Hvad er IAM (Identity and Access Management) i AWS?



Identity and Access Management er en webtjeneste, der sikkert styrer adgangen til AWS-ressourcer. Med IAM kan du kontrollere godkendelse og godkendelse.

Organisationer skal have kontrol over, hvem der har tilladelse til at få adgang til deres AWS-ressourcer, hvilke ressourcer der er tilgængelige, og hvilke handlinger autoriserede brugere kan udføre. Formålet med AWS IAM er at hjælpe it-administratorer med at administrere brugeridentiteter og deres forskellige niveauer af adgang til AWS-ressourcer. I denne artikel vil vi forstå funktionerne og arbejdsproceduren for IAM (Identity and Access Management) i følgende rækkefølge:

Hvad er identitets- og adgangsstyring?

AWS identitets- og adgangsstyring (IAM) er en webservice, der hjælper dig med sikker kontrol af adgang til AWS-ressourcer. Med IAM kan du kontrollere, hvem der er godkendt og autoriseret til at bruge ressourcer.





AWS IAM - identitets- og adgangsstyring - edureka

Når du først opretter en AWS-konto, har du brug for en enkelt login-identitet for at få adgang til alle Denne identitet kaldes AWS-kontoens rodbruger. Du kan få adgang til det ved at logge ind med det e-mail-id og den adgangskode, du brugte til at oprette kontoen. AWS IAM hjælper med at udføre følgende opgaver:



  • Det bruges til at indstille brugere, tilladelser og roller. Det giver dig mulighed for at give adgang til de forskellige dele af AWS-platformen
  • Det gør det også muligt for Amazon Web Services-kunder at administrere brugere og brugertilladelser i AWS
  • Med IAM kan organisationer centralt administrere brugere, sikkerhedsoplysninger såsom adgangsnøgler og tilladelser
  • IAM gør det muligt for organisationen at Opret flere brugere , hver med sine egne sikkerhedsoplysninger, kontrolleret og faktureret til en enkelt AWS-konto
  • IAM giver brugeren kun mulighed for at gøre, hvad de skal gøre som en del af brugerens job

Nu hvor du ved, hvad der er IAM, skal vi se på nogle af dens funktioner.

Identitets- og adgangsstyringsfunktioner

Nogle af de vigtige funktioner i IAM inkluderer:



hvordan man hæver sig til en magt i java
  • Delt adgang til din AWS-konto : Du kan give andre personer tilladelse til at administrere og bruge ressourcer på din AWS-konto uden at skulle dele din adgangskode eller adgangsnøgle.
  • Granulære tilladelser : Du kan give forskellige personer forskellige tilladelser til forskellige ressourcer.
  • Sikker adgang til AWS-ressourcer : Du kan bruge IAM-funktioner til sikkert at give legitimationsoplysninger til applikationer, der kører på EC2-forekomster. Disse legitimationsoplysninger giver din ansøgning tilladelse til at få adgang til andre AWS-ressourcer.
  • Multifaktorautentificering (MFA) : Du kan tilføje tofaktorautentificering til din konto og til individuelle brugere for ekstra sikkerhed.
  • Identitetsforening : Du kan tillade brugere, der allerede har adgangskoder andre steder
  • Identitetsoplysninger for sikkerhed : Du modtager logoptegnelser, der indeholder oplysninger om dem, der fremsatte anmodninger om ressourcer, der er baseret på IAM-identiteter.
  • PCI DSS-overholdelse : IAM understøtter behandling, opbevaring og transmission af kreditkortdata fra en købmand eller tjenesteudbyder og er blevet valideret som værende kompatibel med Payment Card Industry (PCI) Data Security Standard (DSS).
  • Integreret med mange AWS-tjenester : Der er et antal AWS-tjenester, der fungerer med IAM.
  • Til sidst konsekvent : IAM opnår høj tilgængelighed ved at replikere data på tværs af flere servere i Amazons datacentre rundt om i verden. Ændringen er begået og gemt sikkert, når du anmoder om en ændring.
  • Gratis at bruge : Når du får adgang til andre AWS-tjenester ved hjælp af dine IAM-brugere eller AWS STS midlertidige sikkerhedsoplysninger, bliver du først opkrævet.

Lad os nu gå videre og forstå, hvordan Identity and Access Management fungerer.

Arbejde i IAM

Identity Access and Management tilbyder bedste infrastruktur der kræves for at kontrollere al autorisation og godkendelse til din AWS-konto. Her er nogle af elementerne i IAM-infrastruktur:

Princip

Princippet i AWS IAM bruges til at tage en handling på AWS-ressourcen. Den administrative IAM-bruger er det første princip, som kan give brugeren mulighed for de bestemte tjenester for at påtage sig en rolle. Du kan støtte de forenede brugere med at give applikationen adgang til din nuværende AWS-konto.

