性的一個(gè)可悲事實(shí)。您的用戶(hù)往往會(huì)懶得設(shè)置(和更改)他們的密碼。他們傾向于使用簡(jiǎn)單的密碼，這些密碼很容易讓他們記住。不幸的是，這些簡(jiǎn)單的密碼也很容易破解。通過(guò)設(shè)置用戶(hù)必須遵守的強(qiáng)密碼策略來(lái)幫助您的安全。圖7-4顯示了IAM管理控制臺(tái)中用戶(hù)帳戶(hù)密碼策略的配置。

為特權(quán)用戶(hù)帳戶(hù)啟用多重身份驗(yàn)證：當(dāng)然，您對(duì)很少使用的AWS根帳戶(hù)執(zhí)行此操作，但也應(yīng)保護(hù)在AWS中創(chuàng)建的關(guān)鍵管理帳戶(hù)。使用多重身份驗(yàn)證(MFA)可確保用戶(hù)了解某些內(nèi)容（如密碼），并擁有某些內(nèi)容(如智能手機(jī))。在當(dāng)今大多數(shù)AWS環(huán)境中，MFA被認(rèn)為是強(qiáng)制性的。

使用角色：當(dāng)您在需要訪(fǎng)問(wèn)其他服務(wù)或資源的EC2實(shí)例上運(yùn)行應(yīng)用程序或服務(wù)時(shí)，應(yīng)考慮在AWS中使用角色。

使用角色委派權(quán)限:當(dāng)您需要允許一個(gè)AWS帳戶(hù)訪(fǎng)問(wèn)另一個(gè)AWS帳戶(hù)中的資源時(shí)，角色也可能非常有價(jià)值。這是一個(gè)更安全的選項(xiàng)，為其他AWS帳戶(hù)提供您帳戶(hù)的用戶(hù)名和密碼信息。

不要共享訪(fǎng)問(wèn)密鑰：獲取允許編程訪(fǎng)問(wèn)服務(wù)或資源的訪(fǎng)問(wèn)密鑰，并與需要相同訪(fǎng)問(wèn)的另一個(gè)帳戶(hù)共享這些密鑰可能很有誘惑力。抵制這種誘惑。請(qǐng)記住，您始終可以創(chuàng)建包含所需訪(fǎng)問(wèn)權(quán)限的角色。

旋轉(zhuǎn)憑據(jù)：請(qǐng)務(wù)必定期在AWS中更改密碼和訪(fǎng)問(wèn)密鑰。當(dāng)然，這樣做的原因是,如果這些憑據(jù)受到威脅，您將最大限度地減少在被盜憑據(jù)不再起作用時(shí)可以造成的損害!

刪除不必要的憑據(jù)：因?yàn)樵贏WS中學(xué)習(xí)和測(cè)試新功能非常容易，因此，只要您將IAM組件放在不再需要的位置，它就會(huì)變得很混亂。一定要定期審核你的資源，發(fā)現(xiàn)任何不再需要的“糞便”。Aws甚至在這方面協(xié)助圍繞最近未使用的憑據(jù)構(gòu)建報(bào)告。

使用策略條件：始終考慮在安全策略中構(gòu)建條件。例如,訪(fǎng)問(wèn)可能必須來(lái)自選定的IP地址范圍。或者可能需要MFA?；蛘呖赡苡幸惶熘械臅r(shí)間或一周中的一天條件。

監(jiān)視、監(jiān)視、監(jiān)視：AWS服務(wù)提供了大量日志記錄的選項(xiàng)。以下是一些仔細(xì)的日志記錄和分析可以顯著提高安全性的服務(wù):

·CloudFront

·CloudTrail

·CloudWatch

·AWS Config

·S3