ToB企服应用市场:ToB评测及商务社交产业平台

标题: [ 云计算 | AWS ] IAM 详解以及如何在 AWS 中直接创建 IAM 账号 [打印本页]

作者: 郭卫东 时间: 2024-6-22 13:02
标题: [ 云计算 | AWS ] IAM 详解以及如何在 AWS 中直接创建 IAM 账号

本章节重要介绍 IAM 相关知识点以及在 AWS 控制台窗口如何创建一台 Amazon IAM 账号。

一、什么是 IAM？

AWS Identity and Access Management (IAM) 是一种 Web 服务，可以帮助你安全地控制对 AWS 资源的访问。借助 IAM，你可以集中管理控制用户可访问哪些 AWS 资源的权限。可以使用 IAM 来控制谁通过了身份验证（准许登录）并获得授权（拥有权限）来使用资源。
IAM 是 Identity and Access Management 的缩写，即身份与访问管理，或称为身份管理与访问控制。
IAM 重要为了达到一个目的：让恰当的人或物，有恰当的权限，访问恰当的资源。此中“人或物”称为主体（Subject），“资源”称为客体（Object）。
传统的 IAM 一般包罗如下几部门，常被称为4A或5A。

账号（Account）
认证（Authentication）
权限（Authorization）
应用（Application）
审计（Audit）

二、IAM 常见种类

2.1 EIAM

EIAM是 Employee Identity and Access Management 的缩写，指管理企业内部员工的IAM，重要解决员工使用的便捷性和企业管理的安全性相关问题。
在产品形态上，EIAM有以下特点：

必要集成企业的云应用、本地应用
必要集成不同的身份源
SSO和MFA很常用
不同企业所需的访问控制力度不同

2.2 CIAM

CIAM 是 Customer Identity and Access Management 的缩写，指管理企业外部客户/用户的IAM，重要解决用户数据的买通和开辟本钱与尺度化相关问题。
在产品形态上，CIAM有以下特点：

在用户端常见到的是单点登录和授权登录
提供通用的组件给开辟者直接使用
更强调高性能和高可用

2.3 云厂商 IAM

云厂商的IAM，有时称为RAM（Resource and Access Management），指管理企业云资源的 IAM，重要用于管理云资源的访问控制。
在产品形态上，云厂商IAM有以下特点：

强调授权的灵活性和企业管理的安全性
支持多种类型的账号进行认证或被调用
一般只关注管理自家的云资源

三、账号（Account）

账号是用户在系统中的数字化载体，用于标识用户并访问受保护的资源。一般每个系统都会有账号，且不同系统的账号数据布局各异。
针对账号模块，IAM 必要解决如下几个问题：

哪些账号/字段代表了用户？这些账号散落在那里？（身份源）
我（IAM）如何将这些账号拿过来？（上游账号同步）
我（IAM）如何关联、映射、使用这些账号数据？（统一身份源）
哪些系统必要用到这些账号？我怎么把账号给它们？（下游账号同步）

三户模子

说到账户这里要提一下三户模子，并不是房子户型模子，其实以前我也不知道，后来研究学习才知道三户模子的泉源，下面总结一下
三户模子最早是在增强型电信运营图（Enhanced Telecom Operations Map，eTOM）中提出，在电信行业中得到广泛使用。三户指客户（Customer）、用户（User）和账户(Account)。eTOM 引入是电信行业营销模子转向“以客户为中心”的理念而产生的成果。围绕客户创建用户和账户，这三个是相互关联的实体。近年来，金融行业也逐步担当和采用了三户模子。

三户的界说下如，供参考：

客户，指自然人大概法人。法人一般被称之为企业客户。如无特指，一般客户指个人客户。
用户，指通过注册的方式进入系统，使用系统提供的服务的实体，也称为登录账户，即用户在系统中登录凭证和个人信息。对应的，法人客户在系统中注册后，被称之为商户。
账户，这里特指支付账户，指用户在支付系统中用于交易的资金所有者权益的凭证。

四、认证（Authentication）

广义的认证是一种名誉保证形式，指第三方公证机构对组织/个人的身份、能力、资质等的认可。
狭义的认证指的是证明“主体是谁”。IAM中的认证指的是狭义的认证，常见于主体申请访问资源时。
4.1 认证场景

IAM 中有三个重要的场景：

未认证的主体必要认证——登录
已认证的主体跳转到其他应用时主动认证——SSO，单点登录
已认证的主体访问敏感资源时必要二次认证——MFA，多因素认证

4.2 认证方式

身份鉴别的实质就是证明你就是你。宏观上讲，身份鉴别的方式有以下几类：
所知（What you know）：也就是通过只有你知道，而别人不知道的信息来验证你的身份。比如“天王盖地虎，宝塔镇河妖”这样的口谕，比如你的互联网邮箱的口令。在基于所知进行身份鉴别，除了平常要保管好“所知”之外，技术的关键还在于如何保证既能通过出示“所知”来证实自己身份，而这个“所知”又不会被盗取。
所有（What you have）：也就是通过只有你才持有的东西来验证你的是身份。比如：你持有的名誉卡、身份证等。基于“所有”进行身份鉴别，起首要制止“所有“的丢失，同时鉴别技术要能防止“所有”被假冒。
所是（What you are）：也就是“天生具有”的东东来证实你的身份。比如指纹、人像、声纹、DNA等各种生物特征。基于“所是”进行身份鉴别，需特别关注一个问题，由于“所是”通常与生俱来，难以再造，因此，需特别防止在鉴别过程中泄露“所是”信息。
某种技术的复合运用，大概以上二者或三者的组合运用。认证方式和MFA息息相关，MFA（Multi-Factor Authentication，多因素认证）是指使用两种以上的认证来进行身份验证，以提高账号的安全性。
4.3 认证协议

