AWS Identity and Access Management (IAM)

Безопасное управление доступом пользователей к сервисам и ресурсам AWS

Сервис AWS Identity and Access Management (IAM) позволяет безопасно управлять доступом пользователей к сервисам и ресурсам AWS. Используя IAM, можно создавать пользователей и группы AWS и управлять ими, а также использовать разрешения, чтобы предоставить или запретить им доступ к ресурсам AWS.

IAM – это возможность аккаунта AWS, которая предоставляется без дополнительной оплаты. Плата взимается только за использование вашими пользователями других сервисов AWS.

Чтобы начать работу с IAM, если вы уже зарегистрированы в AWS, войдите в Консоль управления AWS и начните работу с прочтения рекомендаций по использованию IAM.

Читайте нас в Twitter

Новые возможности

10 лучших документов за 2016 год

Соответствие требованиям

Новое в отношении соответствия требованиям: регион AWS GovCloud (США) получил авторизацию высокого уровня P-ATO FedRAMP от JAB для трех новых сервисов

20 лучших страниц документации за 2016 год

Самые популярные публикации в блоге Security за 2016 год

Как вести аудит ролей с доступом к нескольким аккаунтам с помощью AWS CloudTrail и Amazon CloudWatch Events

Разрешите федеративным пользователям работать с Консолью управления AWS до 12 часов подряд

Инструкции

How to Monitor AWS Account Configuration Changes and API Calls to Amazon EC2 Security Groups

Вопросы и ответы:

SAML Identity Federation: Follow-Up Questions, Materials, Guides, and Templates from an AWS re:Invent 2016 Workshop (SEC306)

Новая публикация в блоге AWS DevOps

New on the AWS DevOps Blog: Introducing Git Credentials–A Simple Way to Connect to AWS CodeCommit Repositories Using a Static User Name and Password

Новость

Новое в отношении соответствия требованиям ЕС

Примеры использования

Используйте полный и точный контроль доступа, интеграцию с корпоративным каталогом; запрашивайте аутентификацию MFA для пользователей с максимальным уровнем привилегий

Точное управление доступом к ресурсам AWS

С помощью IAM пользователи могут управлять доступом к API сервисов AWS и конкретным ресурсам. IAM также позволяет добавлять конкретные условия, при соблюдении которых пользователь сможет использовать AWS, например время суток, исходный IP-адрес, возможность использования протокола SSL или необходимость использования устройства многофакторной аутентификации.

IAM_Feature_380x380_Managed-Access-for-Mobile

Управление доступом для мобильных приложений с помощью поставщиков сетевых удостоверений

Пользователь может настроить свои мобильные и браузерные приложения на использование безопасного доступа к ресурсам AWS, запросив временные данные для доступа, которые разрешат доступ только к определенным ресурсам AWS в указанный период времени.

IAM_Feature_380x380_Multi-Factor-Authentication

Многофакторная аутентификация пользователей с наивысшим уровнем привилегий

Защитите свою среду AWS с помощью AWS MFA, бесплатной возможности обеспечения безопасности, которая дополняет такие данные для доступа, как имя пользователя и пароль. MFA требует от пользователей доказать физическое обладание аппаратным токеном MFA или указанным мобильным устройством MFA путем ввода действительного кода MFA.

IAM_Feature_380x380_Directory-Integration

Интеграция с корпоративным каталогом

Сервис IAM может предоставить пользователям и приложениям федеративный доступ к Консоли управления и API сервисов AWS с использованием существующих систем идентификации, таких как Microsoft Active Directory. Для этого можно использовать любое решение для управления удостоверениями, которое поддерживает протокол SAML 2.0, либо выбрать любой из наших образцов федерации (единый вход (SSO) в Консоль управления AWS или федерацию API).

Функциональные возможности

IAM помогает в создании ролей и разрешений

Возможности, предоставляемые сервисом AWS IAM

Управление пользователями IAM и их правами доступа. С AWS IAM можно создавать пользователей, назначать им безопасные индивидуальные данные для доступа (такие как ключи доступа, пароли и устройства многофакторной аутентификации), или запрашивать временные данные для доступа пользователей к сервисам и ресурсам AWS. С помощью разрешений можно управлять возможностью пользователя выполнять определенные действия.

Управление ролями IAM и их разрешениями. Используя IAM, можно создавать роли и назначать разрешения, определяющие, какие действия сможет выполнять сущность или сервис AWS, которым присвоена эта роль. Можно также задать, какой сущности разрешено присвоить эту роль.

Управление федеративными пользователями и их разрешениями. С помощью федерации удостоверений можно позволить имеющимся сущностям (например, пользователям, группам и ролям) вашей компании использовать Консоль управления AWS, вызывать API AWS и получать доступ к ресурсам, не создавая пользователя IAM для каждого удостоверения.

Рекомендации по использованию IAM

Управление доступом без потери гибкости или отказоустойчивости

Специалисты ИТ и разработчики могут воспользоваться имеющимся списком рекомендаций AWS. Рекомендации по работе с IAM подробно изложены в записи семинара, прошедшего в рамках re:Invent 2015 (см. видеоматериал справа).

Пользователи: создавайте отдельных пользователей.

Группы: управляйте разрешениями с помощью групп.

Разрешения: назначайте минимальные привилегии.

Аудит: включите сервис AWS CloudTrail.

Пароль: настройте политику требований к надежности паролей.

MFA: включите аутентификацию MFA для привилегированных пользователей.

Роли: используйте роли IAM для инстансов Amazon EC2.

Общий доступ: используйте роли IAM для предоставления общего доступа.

Ротация: регулярно изменяйте данные для доступа.

Условия: ограничьте привилегированный доступ с помощью дополнительных условий.

Root: максимально сократите или запретите использование аккаунта с правами root.