Anmodning

Mens du bruger AWS-styringskonsollen, sender API'en eller CLI automatisk anmodningen til AWS. Den specificerer følgende informationer:

  • Handlinger betragtes som principper at optræde
  • Handlingerne udføres på baggrund af ressourcer
  • De vigtigste oplysninger inkluderer miljø hvor anmodningen tidligere er fremsat

Godkendelse

Det er et af de mest almindeligt anvendte principper, der bruges til at logge på AWS, mens anmodningen sendes til den. Det består dog også af alternative tjenester som Amazon S3 som tillader anmodninger fra de ukendte brugere. For at godkende fra konsollen skal du logge på med dine loginoplysninger som brugernavn og adgangskode. Men for at godkende skal du give dem hemmeligheden og adgangsnøglen sammen med de krævede yderligere sikkerhedsoplysninger.

Bemyndigelse

Mens autorisation af IAM-værdier, der hæves fra anmodningen, kontekst til at kontrollere alle matchende politikker og evaluere, om det er tilladt eller afvist den respektive anmodning. Alle politikker er gemt i IAM som JSON dokumenter og tilbyde den specificerede tilladelse til de andre ressourcer. AWS IAM kontrollerer automatisk alle politikker, der især matcher sammenhængen med alle dine anmodninger. Hvis den enkelte handling nægtes, nægter IAM hele anmodningen og beklager at evaluere de resterende, hvilket kaldes som en eksplicit afvisning. Følgende er nogle af evalueringslogikreglerne for IAM:

  • Alle anmodninger afvises som standard
  • Eksplicit kan som standard tillade tilsidesættelser
  • En eksplicit kan også benægte tilsidesættelsen ved at tillade dem

Handlinger

Efter at have behandlet din anmodningstilladelse eller ikke godkendt automatisk, godkender AWS din handling i form af anmodning. Her er alle handlinger defineret af tjenester, og ting kan gøres ved hjælp af ressourcer som oprettelse, redigering, sletning og visning. For at tillade handlingsprincippet er vi nødt til at medtage alle de nødvendige handlinger i politikken uden at påvirke den eksisterende ressource.

Ressourcer

Efter at have fået AWS-godkendelsen kan alle handlinger i din anmodning udføres baseret på de relaterede ressourcer, der indeholder på din konto. Generelt kaldes en ressource en enhed, der findes specielt inden for tjenesterne. Disse ressourcetjenester kan defineres som et sæt af aktiviteter, der udføres især på hver eneste ressource. Hvis du vil oprette en anmodning, skal du først udføre den ikke-relaterede handling, der ikke kan nægtes.

Lad os nu tage et eksempel og forstå begrebet Identity Access Management bedre.

Identitets- og adgangsstyring: Eksempel

At forstå begrebet Identitets- og adgangsstyring (IAM) , lad os tage et eksempel. Antag at en person har en opstart med 3-4 medlemmer og vært for applikationen over Amazon. Da det er en lille organisation, har alle adgang til Amazon, hvor de kan konfigurere og udføre andre aktiviteter med deres Amazon-konto. Når holdstørrelsen vokser med et sæt mennesker i hver afdeling, foretrækker han ikke at give fuld adgang til , da de alle er ansatte, og dataene skal beskyttes. I dette tilfælde ville det være tilrådeligt at oprette et par Amazon-webservicekonti kaldet IAM-brugerne. Fordelen her er, at vi kan kontrollere i hvilket domæne de kan arbejde.

Nu, hvis holdet vokser til 4.000 mennesker med forskellige opgaver og afdelinger. Den bedste løsning ville være, at Amazon understøtter det enkelte login med katalogtjenesterne. Amazon leverer service understøttet af SAML baseret godkendelse. Det beder ikke om nogen legitimationsoplysninger, når nogen fra organisationen logger på organisationsmaskinen. Det ville så til Amazon Portal, og det ville vise tjenester, som den bestemte bruger har tilladelse til at bruge. Den største fordel ved at bruge IAM er, at der ikke er behov for at oprette flere brugere, men at implementere et simpelt login.

Med dette er vi kommet til slutningen af ​​vores artikel. Jeg håber, du forstod, hvad der er identitets- og adgangsstyring i AWS, og hvordan det fungerer.

Hvis du har besluttet at forberede dig til en AWS-certificering, skal du tjekke vores kurser på Har du et spørgsmål til os? Nævn det i kommentarfeltet i “Identitets- og adgangsstyring”, så vender vi tilbage til dig.