องค์กรต้องมีการควบคุมว่าใครได้รับอนุญาตให้เข้าถึงทรัพยากร AWS ของตนทรัพยากรใดที่พร้อมใช้งานและการดำเนินการที่ผู้ใช้ที่ได้รับอนุญาตสามารถทำได้ วัตถุประสงค์ของ AWS IAM คือเพื่อช่วยให้ผู้ดูแลระบบไอทีสามารถจัดการได้ ข้อมูลประจำตัวของผู้ใช้และระดับการเข้าถึงทรัพยากร AWS ที่แตกต่างกัน ในบทความนี้เราจะเข้าใจคุณสมบัติและขั้นตอนการทำงานของ Identity and Access Management (IAM) ตามลำดับต่อไปนี้:
- Identity and Access Management คืออะไร?
- ตอนนี้คุณสมบัติ
- การทำงานของ IAM
- การจัดการข้อมูลประจำตัวและการเข้าถึง: ตัวอย่าง
Identity and Access Management คืออะไร?
AWS Identity and Access Management (IAM) เป็นบริการบนเว็บที่ช่วยให้คุณควบคุมการเข้าถึงทรัพยากรของ AWS ได้อย่างปลอดภัย ด้วย IAM คุณสามารถควบคุมผู้ที่ได้รับการตรวจสอบสิทธิ์และได้รับอนุญาตให้ใช้ทรัพยากร
วิธีใช้ aws cli
เมื่อคุณสร้างบัญชี AWS ครั้งแรกคุณต้องมีข้อมูลประจำตัวการลงชื่อเข้าใช้เพียงครั้งเดียวเพื่อเข้าถึงทั้งหมด ข้อมูลประจำตัวนี้เรียกว่าผู้ใช้รูทของบัญชี AWS คุณสามารถเข้าถึงได้โดยลงชื่อเข้าใช้ด้วย ID อีเมลและรหัสผ่านที่คุณใช้ในการสร้างบัญชี AWS IAM ช่วยในการปฏิบัติงานต่อไปนี้:
- ใช้เพื่อตั้งค่าผู้ใช้สิทธิ์และบทบาท จะช่วยให้คุณสามารถ ให้สิทธิ์การเข้าถึง ไปยังส่วนต่างๆของแพลตฟอร์ม AWS
- นอกจากนี้ยังช่วยให้ลูกค้าของ Amazon Web Services จัดการผู้ใช้ และสิทธิ์ของผู้ใช้ใน AWS
- ด้วย IAM องค์กรต่างๆสามารถจัดการผู้ใช้จากส่วนกลาง ข้อมูลรับรองความปลอดภัย เช่นคีย์การเข้าถึงและสิทธิ์
- IAM ช่วยให้องค์กรสามารถ สร้างผู้ใช้หลายคน แต่ละบัญชีมีข้อมูลรับรองความปลอดภัยของตนเองควบคุมและเรียกเก็บเงินไปยังบัญชี AWS บัญชีเดียว
- IAM อนุญาตให้ผู้ใช้ทำเฉพาะสิ่งที่จำเป็นเพื่อเป็นส่วนหนึ่งของงานของผู้ใช้
ตอนนี้คุณรู้แล้วว่า IAM คืออะไรมาดูคุณสมบัติบางอย่างกัน
คุณลักษณะการจัดการข้อมูลประจำตัวและการเข้าถึง
คุณสมบัติที่สำคัญบางประการของ IAM ได้แก่ :
- เข้าถึงบัญชี AWS ของคุณร่วมกัน : คุณสามารถให้สิทธิ์บุคคลอื่นในการดูแลและใช้ทรัพยากรในบัญชี AWS ของคุณโดยไม่ต้องเปิดเผยรหัสผ่านหรือคีย์การเข้าถึงของคุณ
- สิทธิ์แบบละเอียด : คุณสามารถให้สิทธิ์ที่แตกต่างกันแก่บุคคลต่างๆสำหรับทรัพยากรต่างๆ
- เข้าถึงทรัพยากร AWS อย่างปลอดภัย : คุณสามารถใช้คุณสมบัติ IAM เพื่อให้ข้อมูลรับรองสำหรับแอปพลิเคชันที่ทำงานบนอินสแตนซ์ EC2 ได้อย่างปลอดภัย ข้อมูลรับรองเหล่านี้ให้สิทธิ์สำหรับแอปพลิเคชันของคุณในการเข้าถึงทรัพยากร AWS อื่น ๆ
- การรับรองความถูกต้องหลายปัจจัย (MFA) : คุณสามารถเพิ่มการรับรองความถูกต้องด้วยสองปัจจัยในบัญชีของคุณและให้กับผู้ใช้แต่ละคนเพื่อความปลอดภัยเพิ่มเติม
- สหพันธ์ข้อมูลประจำตัว : คุณสามารถอนุญาตให้ผู้ใช้ที่มีรหัสผ่านที่อื่นอยู่แล้ว
