Najboljše prakse in orodja za upravljanje identitete in dostopa v AWS
Vsak nov račun AWS se začne z »root user« – to je prva in najmočnejša identiteta, ki je vzpostavljena ob ustvarjanju računa. Čeprav je to ključna in temeljna identiteta, morate svoje poverilnice uporabiti le za nekaj kritičnih nalog, kot so spreminjanje kontaktnih podatkov, ogled nekaterih vrst računov ali zaprtje vašega AWS računa. To je zato, ker vaših poverilnic ni mogoče omejiti: v bistvu so to ključi vašega oblačnega kraljestva. Če izgubite nadzor nad njimi, je vaša celotna prisotnost v oblaku ogrožena. Previdno varujte te poverilnice, da bodo zaupni podatki dostopni samo pravim osebam.
Možnosti za varno upravljanje dostopa
Za vsakodnevne naloge v oblaku boste želeli dodeliti različne uporabnike, vloge in skupine z uporabo AWS Identity and Access Management (IAM).
Ko ustvarite uporabnika IAM, določite politiko, ki določa določena dovoljenja za določeno osebo ali storitev (na primer, uporabniki IAM se lahko uporabljajo v avtomatizacijah). Ta pristop vzpostavi dolgoročne poverilnice za tega uporabnika: razen če kasneje spremenite ta dovoljenja, bo ta oseba ali storitev še naprej imela dostop do virov, ki ste jih določili. Vendar to prinaša negativno stran: če imate stotine ali tisoče uporabnikov IAM, morate spremljati in upravljati dostop do uporabniških računov, ko se njihove potrebe spreminjajo ali pa zapustijo organizacijo.
Rešitev za to? Uporabite skupine IAM. To vam omogoča, da določite dovoljenja za več uporabnikov hkrati. Če se potreba po dostopu pri nekom spremeni ali pa zapusti organizacijo, vam ni treba spreminjati njihovih posameznih dovoljenj – preprosto odstranite to osebo iz skupine.
Drugi pristop je ustvariti vloge IAM, ki imajo določena dovoljenja, vendar so specifične ne za posameznika ali storitev, ampak za naloge in dostop, ki je potreben. Z uporabo tega pristopa je privilegiran dostop za določeno osebo ali storitev omejen kratkoročno – uporabljajo lahko vire le z začasnimi poverilnicami, ki jim omogočajo prevzemanje te vloge.
Nazadnje lahko uporabnike overite in upravljate dostop z uporabo federacije identitete. Tako kot enotno prijavljanje, ta pristop poenostavi upravljanje identitete. Namesto več različnih sistemov IAM za vse poslovne procese imate enoten sistem IAM, ki uporabnikom omogoča dostop do različnih virov, kot so poslovne aplikacije, brez potrebe po vsakokratnem preverjanju in overitvi njihove identitete. Federirana identiteta se opira na zaupanja vrednega ponudnika identitete, ki vzpostavi poverilnice enkrat za vsakega uporabnika in nato tega uporabnika overi za tretje osebe.
Ne glede na to, kateri pristop uporabite za upravljanje identitete, se spomnite, da sledite najboljšim praksam z uporabo večfaktorske avtentifikacije in rednem spreminjanju gesel za večjo varnost.