[ 云计算 | AWS ] IAM 详解以及如何在 AWS 中直接创建 IAM 账号
https://img-blog.csdnimg.cn/7feccb2da1d2478c86dc9f1f7492dfde.png本章节重要介绍 IAM 相关知识点以及在 AWS 控制台窗口如何创建一台 Amazon IAM 账号。
一、什么是 IAM?
AWS Identity and Access Management (IAM) 是一种 Web 服务,可以帮助你安全地控制对 AWS 资源的访问。借助 IAM,你可以集中管理控制用户可访问哪些 AWS 资源的权限。可以使用 IAM 来控制谁通过了身份验证(准许登录)并获得授权(拥有权限)来使用资源。
IAM 是 Identity and Access Management 的缩写,即身份与访问管理,或称为身份管理与访问控制。
IAM 重要为了达到一个目的:让恰当的人或物,有恰当的权限,访问恰当的资源。此中“人或物”称为主体(Subject),“资源”称为客体(Object)。
传统的 IAM 一般包罗如下几部门,常被称为4A或5A。
[*]账号(Account)
[*]认证(Authentication)
[*]权限(Authorization)
[*]应用(Application)
[*]审计(Audit)
二、IAM 常见种类
https://img-blog.csdnimg.cn/a2af04f24b66439c9dcc252461fe06fd.png
2.1 EIAM
EIAM是 Employee Identity and Access Management 的缩写,指管理企业内部员工的IAM,重要解决员工使用的便捷性和企业管理的安全性相关问题。
在产品形态上,EIAM有以下特点:
[*]必要集成企业的云应用、本地应用
[*]必要集成不同的身份源
[*]SSO和MFA很常用
[*]不同企业所需的访问控制力度不同
2.2 CIAM
CIAM 是 Customer Identity and Access Management 的缩写,指管理企业外部客户/用户的IAM,重要解决用户数据的买通和开辟本钱与尺度化相关问题。
在产品形态上,CIAM有以下特点:
[*]在用户端常见到的是单点登录和授权登录
[*]提供通用的组件给开辟者直接使用
[*]更强调高性能和高可用
2.3 云厂商 IAM
云厂商的IAM,有时称为RAM(Resource and Access Management),指管理企业云资源的 IAM,重要用于管理云资源的访问控制。
在产品形态上,云厂商IAM有以下特点:
[*]强调授权的灵活性和企业管理的安全性
[*]支持多种类型的账号进行认证或被调用
[*]一般只关注管理自家的云资源
三、账号(Account)
账号是用户在系统中的数字化载体,用于标识用户并访问受保护的资源。一般每个系统都会有账号,且不同系统的账号数据布局各异。
针对账号模块,IAM 必要解决如下几个问题:
[*]哪些账号/字段代表了用户?这些账号散落在那里?(身份源)
[*]我(IAM)如何将这些账号拿过来?(上游账号同步)
[*]我(IAM)如何关联、映射、使用这些账号数据?(统一身份源)
[*]哪些系统必要用到这些账号?我怎么把账号给它们?(下游账号同步)
三户模子
说到账户 这里要提一下 三户模子,并不是房子户型模子,其实以前我也不知道,后来研究学习才知道三户模子的泉源,下面总结一下
三户模子最早是在增强型电信运营图(Enhanced Telecom Operations Map,eTOM)中提出,在电信行业中得到广泛使用。 三户指客户(Customer)、用户(User)和账户(Account)。eTOM 引入是电信行业营销模子转向“以客户为中心”的理念而产生的成果。围绕客户创建用户和账户,这三个是相互关联的实体。近年来,金融行业也逐步担当和采用了三户模子。
https://img-blog.csdnimg.cn/fba0f9ab70f64cf88576a1ac24e2fe97.png
三户的界说下如,供参考:
[*]客户,指自然人大概法人。法人一般被称之为企业客户。如无特指,一般客户指个人客户。
[*]用户,指通过注册的方式进入系统,使用系统提供的服务的实体,也称为登录账户,即用户在系统中登录凭证和个人信息。对应的,法人客户在系统中注册后,被称之为商户。
[*]账户,这里特指支付账户,指用户在支付系统中用于交易的资金所有者权益的凭证。
四、认证(Authentication)
广义的认证是一种名誉保证形式,指第三方公证机构对组织/个人的身份、能力、资质等的认可。
狭义的认证指的是证明“主体是谁”。IAM中的认证指的是狭义的认证,常见于主体申请访问资源时。