认证协议重要用于在用户、业务系统、身份认证服务之间通报用户信息，告诉业务系统“此用户是谁”。
主流的认证协议/实现单点登录的方案有 Cookie、JWT、SAML、CAS、OIDC等，网上有很多资料，暂不赘述。
认证协议通常和单点登录息息相关，单点登录（Single Sign On，SSO）是指在多个应用系统中，用户只必要登录一次就可以访问所有相互信任的应用系统。
4.4 认证源

认证源指的是用户在登录当前系统时，由第三方提供认证服务，系统信任第三方的认证效果。比方使用微信登录某APP，就是将微信作为认证源。
IAM 一般会根据场景提供 AD/LDAP、企业微信/钉钉、OA等不同的认证源方案。
五、授权（Authorization）

授权是将权利交付给用户或机构代为行使，此时使用户或机构获得访问资源的权限。
5.1 “授权”范围

我们以 RBAC 模子为例，授权其实要做三件事：
将操作和对象（也称资源）打包为权限，即图中的权限（PRMS，Pemission），包括操作（OPS，Operations）和对象（OBS，Objects）。
将权限分配给主体（狭义的授权），即图中的 Permission Assignment 和 User Assignment。
当主体访问资源时鉴权，鉴别用户的身份和判断权限。

(RBAC 模子) 5.2 权限分类

权限其实就是将操作和对象打包起来。根据不同场景、不同要求可以有不同的方案。
个人风俗将权限分为以下四种，控制的力度和精细度徐徐增加：
应用权限，控制主体能否访问某个应用，拥有权限就可以访问应用的所有内容，是最粗粒度的访问控制。
页面权限，控制页面层面的元素是否可见，包括页面、菜单、按钮等。做好页面权限一般可以满足企业内部大部门的需求。
操作权限，控制主体能否执行某个操作，比方可改新增、修改、删除等，一般和一个接口对应，在主体哀求接口时判断。页面权限和操作权限也被统称为功能权限。
数据权限，控制数据的查询和展示，不同主体看到的数据不同，包括行权限和列权限。假如说功能权限是控制“能不能”，数据权限则是控制“有多少”。
5.3 权限模子

谈到授权，谈得最多的是权限模子。但必要留意，权限模子只是对权限进行分配的思路和方案，解决“如何将某些权限分配给某些主体”的问题，不是“授权”的全部。
具体使用哪种权限模子，必要根据场景和需求来定，不要拘泥于权限模子而忽略实际业务。
下面介绍常见的几种权限模子：

ACL（Access Control Lists，访问控制列表），通过将主体（用户或用户组）直接和权限（包罗操作和资源）关联成列表，控制主体能访问哪些资源。
DAC（Discretionary Access Control，自主访问控制），可以通过ACL或ACM来实现，特点是拥有权限的主体可以将自身的权限赋予给其他主体或收回，常见于操作系统。
MAC（Mandatory Access Control，欺压访问控制），通过对主体和客体进行安全标记（密级），来判断主体能否对客体进行相关操作，常见于军工行业。
RBAC（Role Based Access Control，基于脚色的访问控制），通过引入“脚色”的概念，将主体和权限之间的关系解耦，是常见、成熟、有效的权限模子。
ABAC（Attribute Based Access Control，基于属性的访问控制），通过动态计算一个或一组属性是否满足某种条件来进行授权判断，常用于公有云，不同场景下形态各异。

(ABAC 模子) 5.4 鉴权

IAM 中的“授权模块”还包括“鉴权”的部门，与“分配权限”（Assignment，也常称为授权）相对应。
鉴权是验证主体是否拥有访问客体的权限，完备的鉴权应该包括身份认证和权限决策两部门。
大多数情况下完成身份认证即完成了鉴权，这部门属于“认证”模块（英语中Authentication也有鉴权的意思）。
但在比较复杂的场景，比如使用 ABAC、零信任时，当主体访问资源时，决策点 PDP 必要根据属性或策略规则动态计算主体是否拥有足够的权限，并依据计算效果放行或拦截访问，此部门也应当属于鉴权。
六、应用

狭义的应用只是业务系统在IAM中的映射，即APP ID和APP Secret。
广义的应用是上文中账号、认证、授权的交互对象和载体，一般作为客体来使用。
6.1 预集成应用

由于应用之间的规范、协议各有差异，IAM通常会预集成一部门应用，提前对接好其账号、认证、授权等模块，方便客户开箱即用。
针对普通用户，IAM一般会提供统一的应用流派（仪表盘），表现企业内自己所拥有权限的所有应用，也可以手动添加自己的应用，方便用户日常使用。
七、审计

审计日记必要记任命户的所有操作，必要记载主体、操作、客体、类型、时间、地点、效果等内容。
根据不同的维度可以划分为不同的操作日记，如操作日记和登录/登出日记、用户日记和管理员日记、业务系统日记和IAM系统日记等。
审计相关的功能，不同规模、不偕行业要求不同，通常国外比国内更严酷、更强调合规。
八、在 AWS 中创建 IAM

下面进行解说如何在 AWS 中进行创建 IAM 账号。
起首直接进入亚马逊云科技控制台，搜索IAM ，之后点击进入IAM 服务。