Главная » Ответы

AWS: Управление идентификацией и доступом [шпаргалка]

На чтение 2 мин. Просмотров 17 Опубликовано

Поскольку я начинаю свой путь в качестве инженера devOps, я хотел бы поделиться тем, что я узнал на этом пути. В настоящее время я готовлюсь к экзамену AWS CLOUD SOLUTIONS ARCHITECT ASSOCIATE EXAM.
В этой статье я поделюсь кратким обзором IAM и AWS CLI.

Резюме
-IAM = управление идентификацией и доступом

  • Пользователи — это люди в вашей организации, и они могут быть сгруппированы[это лучшая практика всегда назначать каждому члену группы(ов). Пользователь может быть членом более чем одной группы.
  • Группы могут содержать только пользователей, но не другие группы.
  • Политики определяют разрешения пользователей[лучшая практика: используйте принцип наименьших привилегий; просто не давайте больше разрешений, чем нужно пользователю].
  • Политика паролей:- вы можете установить политику паролей, которая обеспечивает более высокую безопасность вашей учетной записи.

  • Многофакторная аутентификация — MFA
    . защищает ваши корневые учетные записи и пользователей IAM.
    . MFA = пароль, который вы знаете + устройство безопасности, которое вы знаете.
    . Если пароль украден или взломан, учетная запись не подвергается опасности.
    Вы можете использовать виртуальное устройство MFA[google authenticator, authy] или ключ безопасности U2F{yubikey от yubico}.

  • Для доступа к AWS у вас есть три варианта:
    . Консоль управления AWS {защищена паролем + MFA}
    . Интерфейс командной строки AWS (CLI) {защищен ключами доступа} .
    . AWS Software Development Kit(SDK) — для кода {защищено ключами доступа} .
    -Ключи доступа генерируются через консоль AWS
    . ID ключа доступа ~= имя пользователя
    . Секретный ключ доступа ~= пароль

  • AWS cloudshell — это CLI в облаке.

  • IAM Credentials Report(уровень учетной записи): это отчет, в котором перечислены все пользователи вашей учетной записи и состояние их различных учетных данных.

  • IAM Access Advisor(на уровне пользователя): показывает разрешения служб, предоставленные пользователю, когда эти службы были доступны в последний раз.

Рекомендации и лучшие практики IAM

  • Не используйте учетную запись root, за исключением настройки учетной записи AWS
  • Один физический пользователь = один пользователь AWS
  • Назначайте пользователей группам и назначайте разрешения группам
  • Создайте политику надежных паролей
  • Используйте и обеспечивайте использование многофакторной аутентификации (MFA)
  • Создавайте и используйте роли для предоставления прав доступа к службам AWS
  • Использовать ключи доступа для программного доступа (CLI/SDK)
  • Аудит разрешений вашей учетной записи с помощью отчета IAM credentials и IAM Access Advisor
  • Никогда не делитесь пользователями IAM и ключами доступа

Оцените статью
devanswers.ru
Добавить комментарий