4.1 认证场景
IAM 中有三个重要的场景:
[*]未认证的主体必要认证——登录
[*]已认证的主体跳转到其他应用时主动认证——SSO,单点登录
[*]已认证的主体访问敏感资源时必要二次认证——MFA,多因素认证
4.2 认证方式
身份鉴别的实质就是证明你就是你。宏观上讲,身份鉴别的方式有以下几类:
所知(What you know):也就是通过只有你知道,而别人不知道的信息来验证你的身份。比如“天王盖地虎,宝塔镇河妖”这样的口谕,比如你的互联网邮箱的口令。在基于所知进行身份鉴别,除了平常要保管好“所知”之外,技术的关键还在于如何保证既能通过出示“所知”来证实自己身份,而这个“所知”又不会被盗取。
所有(What you have):也就是通过只有你才持有的东西来验证你的是身份。比如:你持有的名誉卡、身份证等。基于“所有”进行身份鉴别,起首要制止“所有“的丢失,同时鉴别技术要能防止“所有”被假冒。
所是(What you are):也就是“天生具有”的东东来证实你的身份。比如指纹、人像、声纹、DNA等各种生物特征。基于“所是”进行身份鉴别,需特别关注一个问题,由于“所是”通常与生俱来,难以再造,因此,需特别防止在鉴别过程中泄露“所是”信息。
某种技术的复合运用,大概以上二者或三者的组合运用。认证方式和MFA息息相关,MFA(Multi-Factor Authentication,多因素认证)是指使用两种以上的认证来进行身份验证,以提高账号的安全性。
4.3 认证协议
认证协议重要用于在用户、业务系统、身份认证服务之间通报用户信息,告诉业务系统“此用户是谁”。
主流的认证协议/实现单点登录的方案有 Cookie、JWT、SAML、CAS、OIDC等,网上有很多资料,暂不赘述。
认证协议通常和单点登录息息相关,单点登录(Single Sign On,SSO)是指在多个应用系统中,用户只必要登录一次就可以访问所有相互信任的应用系统。
4.4 认证源
认证源指的是用户在登录当前系统时,由第三方提供认证服务,系统信任第三方的认证效果。比方使用微信登录某APP,就是将微信作为认证源。
IAM 一般会根据场景提供 AD/LDAP、企业微信/钉钉、OA等不同的认证源方案。
五、授权(Authorization)
授权是将权利交付给用户或机构代为行使,此时使用户或机构获得访问资源的权限。
5.1 “授权”范围
我们以 RBAC 模子为例,授权其实要做三件事:
将操作和对象(也称资源)打包为权限,即图中的权限(PRMS,Pemission),包括操作(OPS,Operations)和对象(OBS,Objects)。
将权限分配给主体(狭义的授权),即图中的 Permission Assignment 和 User Assignment。
当主体访问资源时鉴权,鉴别用户的身份和判断权限。
https://img-blog.csdnimg.cn/b6f4bfa193d842129098f598301eedf1.png
(RBAC 模子) 5.2 权限分类
权限其实就是将操作和对象打包起来。根据不同场景、不同要求可以有不同的方案。
个人风俗将权限分为以下四种,控制的力度和精细度徐徐增加:
应用权限,控制主体能否访问某个应用,拥有权限就可以访问应用的所有内容,是最粗粒度的访问控制。
页面权限,控制页面层面的元素是否可见,包括页面、菜单、按钮等。做好页面权限一般可以满足企业内部大部门的需求。
操作权限,控制主体能否执行某个操作,比方可改新增、修改、删除等,一般和一个接口对应,在主体哀求接口时判断。页面权限和操作权限也被统称为功能权限。
数据权限,控制数据的查询和展示,不同主体看到的数据不同,包括行权限和列权限。假如说功能权限是控制“能不能”,数据权限则是控制“有多少”。
5.3 权限模子
谈到授权,谈得最多的是权限模子。但必要留意,权限模子只是对权限进行分配的思路和方案,解决“如何将某些权限分配给某些主体”的问题,不是“授权”的全部。
具体使用哪种权限模子,必要根据场景和需求来定,不要拘泥于权限模子而忽略实际业务。
下面介绍常见的几种权限模子:
[*]ACL(Access Control Lists,访问控制列表),通过将主体(用户或用户组)直接和权限(包罗操作和资源)关联成列表,控制主体能访问哪些资源。
[*]DAC(Discretionary Access Control,自主访问控制),可以通过ACL或ACM来实现,特点是拥有权限的主体可以将自身的权限赋予给其他主体或收回,常见于操作系统。
[*]MAC(Mandatory Access Control,欺压访问控制),通过对主体和客体进行安全标记(密级),来判断主体能否对客体进行相关操作,常见于军工行业。
