Давайте дружить в Телеграме: рассказываем про новые фичи, общаемся в комментах, прислушиваемся к вашим идеям Подписаться

Введение в AWS Identity и Access Management (IAM)

Команда Timeweb Cloud
Команда Timeweb Cloud
Наши инженеры, технические писатели, редакторы и маркетологи
15 апреля 2022 г.
160
7 минут чтения
Средний рейтинг статьи: 5

Перечень инструментов AWS Identity and Access Management (IAM) включает настройку доступа к облачным сервисам. Там же указывается, при каких условиях его предоставлять. Такой функционал доступен всем пользователям без дополнительной оплаты, но для подключения требуется регистрация в AWS и предварительный вход с учетными данными.

Работа С Журналами Потоков Aws Vpc Для Мониторинга Сети 1

С термином IAM связан другой – Identity Management. Он и означает управление всеми аккаунтами, зарегистрированными в облачном сервисе независимо от разработчика. Но в рамках использования ресурсов Амазон чаще применяют именно IAM. Ряд компаний, например Gartner, KuppingerCole и Forrester, разделяют систему на две области: User Administration and Provisioning (UAP) и Identity and Access (IAG).

Первая представляет собой сочетание технологий администрирования и аналитики и является как бы «фундаментом» IAM. Второй же модуль включает комплексные программные инструменты для контроля корректности идентификации, предоставления прав доступа, эффективного и безопасного управления правами. Полноценная система IAM обязательно должна включает оба элемента.

Как это работает

Благодаря политикам Amazon IAM арендатор ресурсов свободно управляет разрешениями для сотрудников и систем, выдавая требуемые привилегии. Например, можно подключать персонал только на время рабочей смены, перечень разрешений внутри каждого доступа настраивается раздельно. Система IAM по умолчанию блокирует его, чтобы исключить риски подключения посторонних.

Особенности:

  1. Инструменты контроля обеспечивают информационную безопасность, которая актуальна даже для небольших компаний.
  2. Взлом аккаунта отдельно взятого сотрудника не приводит к краху системы, потому что при таком входе злоумышленник получит доступ только к ограниченным ресурсам.
  3. Помогает в управлении автоматическое управление жизненным циклом паролей и их групп, фиксация инцидентов, выгрузка подробных отчетов.

Решение защищает от неправомерного или избыточного доступа сотрудника (посторонних), когда речь идет о базах с персональными данными, корпоративной информации, представляющей ценность для конкурентов. Такой подход практически приравнивает облачные ресурсы к локальным, закрытым от общего доступа.

Примеры использования

Типовой вариант пользы от внедрения технологии – часто предприятия имеют централизованные хранилища информации, где содержатся файлы исключительно внутреннего назначения, включая предназначенные строго для определенных должностей. Если включить к ним доступ всем подряд, возникают риски, что рядовой сотрудник скопирует данные на локальный накопитель и предоставит доступ неограниченному количеству людей

Контроль доступа управляется через создание правил. Именно в них определяют тип соединения и действие, разрешенные конкретному аккаунту. Например, открывается доступ к определенным API для автоматизированной работы с сервисами AWS IAM или определяется перечень ресурсов, которые открыты конкретному пользователю.

Примеры:

  1. IAM Access Analyzer – принцип «минимальных привилегий», когда разрешения выдаются точечно, исходя из текущих потребностей.
  2. AWS Organizations – политика управления сервисами SCP позволяет организовать выдачу одинаковых ролей внутри организации, отдельных подразделений.
  3. ABAC, или контроль доступа на основе атрибутов – детализированный пакет атрибутов для точного определения разрешений в зависимости от рабочей роли сотрудника.

Простой набор функций делают IAM-системы весьма удачным решением для развертывания корпоративной IT-инфраструктуры. Подобные возможности предоставляются на базе провайдера timeweb.cloud. Безопасность облачных систем – основа их популярности, ведь предприятиям приходится доверять внешним ресурсам коммерческую информацию.

В чем разница между элементами безопасности IAM

При настройке инструментов AWS Identity and Access Management нужно понимать разницу между пользователями, группами и ролями. Все перечисленные элементы создаются и управляются через IAM, но политики безопасности у них несколько разные. Так, любой пользователь представляет собой учетную запись, внутри которой предоставляется доступ отдельному пользователю к оплаченным ресурсам AWS. В зависимости от настроек он может просматривать или администрировать их.

