| ylbtech-服务安全-IAM:百科 |
IAM(身份识别与访问管理(简称大4A))
IAM(Identity and Access Management 的缩写),即“身份识别与访问管理”,具有单点登录、强大的认证管理、基于策略的集中式授权和审计、动态授权、企业可管理性等功能。
| 1.返回顶部 |
1、
- 中文名:身份识别与访问管理
- 外文名:IAM(Identity and Access Management)
- 功 能:企业可管理性等功能
- 作 用:业务流程和管理手段
目录
- 1 IAM的定义
- 2 IAM 功能
- ▪ 对您 AWS 账户的共享访问权限
- ▪ 精细权限
- ▪ 对 AWS 资源的安全访问权限
- ▪ 多重验证 (MFA)
- ▪ 联合身份
- ▪ 实现保证的身份信息
- ▪ PCI DSS 合规性
- ▪ 已与很多 AWS 服务集成
- ▪ 最终一致性
2、
| 2.返回顶部 |
1、
IAM的定义
AWS Identity and Access Management (IAM) 是一种 Web 服务,可以帮助您安全地控制对 AWS 资源的访问。您可以使用 IAM 控制对哪个用户进行身份验证 (登录) 和授权 (具有权限) 以使用资源。
当您首次创建 AWS 账户时,最初使用的是一个对账户中所有 AWS 服务和资源有完全访问权限的单点登录身份。此身份称为 AWS 账户根用户,可使用您创建账户时所用的电子邮件地址和密码登录来获得此身份。强烈建议您不使用 根用户 执行日常任务,即使是管理任务。请遵守仅将 根用户 用于创建首个 IAM 用户的最佳实践。然后请妥善保存 根用户 凭证,仅用它们执行少数账户和服务管理任务。
身份和访问管理是一套业务处理流程,也是一个用于创建和维护和使用数字身份的支持基础结构。
通俗地讲:IAM是让合适的自然人在恰当的时间通过统一的方式访问授权的信息资产,提供集中式的数字身份管理、认证、授权、审计的模式和平台。
IAM 功能
IAM 为您提供以下功能:
对您 AWS 账户的共享访问权限
您可以向其他人员授予管理和使用您 AWS 账户中的资源的权限,而不必共享您的密码或访问密钥。
精细权限
您可以针对不同资源向不同人员授予不同权限。例如,您可以允许某些用户完全访问 Amazon Elastic Compute Cloud (Amazon EC2)、Amazon Simple Storage Service (Amazon S3)、Amazon DynamoDB、Amazon Redshift 和其他 AWS 服务。对于另一些用户,您可以允许仅针对某些 S3 存储桶的只读访问权限,或是仅管理某些 EC2 实例的权限,或是访问您的账单信息但无法访问任何其他内容的权限。
对 AWS 资源的安全访问权限
您可以使用 IAM 功能安全地为 EC2 实例上运行的应用程序提供凭证。这些凭证为您的应用程序提供权限以访问其他 AWS 资源。示例包括 S3 存储桶和 DynamoDB 表。
多重验证 (MFA)
您可以向您的账户和各个用户添加双重身份验证以实现更高安全性。借助 MFA,您或您的用户不仅必须提供使用账户所需的密码或访问密钥,还必须提供来自经过特殊配置的设备的代码。
联合身份
您可以允许已在其他位置(例如,在您的企业网络中或通过 Internet 身份提供商)获得密码的用户获取对您 AWS 账户的临时访问权限。
实现保证的身份信息
如果您使用AWS CloudTrail,则会收到日志记录,其中包括有关对您账户中的资源进行请求的人员的信息。这些信息基于 IAM 身份。
PCI DSS 合规性
IAM 支持由商家或服务提供商处理、存储和传输信用卡数据,而且已经验证符合支付卡行业 (PCI) 数据安全标准 (DSS)。有关 PCI DSS 的更多信息,包括如何请求 AWS PCI Compliance Package 的副本,请参阅PCI DSS 第 1 级。
已与很多 AWS 服务集成
有关使用 IAM 的 AWS 服务的列表,请参阅使用 IAM 的 AWS 服务。
最终一致性
与许多其他 AWS 服务一样,IAM 具有最终一致性。IAM 通过在 Amazon 的全球数据中心中的多个服务器之间复制数据来实现高可用性。如果成功请求更改某些数据,则更改会提交并安全存储。不过,更改必须跨 IAM 复制,这需要时间。此类更改包括创建或更新用户、组、角色或策略。在应用程序的关键、高可用性代码路径中,我们不建议进行此类 IAM 更改。而应在不常运行的、单独的初始化或设置例程中进行 IAM 更改。另外,在生产工作流程依赖这些更改之前,请务必验证更改已传播。有关更多信息,请参阅我所做的更改并非始终立即可见。
免费使用
AWS Identity and Access Management (IAM) 和 AWS Security Token Service (AWS STS) 是为您的 AWS 账户提供的功能,不另行收费。仅当您使用 IAM 用户或 AWS STS 临时安全凭证访问其他 AWS 服务时,才会向您收取费用。有关其他 AWS 产品的定价信息,请参阅Amazon Web Services 定价页面。
关键功能
单点登录 (SSO)
强大的认证管理
提供了统一的认证策略,确保Internet 和局域网应用程序中的安全级别都正确。这确保高安全级别的应用程序可受到更强的认证方法保护,而低安全级别应用程序可以只用较简单的用户名/密码方法保护。为许多认证系统(包括密码、令牌、X.509 证书、智能卡、定制表单和生物识别)及多种认证方法组合提供了访问管理支持。
基于策略的集中式授权和审计
将一个企业Web 应用程序中的客户、合作伙伴和员工的访问管理都集起来。因此,不需要冗余、特定于应用程序的安全逻辑。可以按用户属性、角色、组和动态组对访问权进行限制,并按位置和时间确定访问权。授权可以在文件、页面或对象级别上进行。此外,受控制的“模拟”(在此情形中,诸如客户服务代表的某个授权用户,可以访问其他用户可以访问的资源)也由策略定义。
动态授权
从不同本地或外部源(包括Web服务和数据库)实时触发评估数据的安全策略,从而确定进行访问授权或拒绝访问。通过环境相关的评估,可获得更加细化的授权。例如,限制满足特定条件(最小帐户余额)的客户对特定应用程序(特定银行服务)的访问权。授权策略还可以与外部系统(例如,基于风险的安全系统)结合应用。
企业可管理性
与4A的关系
2、
| 3.返回顶部 |
| 4.返回顶部 |
| 5.返回顶部 |
1、
2、
| 6.返回顶部 |
 |
作者:ylbtech 出处:http://ylbtech.cnblogs.com/ 本文版权归作者和博客园共有,欢迎转载,但未经作者同意必须保留此段声明,且在文章页面明显位置给出原文连接,否则保留追究法律责任的权利。 |