[*]RBAC(Role Based Access Control,基于脚色的访问控制),通过引入“脚色”的概念,将主体和权限之间的关系解耦,是常见、成熟、有效的权限模子。
[*]ABAC(Attribute Based Access Control,基于属性的访问控制),通过动态计算一个或一组属性是否满足某种条件来进行授权判断,常用于公有云,不同场景下形态各异。
https://img-blog.csdnimg.cn/95a7d8c04adc4ac595231cc1b0373ad7.png
(ABAC 模子) 5.4 鉴权
IAM 中的“授权模块”还包括“鉴权”的部门,与“分配权限”(Assignment,也常称为授权)相对应。
鉴权是验证主体是否拥有访问客体的权限,完备的鉴权应该包括身份认证和权限决策两部门。
大多数情况下完成身份认证即完成了鉴权,这部门属于“认证”模块(英语中Authentication也有鉴权的意思)。
但在比较复杂的场景,比如使用 ABAC、零信任时,当主体访问资源时,决策点 PDP 必要根据属性或策略规则动态计算主体是否拥有足够的权限,并依据计算效果放行或拦截访问,此部门也应当属于鉴权。
六、应用
狭义的应用只是业务系统在IAM中的映射,即APP ID和APP Secret。
广义的应用是上文中账号、认证、授权的交互对象和载体,一般作为客体来使用。
6.1 预集成应用
由于应用之间的规范、协议各有差异,IAM通常会预集成一部门应用,提前对接好其账号、认证、授权等模块,方便客户开箱即用。
针对普通用户,IAM一般会提供统一的应用流派(仪表盘),表现企业内自己所拥有权限的所有应用,也可以手动添加自己的应用,方便用户日常使用。
七、审计
审计日记必要记任命户的所有操作,必要记载主体、操作、客体、类型、时间、地点、效果等内容。
根据不同的维度可以划分为不同的操作日记,如操作日记和登录/登出日记、用户日记和管理员日记、业务系统日记和IAM系统日记等。
审计相关的功能,不同规模、不偕行业要求不同,通常国外比国内更严酷、更强调合规。
八、在 AWS 中创建 IAM
下面进行解说如何在 AWS 中进行创建 IAM 账号。
起首直接进入亚马逊云科技控制台,搜索IAM ,之后点击进入IAM 服务。
https://img-blog.csdnimg.cn/d8e98cdb57284e75806daf7a163ed1d7.png
点击【添加用户】按钮
https://img-blog.csdnimg.cn/8d56b5e278564a0abe2b3f829b476d3c.png
进入到创建用户步骤,这里重要是一些用户的信息,比如用户名,密码等。
https://img-blog.csdnimg.cn/35ceab3f0e304f1ba1ac689265149af8.png
点击创建组
https://img-blog.csdnimg.cn/900eb9f0e63b44279c9d73160cea9452.png
假如未选择创建用户组,可以跳过此处
https://img-blog.csdnimg.cn/40115564bad441f1a4b306760b2e35bb.png
设置所创建的 IAM 账号所属的权限组
https://img-blog.csdnimg.cn/93df5a5ce5b249c5ab2acf68382b0872.png
选择标签对,这里留意最好发起添加,在亚马逊最佳实践内里,打标签是个非常好的风俗
https://img-blog.csdnimg.cn/49c54c9d991e429b8a30fbea7618cd84.png
完成创建的提示:
https://img-blog.csdnimg.cn/28ba1b93245c40e099e0bb1532345805.png
点击返回用户列表后,可以在列表内看到刚刚创建的用户的相关信息。
https://img-blog.csdnimg.cn/ed181100df55439aa74eba1c99996a04.png
[ 本文作者 ] bluetata
[ 原文链接 ] https://bluetata.blog.csdn.net/article/details/131523127
[ 最后更新 ] 07/03/2023 20:31
[ 版权声明 ] 如果您在非 CSDN 网站内看到这一行,
说明网络爬虫可能在本人还没有完整发布的时候就抓走了我的文章,
可能导致内容不完整,请去上述的原文链接查看原文。
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。
页:
[1]