Разрешения можно назначать каждому пользователю, но лучше это делать при помощи «группы», т.к. часто речь идет о нескольких аккаунтах с одинаковым функционалом. Если заранее настроить типовые роли, при появлении в системе нового будет достаточно включить его в нужную группу. И тому автоматически будут заданы необходимые параметры. Чуть сложнее работает назначение прав для определенных ролей.

Они тоже представляют собой объекты, по свойствам схожие с группами. Но связаны они уже не с конкретными пользователями, а назначаются интерактивно на каждый запускаемый экземпляр. Это делает систему безопасности максимально гибкой, позволяет давать временные разрешения за счет предоставления роли. Работа происходит без сохранения ключей доступа на локальных носителях, а права могут меняться буквально каждую сессию.

IAM-пользователи

При создании первой учетной записи она автоматически получает права администратора вместе с доступом ко всей среде. Использовать ее в повседневной работе не рекомендуется, лучше сделать новый аккаунт с необходимыми привилегиями под конкретные задачи. Если требуется несколько однотипных пользователей, есть смысл сразу объединять их по тематическим группам. Лишние же удалять, чтобы исключить доступ к AWS, например, бывших сотрудников.

Процедура создания пользователя:

  1. Зайти в «Управление доступом к идентификационным данным» в разделе «Безопасность и идентификационные данные».
  2. Выбрать пункт «Пользователи» -> «Создать новых пользователей».
  3. Ввести имена учетных записей с учетом ограничения в 64 символа.
  4. Поставить флажок на REST или Query, если для аккаунта требуется поддержка API AWS.
  5. Кликнуть кнопку «Создать».

Все, можно убедиться в появлении нового пользователя в списке и перейти к заданию пароля. Нужно выбрать аккаунт и далее «Действия пользователя» -> «Управление паролем». Здесь можно как разрешить Amazon IAM сгенерировать его, так и задать комбинацию самостоятельно. Независимо от выбора пользователю будет предложено заменить пароль при первом входе в аккаунт. Поэтому остается кликнуть «Применить» и отправить ссылку-приглашение.

IAM-группы

Применение групповой настройки разрешений доступа к ресурсам AWS IAM считается передовой практикой с точки зрения управления. Когда администратор меняет роли или какие-либо иные настройки, достаточно внести изменения в определенную группу, и они одновременно применятся ко всем пользователям, включенным в нее. Также возможен перенос из одной группы в другую, если сотрудник был перемещен из отдела в отдел.

Процедура создания группы:

  1. Выбрать «Группы» -> «Создать новую группу».
  2. Ввести наименование новой группы и перейти дальше.
  3. Пометить разрешения, какие требуется добавить.
  4. Перейти дальше и кликнуть «Создать».

Важно учитывать, что система имеет ограничение в 100 групп. После их создания нужно подключить пользователей. Последнее выполняют так – при выборе группы кликают на «Добавить пользователей в группу», далее «Выбрать пользователей» и «Добавить пользователей». В сводке появится список тех, кто теперь состоит в указанном «сообществе».

IAM-роли

Теперь подробнее о последнем элементе – ролях. Их назначают «мимо» пользователей, для определенного экземпляра вроде EC2. При обращении по API с применением ролей система access management не требует наличия ключа доступа. Такой подход заметно увеличивает безопасность, потому что внешние ресурсы не получают доступ к локальным накопителям с информацией. Из ограничений стоит отметить только возможность использовать до 250 ролей в одной учетной записи.

Процедура создания роли:

  1. Зайти в раздел «Сервис IAM» -> «Роли».
  2. Выбрать «Создать новую роль» -> «Введите имя роли»
  3. Указать интересующие варианты и сохранить изменения.

Важно учитывать, что после запуска экземпляра нельзя изменить текущую роль. Придется сначала остановить работу и задать нужные корректировки. И только затем запускать новый экземпляр с требуемыми параметрами. В зависимости от ситуации, возможно, будет лучше, если создать AMI существующего экземпляра и активировать новый с его помощью.

Выводы

Система AWS IAM предоставляет довольно гибкие условия настройки безопасности. Главное, не ограничиваться минимальным набором функций, а использовать все возможности – группы и роли. Есть еще и поддержка многофакторной аутентификации MFA, добавляющей еще один уровень безопасности, например, для автоматической активации мобильных устройств без ввода логина и пароля.

Зарегистрируйтесь и начните пользоваться
сервисами Timeweb Cloud прямо сейчас

15 лет опыта
Сосредоточьтесь на своей работе: об остальном позаботимся мы
165 000 клиентов
Нам доверяют частные лица и компании, от небольших фирм до корпораций
Поддержка 24/7
100+ специалистов поддержки, готовых помочь в чате, тикете и по телефону