Che cos'è Identity and Access Management (IAM) in AWS?



Identity and Access Management è un servizio Web che controlla in modo sicuro l'accesso alle risorse AWS. Con IAM puoi controllare l'autenticazione e l'autorizzazione.

Le organizzazioni devono avere il controllo su chi ha il permesso di accedere alle proprie risorse AWS, quali risorse sono disponibili e le azioni che gli utenti autorizzati possono eseguire. Lo scopo di AWS IAM è aiutare gli amministratori IT a gestire identità utente e i loro diversi livelli di accesso alle risorse AWS. In questo articolo, comprenderemo le caratteristiche e la procedura di lavoro di Identity and Access Management (IAM) nella seguente sequenza:

Che cos'è Identity and Access Management?

AWS Identity and Access Management (IAM) è un servizio Web che ti aiuta a controllare in modo sicuro l'accesso alle risorse AWS. Con IAM, puoi controllare chi è autenticato e autorizzato a utilizzare le risorse.





AWS IAM - Identity and Access management - edureka

Quando crei per la prima volta un account AWS, hai bisogno di un'identità di accesso singolo per accedere a tutti Questa identità è chiamata utente root dell'account AWS. È possibile accedervi effettuando l'accesso con l'ID e-mail e la password utilizzati per creare l'account. AWS IAM aiuta a eseguire le seguenti attività:



cos'è il metodo tostring in java
  • Viene utilizzato per impostare utenti, autorizzazioni e ruoli. Ti permette di farlo concedere l'accesso alle diverse parti della piattaforma AWS
  • Inoltre, consente ai clienti di Amazon Web Services di gestire gli utenti e autorizzazioni utente in AWS
  • Con IAM, le organizzazioni possono gestire centralmente gli utenti, credenziali di sicurezza come chiavi di accesso e autorizzazioni
  • IAM consente all'organizzazione di creare più utenti , ciascuno con le proprie credenziali di sicurezza, controllate e fatturate a un singolo account AWS
  • IAM consente all'utente di fare solo quello che deve fare come parte del lavoro dell'utente

Ora che sai cos'è IAM, diamo un'occhiata ad alcune delle sue funzionalità.

Funzionalità di gestione di identità e accessi

Alcune delle caratteristiche importanti di IAM includono:



  • Accesso condiviso al tuo account AWS : Puoi concedere ad altre persone l'autorizzazione ad amministrare e utilizzare le risorse nel tuo account AWS senza dover condividere la tua password o chiave di accesso.
  • Autorizzazioni granulari : Puoi concedere autorizzazioni diverse a persone diverse per risorse diverse.
  • Accesso sicuro alle risorse AWS : Puoi utilizzare le funzionalità IAM per fornire in modo sicuro le credenziali per le applicazioni eseguite su istanze EC2. Queste credenziali forniscono le autorizzazioni per la tua applicazione per accedere ad altre risorse AWS.
  • Autenticazione a più fattori (MFA) : Puoi aggiungere l'autenticazione a due fattori al tuo account e ai singoli utenti per una maggiore sicurezza.
  • Federazione delle identità : Puoi consentire agli utenti che hanno già password altrove
  • Informazioni sull'identità per garanzia : Ricevi record di log che includono informazioni su coloro che hanno effettuato richieste di risorse basate sulle identità IAM.
  • Conformità PCI DSS : IAM supporta l'elaborazione, l'archiviazione e la trasmissione dei dati della carta di credito da parte di un commerciante o di un fornitore di servizi ed è stato convalidato come conforme allo standard di sicurezza dei dati (DSS) PCI (Payment Card Industry).
  • Integrato con molti servizi AWS : Esistono numerosi servizi AWS che funzionano con IAM.
  • Alla fine coerente : IAM raggiunge un'elevata disponibilità replicando i dati su più server all'interno dei data center di Amazon in tutto il mondo. La modifica viene confermata e archiviata in modo sicuro quando si richiede una modifica.
  • Gratuito da usare : Quando accedi ad altri servizi AWS utilizzando i tuoi utenti IAM o le credenziali di sicurezza temporanee di AWS STS, solo allora ti verranno addebitati.

Ora andiamo avanti e comprendiamo il funzionamento di Identity and Access Management.

Funzionamento di IAM

Identity Access and Management offre il migliore infrastruttura necessario per controllare tutte le autorizzazioni e autenticazioni per il tuo account AWS. Ecco alcuni degli elementi dell'infrastruttura IAM:

Principio

Il principio in AWS IAM viene utilizzato per eseguire un'azione sulla risorsa AWS. L'utente amministrativo IAM è il primo principio, che può consentire all'utente di particolari servizi per assumere un ruolo. Puoi supportare gli utenti federati per consentire all'applicazione di accedere al tuo account AWS corrente.

