Значок замка
Облако AWS
Начать работу с AWS IAM


Сервис AWS Identity and Access Management (IAM) предоставляет возможности безопасного управления доступом к сервисам и ресурсам AWS. С помощью IAM можно создавать пользователей AWS и группы пользователей, управлять ими, а также применять разрешения, чтобы предоставлять или запрещать доступ к ресурсам AWS. 

IAM – это возможность аккаунта AWS, которая предоставляется без дополнительной оплаты. Плата взимается только за использование вашими пользователями других сервисов AWS.

Чтобы начать работу с IAM, если вы уже зарегистрированы в AWS, войдите в Консоль управления AWS и начните работу с прочтения рекомендаций по использованию IAM.

Видеообзор AWS IAM
Видео: обзор AWS IAM

Используйте полный и точный контроль доступа, интеграцию с корпоративным каталогом; запрашивайте аутентификацию MFA для пользователей с максимальным уровнем привилегий

Образ для точной настройки доступа

С помощью IAM пользователи могут управлять доступом к API сервисов AWS и конкретным ресурсам. IAM также позволяет добавлять конкретные условия, при соблюдении которых пользователь сможет использовать AWS, например время суток, исходный IP-адрес, возможность использования протокола SSL или необходимость использования устройства многофакторной аутентификации.

Управляемый доступ для мобильного образа

Пользователь может настроить свои мобильные и браузерные приложения на использование безопасного доступа к ресурсам AWS, запросив временные данные для доступа, которые разрешат доступ только к определенным ресурсам AWS в указанный период времени.

Образ для многофакторной аутентификации (MFA)

Защитите свою среду AWS с помощью AWS MFA, бесплатной возможности обеспечения безопасности, которая дополняет такие данные для доступа, как имя пользователя и пароль. MFA требует от пользователей доказать физическое обладание аппаратным токеном MFA или указанным мобильным устройством MFA путем ввода действительного кода MFA.

Образ для каталога интеграции


Сервис IAM может предоставить пользователям и приложениям федеративный доступ к Консоли управления и API сервисов AWS с использованием существующих систем идентификации, таких как Microsoft Active Directory. Для этого можно использовать любое решение для управления удостоверениями, которое поддерживает стандарт SAML 2.0, либо выбрать любой из наших образцов федерации (единый вход (SSO) в Консоль управления AWS или федерацию API).

IAM помогает в создании ролей и разрешений

Возможности, предоставляемые сервисом AWS IAM

  • Управление пользователями IAM и их правами доступа. С AWS IAM можно создавать пользователей, назначать им безопасные индивидуальные данные для доступа (такие как ключи доступа, пароли и устройства многофакторной аутентификации), или запрашивать временные данные для доступа пользователей к сервисам и ресурсам AWS. С помощью разрешений можно управлять возможностью пользователя выполнять определенные действия.
  • Управление ролями IAM и их разрешениями. Используя IAM, можно создавать роли и назначать разрешения, определяющие, какие действия сможет выполнять сущность или сервис AWS, которым присвоена эта роль. Можно также указать, какой сущности разрешается присваивать эту роль. Кроме того, можно использовать связанные с сервисом роли для делегирования разрешений сервисам AWS, которые создают ресурсы AWS и управляют ими от имени пользователя.
  • Управление федеративными пользователями и их разрешениями. С помощью федерации удостоверений можно позволить существующим удостоверениям (пользователям, группам и ролям) в рамках организации использовать Консоль управления AWS, вызывать API AWS и получать доступ к ресурсам, не создавая пользователя IAM для каждого удостоверения. Используйте любое решение для управления удостоверениями, которое поддерживает стандарт SAML 2.0, или любой из наших образцов федерации (единый вход (SSO) в Консоль управления AWS или федерацию API).

Гибкое управление доступом пользователей, групп и приложений.

AWS предлагает список рекомендаций, которые помогут разработчикам и другим ИТ-специалистам использовать управление доступом к ресурсам AWS.

Пользователи: создавайте отдельных пользователей.

Группы: управляйте разрешениями с помощью групп.

Разрешения: назначайте минимальные привилегии.

Аудит: включите сервис AWS CloudTrail.

Пароль: настройте политику требований к надежности паролей.

MFA: включите аутентификацию MFA для привилегированных пользователей.

Роли: используйте роли IAM для инстансов Amazon EC2.

Общий доступ: используйте роли IAM для предоставления общего доступа.

Ротация: регулярно изменяйте данные для доступа.

Условия: ограничьте привилегированный доступ с помощью дополнительных условий.

Root: максимально сократите или запретите использование аккаунта с правами root.

IAM Best Practices Video - Screenshot
Рекомендации по использованию IAM и способ стать экспертом по IAM

Начать работу с AWS IAM очень легко. И главное, сервис предоставляется без дополнительной оплаты. 

 

Начать работу с AWS IAM