亚马逊AWS官方博客
亚马逊云科技等保基础服务篇(一):亚马逊云科技管理控制台自查和加固指南
概述
亚马逊云科技管理控制台是一个基于 Web 的用户界面,因为它是管理所有亚马逊云科技资源的主要入口点,对亚马逊云科技资源的安全扮演着至关重要的角色,也是审计和评估亚马逊云科技中国区域云环境安全性的关键组成部分。
网络安全等级保护制度(以下简称等保)是我国为加强网络安全保护,规范网络运行管理而制定的一项重要制度,它对不同级别的信息系统提出了不同的安全防护要求,旨在确保系统的保密性、完整性和可用性。根据《网络安全法》的规定,网络运营者应当按照网络安全等级保护制度的要求,履行安全保护义务。客户应根据等保要求对部署在亚马逊云科技资源之上的业务应用系统进行安全保护。
作者将通过后期一系列文章,参考等保三级测评要求,给客户提供一套完整、全面的针对亚马逊云科技管理控制台使用和配置方面的等保自查和加固指南。通过遵循这些建议,客户可以减少潜在的安全风险,提高亚马逊云科技中国区域云环境的整体安全水平,从而更好地满足等保要求。
作为本系列第一篇文章,我们将探讨在不同亚马逊云科技控制台登录的场景下,客户对亚马逊云科技控制台的不同安全责任差异,只有明确责任,才能对亚马逊云科技控制台进行准确的评估和保护。
Amazon IAM 用户登录和联合身份登录
从登录亚马逊云科技管理控制台的身份来源角度考虑,可以将亚马逊云科技管理控制台的登录分为 Amazon IAM 用户登录和联合身份登录。其中,Amazon IAM(Identity and Access Management)是亚马逊云科技核心的身份和访问管理服务,它也是每个亚马逊云科技账号的初始和默认的登录方式,Amazon IAM 使用在亚马逊云科技账户内直接创建和管理的 IAM 用户来登录亚马逊云科技管理控制台。联合身份登录则允许用户使用企业内部的现有身份系统(如 Active Directory)或第三方身份提供商(IdP)提供的身份实体来访问亚马逊云科技资源,Amazon IAM SSO 以及 Amazon IAM Identity Center 是亚马逊云科技账号实现联合身份登录的两种服务。Amazon IAM 用户登录、Amazon IAM SSO 和 Amazon IAM Identity Center 三者的登录方式和界面存在差异,客户在自评时可以根据登录方式和界面区分定位具体所使用的登录方式。
 |
图 1
图 1 为 Amazon IAM 用户登录界面,用户的身份鉴别过程由 Amazon IAM 控制,用户需要在登录界面输入亚马逊云科技账号 ID、Amazon IAM 用户的用户名、密码才能用相应 Amazon IAM 用户登录到亚马逊云科技账号中。
 |
图 2
图 2 为 Amazon IAM SSO 登录后的界面,用户的登录界面取决于企业所使用的身份系统,在用户通过认证后,根据事先预配好的权限规则,选择使用何种权限进入到被授权的亚马逊云科技账号中。但与 Amazon IAM Identity Center 不同的是,它登录后账户权限选择页面不是 Amazon Web Services access portal 界面,没有 Amazon Web Services access portal 字样。
 |
图 3
图 3 为 Amazon IAM Identity Center 登录后的界面,Amazon IAM Identity Center 采用联合身份登录,用户登录界面取决于企业所使用的身份系统,在用户通过认证后,进入到 Amazon Web Services access portal 界面,根据事先预配好的权限规则,用户可以进一步选择使用何种权限进入到被授权的的亚马逊云科技账号中。Amazon IAM Identity Center 常用于集中管理员工对 Amazon Organization 中多个亚马逊云科技账户和应用程序的访问管理。
Amazon IAM SSO 和 Amazon IAM Identity Center 虽然都可实现联合身份登录,但 Amazon IAM SSO 需要分别在每个要认证的亚马逊云科技账号中进行联合认证配置,N 个 Amazon Web Services 账号,就需要重复 N 次配置,而 Amazon IAM Identity Center 则利用 Amazon Organizations 服务,一次配置即可完成组织内 N 个 Amazon Web Services 账号的联合认证。
不同登录方式的责任差异
亚马逊云科技账号的安全性和合规性是我们和客户的共同责任,在亚马逊云科技管理控制台不同的登录场景下,我们和客户分别需要承担不同的安全防护责任,准确理解不同登录方式的责任差异,后期才能准确对亚马逊云科技管理控制台进行等保自评估。
Amazon IAM 用户登录和联合身份登录的主要差异如下:
| 差异点 | Amazon IAM 用户登录 | 联合身份登录 | 等保责任影响 |
| 身份来源 | Amazon IAM 用户登录使用的 IAM 用户在亚马逊云科技账户中直接创建和管理。IAM 用户的口令或访问密钥均由客户通过 Amazon IAM 服务进行存储和管理。 | 用户身份来自于客户自己的身份提供商(IdP),如企业的 Active Directory 或第三方身份服务,用户凭证(如口令、MFA 设备等)均由客户自己的 IdP 存储和管理,亚马逊云科技不会存储和管理。 | 影响到 Amazon 管理控制台的用户身份标识、口令复杂度以及定期更换等责任。 |
| 身份验证 | 用户直接向亚马逊云科技提供其 IAM 用户名和密码或访问密钥进行身份验证。 | 用户首先向外部 IdP 进行身份验证,然后 IdP 向 亚马逊云科技发送一个安全令牌(如 SAML 断言),亚马逊云科技验证该令牌并用户授予临时访问权限。 | 影响到登录亚马逊云科技管理控制台的登录失败处理和会话超时等责任。 |
| 权限管理 | IAM 用户权限直接在亚马逊云科技账户中定义和管理。 | 用户在亚马逊云科技管理控制台的最终权限取决于亚马逊云科技账户中为外部 IdP 配置的角色和权限映射规则以及外部 IdP 权限设置。 | 影响到登录亚马逊云科技管理控制台的访问控制设置责任。 |
总结
从登录亚马逊云科技管理控制台的身份来源角度考虑,亚马逊云科技管理控制台的登录分为 Amazon IAM 用户登录和联合身份登录。两者在身份来源、身份验证和权限管理的差异导致亚马逊云科技中国区域和客户在落实等保要求的身份鉴别、访问控制等方面存在不同的责任,只有明确责任才能对亚马逊云科技管理控制台准确进行等保自评估,接下来笔者将基于等保三级要求进行亚马逊云科技管理控制的等保自查和加固。