- ข้อมูลประจำตัวเพื่อการประกัน : คุณได้รับบันทึกบันทึกที่มีข้อมูลเกี่ยวกับผู้ที่ร้องขอทรัพยากรซึ่งอิงตามข้อมูลประจำตัวของ IAM
- การปฏิบัติตาม PCI DSS : IAM รองรับการประมวลผลการจัดเก็บและการส่งข้อมูลบัตรเครดิตโดยผู้ขายหรือผู้ให้บริการและได้รับการตรวจสอบแล้วว่าสอดคล้องกับ Payment Card Industry (PCI) Data Security Standard (DSS)
- ผสานรวมกับบริการ AWS มากมาย : มีบริการ AWS จำนวนหนึ่งที่ทำงานร่วมกับ IAM
- สอดคล้องกันในที่สุด : IAM มีความพร้อมใช้งานสูงโดยการจำลองข้อมูลในเซิร์ฟเวอร์หลายเครื่องภายในศูนย์ข้อมูลของ Amazon ทั่วโลก การเปลี่ยนแปลงจะเกิดขึ้นและจัดเก็บอย่างปลอดภัยเมื่อคุณร้องขอการแก้ไขบางอย่าง
- ใช้งานได้ฟรี : เมื่อคุณเข้าถึงบริการ AWS อื่น ๆ โดยใช้ผู้ใช้ IAM หรือข้อมูลรับรองความปลอดภัยชั่วคราว AWS STS คุณจะถูกเรียกเก็บเงินจากนั้นเท่านั้น
ตอนนี้เรามาทำความเข้าใจกับการทำงานของ Identity and Access Management กัน
การทำงานของ IAM
การเข้าถึงและการจัดการข้อมูลประจำตัวเสนอ โครงสร้างพื้นฐานที่ดีที่สุด ที่จำเป็นในการควบคุมการอนุญาตและการรับรองความถูกต้องทั้งหมดสำหรับบัญชี AWS ของคุณ องค์ประกอบบางส่วนของโครงสร้างพื้นฐาน IAM มีดังนี้
วิธีติดตั้ง php บน windows 10
หลักการ
หลักการใน AWS IAM ใช้เพื่อดำเนินการกับทรัพยากร AWS ผู้ใช้ IAM การดูแลระบบเป็นหลักการแรกซึ่งสามารถอนุญาตให้ผู้ใช้สำหรับบริการเฉพาะเพื่อรับบทบาท คุณสามารถสนับสนุนผู้ใช้แบบรวมศูนย์เพื่ออนุญาตให้แอปพลิเคชันเข้าถึงบัญชี AWS ปัจจุบันของคุณ
ขอ
ในขณะที่ใช้คอนโซลการจัดการ AWS API หรือ CLI จะส่งคำขอไปยัง AWS โดยอัตโนมัติ จะระบุข้อมูลต่อไปนี้:
- การดำเนินการถือเป็น หลักการ ในการดำเนินการ
- การดำเนินการจะดำเนินการตามไฟล์ ทรัพยากร
- ข้อมูลหลักการรวมถึงไฟล์ สิ่งแวดล้อม ที่มีการร้องขอก่อนหน้านี้
การรับรองความถูกต้อง
เป็นหนึ่งในหลักการที่ใช้บ่อยที่สุดซึ่งใช้ในการลงชื่อเข้าใช้ AWS ในขณะที่ส่งคำขอไป อย่างไรก็ตามยังประกอบด้วยบริการอื่น ๆ เช่น Amazon S3 ซึ่งจะอนุญาตการร้องขอจากผู้ใช้ที่ไม่รู้จัก ในการตรวจสอบสิทธิ์จากคอนโซลคุณต้องลงชื่อเข้าใช้ด้วยข้อมูลรับรองการเข้าสู่ระบบของคุณเช่นชื่อผู้ใช้และรหัสผ่าน แต่ในการตรวจสอบสิทธิ์คุณจะต้องให้ข้อมูลลับและคีย์การเข้าถึงพร้อมกับข้อมูลความปลอดภัยเพิ่มเติมที่จำเป็น
การอนุญาต
ในขณะที่ให้สิทธิ์ค่า IAM ที่เพิ่มขึ้นจากคำขอจะบริบทเพื่อตรวจสอบนโยบายที่ตรงกันทั้งหมดและประเมินว่าได้รับอนุญาตหรือปฏิเสธคำขอที่เกี่ยวข้อง นโยบายทั้งหมดจะถูกเก็บไว้ใน IAM เป็น JSON เอกสารและเสนอการอนุญาตที่ระบุสำหรับทรัพยากรอื่น ๆ AWS IAM ตรวจสอบนโยบายทั้งหมดโดยอัตโนมัติซึ่งตรงกับบริบทของคำขอทั้งหมดของคุณโดยเฉพาะ หากการดำเนินการเดียวถูกปฏิเสธ IAM จะปฏิเสธคำขอทั้งหมดและเสียใจที่ต้องประเมินการดำเนินการที่เหลือซึ่งเรียกว่าเป็นการปฏิเสธอย่างชัดเจน ต่อไปนี้เป็นกฎตรรกะการประเมินสำหรับ IAM:
- คำขอทั้งหมดจะถูกปฏิเสธโดยปริยาย
- Explicit สามารถอนุญาตให้มีการลบล้างได้ตามค่าเริ่มต้น
- นอกจากนี้ยังอาจปฏิเสธการลบล้างโดยการอนุญาต
การดำเนินการ
หลังจากประมวลผลการอนุญาตคำขอของคุณหรือไม่ได้รับการพิสูจน์ตัวตนโดยอัตโนมัติ AWS จะอนุมัติการดำเนินการของคุณในรูปแบบคำขอ ที่นี่การกระทำทั้งหมดถูกกำหนดโดยบริการและสิ่งต่างๆสามารถทำได้โดยทรัพยากรเช่นการสร้างแก้ไขลบและดู เพื่อให้หลักการดำเนินการเราจำเป็นต้องรวมการดำเนินการที่จำเป็นทั้งหมดไว้ในนโยบายโดยไม่ส่งผลกระทบต่อทรัพยากรที่มีอยู่
ทรัพยากร
หลังจากได้รับการอนุมัติ AWS แล้วการดำเนินการทั้งหมดในคำขอของคุณสามารถทำได้ตามทรัพยากรที่เกี่ยวข้องที่มีอยู่ในบัญชีของคุณ โดยทั่วไปทรัพยากรเรียกว่าเอนทิตีซึ่งมีอยู่โดยเฉพาะในบริการ เหล่านี้ บริการทรัพยากร สามารถกำหนดเป็นชุดของกิจกรรมที่ดำเนินการโดยเฉพาะกับทรัพยากรแต่ละรายการ หากคุณต้องการสร้างหนึ่งคำขอก่อนอื่นคุณต้องดำเนินการที่ไม่เกี่ยวข้องซึ่งไม่สามารถปฏิเสธได้
ตอนนี้เรามาดูตัวอย่างและทำความเข้าใจแนวคิดของ Identity Access Management กันดีกว่า
การจัดการข้อมูลประจำตัวและการเข้าถึง: ตัวอย่าง
เพื่อทำความเข้าใจแนวคิดของ การจัดการข้อมูลประจำตัวและการเข้าถึง (IAM) ลองดูตัวอย่าง สมมติว่ามีคนเริ่มต้นด้วยสมาชิก 3-4 คนและโฮสต์แอปพลิเคชันบน Amazon เนื่องจากเป็นองค์กรขนาดเล็กทุกคนจึงสามารถเข้าถึง Amazon ซึ่งสามารถกำหนดค่าและดำเนินกิจกรรมอื่น ๆ ด้วยบัญชี Amazon ของตนได้ เมื่อขนาดทีมเติบโตขึ้นโดยมีกลุ่มคนในแต่ละแผนกเขาก็ไม่ต้องการที่จะให้สิทธิ์เข้าถึงอย่างเต็มที่ เนื่องจากพวกเขาเป็นพนักงานทั้งหมดและข้อมูลจำเป็นต้องได้รับการปกป้อง ในกรณีนี้ขอแนะนำให้สร้างบัญชีบริการเว็บ Amazon บางบัญชีที่เรียกว่าผู้ใช้ IAM ข้อดีคือเราสามารถควบคุมได้ว่าโดเมนใดสามารถทำงานได้
ตอนนี้ถ้าทีมเติบโตไป 4,000 ผู้ที่มีงานและแผนกต่างๆ ทางออกที่ดีที่สุดคือ Amazon รองรับการลงชื่อเข้าใช้ครั้งเดียวด้วยบริการไดเรกทอรี Amazon ให้บริการที่สนับสนุนโดย SAML ตามการรับรองความถูกต้อง จะไม่ขอข้อมูลรับรองใด ๆ เมื่อมีคนจากองค์กรเข้าสู่ระบบเครื่องขององค์กร จากนั้นจะไปที่ Amazon Portal และจะแสดงบริการที่ผู้ใช้บางรายได้รับอนุญาตให้ใช้ ข้อดีที่สุดของการใช้ IAM คือไม่จำเป็นต้องสร้างผู้ใช้หลายคน แต่ใช้การลงชื่อเข้าใช้แบบง่ายๆ
ด้วยเหตุนี้เราจึงมาถึงตอนท้ายของบทความของเรา ฉันหวังว่าคุณจะเข้าใจว่า Identity and Access Management ใน AWS คืออะไรและทำงานอย่างไร
หากคุณตัดสินใจที่จะเตรียมตัวสำหรับการรับรอง AWS คุณควรดูหลักสูตรของเราใน มีคำถามสำหรับเรา? โปรดระบุไว้ในส่วนความคิดเห็นของ“ Identity and Access Management” แล้วเราจะติดต่อกลับไป
วิธีผสมผสานข้อมูลในฉากหลัง