Richiesta

Durante l'utilizzo della console di gestione AWS, l'API o la CLI invierà automaticamente la richiesta ad AWS. Specificherà le seguenti informazioni:

  • Le azioni sono considerate come i principi eseguire
  • Le azioni vengono eseguite in base a risorse
  • Le informazioni principali includono il ambiente dove la richiesta è stata fatta in precedenza

Autenticazione

È uno dei principi più comunemente utilizzati che viene utilizzato per accedere ad AWS durante l'invio della richiesta. Tuttavia, consiste anche di servizi alternativi come Amazon S3 che consentirà richieste da utenti sconosciuti. Per autenticarti dalla console, devi accedere con le tue credenziali di accesso come nome utente e password. Ma per autenticarsi è necessario fornire loro il segreto e la chiave di accesso insieme alle informazioni di sicurezza aggiuntive richieste.

Autorizzazione

Durante l'autorizzazione dei valori IAM generati dalla richiesta, verrà contestato il controllo di tutte le politiche di corrispondenza e valutare se è consentita o negata la rispettiva richiesta. Tutte le policy vengono archiviate in IAM come file JSON documenti e offrire l'autorizzazione specificata per le altre risorse. AWS IAM controlla automaticamente tutte le politiche che corrispondono particolarmente al contesto di tutte le tue richieste. Se la singola azione viene negata, IAM rifiuta l'intera richiesta e si rammarica di valutare le restanti, che viene chiamata come negazione esplicita. Di seguito sono riportate alcune delle regole della logica di valutazione per IAM:

  • Tutte le richieste vengono rifiutate per impostazione predefinita
  • L'esplicito può consentire le sostituzioni per impostazione predefinita
  • Un esplicito può anche negare l'override consentendogli

Azioni

Dopo aver elaborato la tua richiesta di autorizzazione o non essere autenticato automaticamente, AWS approva la tua azione sotto forma di richiesta. Qui tutte le azioni sono definite dai servizi e le cose possono essere fatte da risorse come la creazione, la modifica, l'eliminazione e la visualizzazione. Per consentire il principio di azione, dobbiamo includere tutte le azioni richieste nella politica senza influire sulla risorsa esistente.

Risorse

Dopo aver ottenuto le approvazioni AWS, tutte le azioni nella tua richiesta possono essere eseguite in base alle risorse correlate che contengono nel tuo account. Generalmente, una risorsa è chiamata entità che esiste particolarmente all'interno dei servizi. Questi servizi di risorse può essere definito come un insieme di attività che viene svolto in particolare su ciascuna risorsa. Se vuoi creare una richiesta, devi prima eseguire l'azione non correlata che non può essere negata.

Ora facciamo un esempio e comprendiamo meglio il concetto di Identity Access Management.

cos'è un lettore bufferizzato

Gestione di identità e accessi: esempio

Per capire il concetto di Identity and Access Management (IAM) , facciamo un esempio. Supponiamo che una persona abbia una start-up con 3-4 membri e abbia ospitato l'applicazione su Amazon. Poiché si tratta di una piccola organizzazione, tutti avrebbero accesso ad Amazon, dove possono configurare ed eseguire altre attività con il proprio account Amazon. Una volta che la dimensione del team cresce con un gruppo di persone in ogni reparto, non preferirebbe dare pieno accesso a , poiché sono tutti dipendenti e i dati devono essere protetti. In questo caso, sarebbe consigliabile creare alcuni account di servizio Web Amazon chiamati utenti IAM. Il vantaggio qui è che possiamo controllare in quale dominio possono funzionare.

Ora, se la squadra cresce 4.000 persone con vari compiti e dipartimenti. La soluzione migliore sarebbe che Amazon supporti il ​​single sign in con i servizi di directory. Amazon fornisce un servizio supportato da SAML autenticazione basata. Non richiederebbe alcuna credenziale quando qualcuno dell'organizzazione accede alla macchina dell'organizzazione. Andrebbe quindi al portale Amazon e mostrerebbe i servizi che il particolare utente è autorizzato a utilizzare. Il più grande vantaggio dell'utilizzo di IAM è che non è necessario creare più utenti ma implementare un semplice accesso.

Con questo, siamo giunti alla fine del nostro articolo. Spero che tu abbia capito cos'è Identity and Access Management in AWS e come funziona.

Se hai deciso di prepararti per una certificazione AWS, dovresti dare un'occhiata ai nostri corsi su Hai domande per noi? Si prega di menzionarlo nella sezione commenti di 'Gestione di identità e accessi' e ti risponderemo.