AWS身份与安全凭证

#1024步伐员节｜征文#

本片博文围绕AWS身份和安全凭证的分类、特性差异和使用场景等，帮助大家更容易理解AWS的Identity and Access Management （IAM）服务。本篇仅先容身份和安全凭证，授权及具体的服务配置及使用部门将在后续的博客举行先容。
AWS身份

• IAM根用户 - 创建 AWS 账户 并拥有完全访问权限的用户（国际区提供，中国区不提供），使用长期凭证访问AWS。
  
• IAM用户 - 在 IAM服务中创建的个人用户，使用长期凭证访问AWS。
  
• IAM组 - IAM 用户组是一个指定一组 IAM 用户的身份。用户高效管理相同权限的用户，无凭证。
  
• IAM角色 - 具备特定权限组合的身份，与IAM用户很像，但是它不与特定人物关联，使用临时凭证访问AWS。
  

AWS 安全凭证

在与AWS平台交互的时间，我们需要使用安全凭证来验证身份并确认是否有访问对应资源的授权。AWS通过这个安全凭证来举行鉴权和授权您的请求。
因此在请求到达AWS平台的时间，AWS会先验证您的安全凭证是否合法，其次再验证是否具备此次请求所访问的资源和利用的相关权限。
AWS 中有不同类型的用户，每种用户都有自己的安全凭证：

• 账户所有者（根用户）— 使用AWS管理控制台访问时，用户名为邮箱，安全凭证为密码。
  
• IAM 用户 — 在通过AWS管理控制台登录时，使用密码，也可以使用访问密钥通过编程方式访问AWS。
  
• AWS IAM Identity Center 用户 — 在 AWS IAM Identity Center 中管理的用户。用户名为IAM Identity Center中配置的用户名，安全凭证为密码。在后续的访问中，IAM Identity Center需要通过IAM角色获取临时凭证，从而获得相应的授权。
  
• 团结用户 — 来自外部身份提供者、通过团结身份验证获得 AWS 临时访问权限的用户。有关团结身份的更多信息，请参阅 身份提供步伐和团结身份验证。一般使用用户名和密码的方式登录身份验证界面（比如Amazon用户，企业的身份认证服务，其它的单点登录SSO应用）。团结用户在访问AWS时，会需要通过IAM角色获取临时凭证，从而获得相应的授权。
  

用户拥有长期或临时安全凭证。根用户和IAM 用户具有不会逾期的长期安全凭证。访问密钥（AccessKey/SecretAccessKey）是长期凭证，不会逾期。IAM角色、IAM Identity Center中的用户以及团结用户使用临时凭证。临时凭证会在设定的逾期时间（数分钟到数小时）后失效，其它功能与长期凭证基本一致。
何时使用何种身份和安全凭证？

AWS提供最佳实践指南，相见：https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html
以下简单总结身份使用的基本原则：

• 不使用根用户做日常管理，不为根用户启用访问凭证，必须为根用户附加MFA等。
  
• 尽可能使用临时凭证，即依托IAM角色的身份，如附加角色到服务上、IAM Identity Center用户、团结用户。
  
• 尽可能淘汰长期凭证的使用，假如需要，最好启用多因子认证（MFA）提升安全性，防止长期凭证泄漏带来的潜在风险。订定策略周期性轮换长期凭证（密码/访问凭证）。
  
• 实行最小权限原则，即给特定用户/服务的权限不超出其行使功能需要的权限。
  

基于以上原则，也容易得出安全凭证的最佳实践也是使用临时安全凭证，而非长期凭证来与AWS交互。
常见场景的推荐用法

• 风俗的模式
  

大部门开发者最熟悉的模式是使用IAM用户，通过AWS管理控制台举行日常利用。当需要使用应用步伐或运维工具（比如AWS CLI）访问AWS时，就会通过IAM用户的访问密钥（长期凭证），这会增加凭证泄漏带来的安全风险。

• 推荐的模式
  
  
  • 恣意场景下，人类用户无论是通过管理控制台照旧编程方式访问，均推荐使用IAM Identity Center。在多账户/多用户甚至跨管理分区（中国区和国际区）场景下，IAM Identity Center更具优势，若公司已经有自己的身份存储，也依然可以轻松集成，还可以管理AWS上的各种托管应用，是目前非常推荐的用户管理和身份验证服务，具体配置及使用将在后续博文中推出。
    
  • 摆设在AWS平台上的服务/应用：直接使用IAM角色附加到对应的AWS资源上，服务会主动去获取IAM临时凭证，在凭证失效时主动获取新凭证。即使由于一些原因泄漏了安全凭证，也会因其会逾期失效而降低安全风险。
    
  • 摆设在其它平台上的服务/应用：
    
    
    • 使用IAM Roles Anywhere（相对复杂）
      
    • 将凭证存储在外部密钥管理服务中，尽可能不要在应用代码中嵌入静态密钥
      
    
    
  
  

上述即是AWS平台身份与凭证的简要先容，后续我们将结合具体的使用场景先容不同的服务配置，以及授权相关的内容，敬请等待！
参考资料：

• https://docs.aws.amazon.com/zh_cn/IAM/latest/UserGuide/id.html
  
• https://docs.aws.amazon.com/zh_cn/IAM/latest/UserGuide/security-creds.html
  
• https://docs.aws.amazon.com/zh_cn/IAM/latest/UserGuide/best-practices.html
  

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。