Сервисы AWS для идентификации, создания каталогов и контроля доступа

Управление аутентификацией, авторизацией и организацией управления в облаке AWS.

Сервисы AWS для идентификации, создания каталогов и контроля доступа помогают управлять аутентификацией, авторизацией и организовывать управление в облаке AWS. Эти сервисы дают возможность безопасно управлять доступом к аккаунтам и инфраструктуре AWS и проводить аудит доступа на любом этапе работы с облаком AWS. На платформе AWS можно создавать сервисы удостоверений, каталогов и контроля доступа, специально предназначенные для простого и безопасного переноса имеющихся рабочих нагрузок в облако AWS и разработки новых приложений с оптимизацией для облака. При этом можно использовать имеющиеся удостоверения и каталоги или воспользоваться преимуществами сервисов, управляемых AWS.

Чтобы пользователи могли просто и безопасно выполнять аутентификацию, сервисы AWS для идентификации, создания каталогов и контроля доступа позволяют им входить в облако AWS с существующими собственными удостоверениями. Можно, например, аутентифицировать пользователей в приложениях с помощью социальных поставщиков удостоверений, в частности Facebook и Amazon. Можно также обеспечить разработчикам и администраторам возможность доступа к аккаунтам AWS с использованием имеющихся корпоративных данных для доступа. AWS помогает управлять авторизацией в аккаунтах AWS с использованием точно настраиваемых политик доступа и данных для доступа с ограниченным сроком действия, чтобы управлять разрешениями на ресурсы AWS. При увеличении масштаба используемых ресурсов и количества аккаунтов AWS соответствие нормативным требованиям и требованиям аудита помогут обеспечить сервисы, управляющие доступом с помощью системы единого входа (SSO), политиками и организацией управления во множестве аккаунтов AWS. AWS позволяет быстро и безопасно начать работу, а потом, по мере расширения использования облака AWS, воспользоваться более широкими функциональными возможностями.

 

re:Invent 2017: SID303. How to use AWS Identity Services to be Successful on your AWS Cloud Journey

Преимущества

Быстрое и безопасное начало работы

Сервисы AWS для идентификации, создания каталогов и контроля доступа ориентированы на применение лучших рекомендаций по обеспечению безопасности. Поэтому начало работы с облаком AWS будет быстрым и безопасным. Управляемые политики AWS Identity and Access Management (IAM) и графический редактор с простым интерфейсом позволяют легко создавать политики IAM, основанные на общих должностных обязанностях, например администратора базы данных, специалиста по работе с данными или аудитора. Для соответствия особым требованиям безопасности встроенные политики можно расширять. Можно, например, сделать копию встроенной политики для администратора базы данных и усилить ограничения, разрешив доступ только к Amazon DynamoDB.

Использование более широких функциональных возможностей по мере необходимости

Со временем потребности растут, и AWS позволяет по мере необходимости использовать все более широкие функциональные возможности. Создание точно настраиваемых политик доступа поможет обеспечить соответствие строгим нормативным и законодательным требованиям. Разрешения на доступ к сервисам и ресурсам AWS можно задавать даже на уровне API. Дополнительно можно задать условия, определяющие, когда и как эти разрешения могут использоваться. Интеграция с сервисами ведения журнала и мониторинга AWS, например AWS CloudTrail и AWS CloudWatch, позволяет видеть, кто и к чему получал доступ по всем принадлежащим клиенту ресурсам AWS.

Безопасное масштабирование в облаке AWS

Сервисы AWS для идентификации, создания каталогов и контроля доступа помогают обеспечить безопасность при добавлении новых аккаунтов AWS. Они позволяют управлять доступом и организацией управления во всех связанных аккаунтах AWS. С помощью системы единого входа AWS Single Sign-On (SSO) можно централизованно управлять доступом ко множеству аккаунтов AWS. А с помощью AWS Organizations можно создавать группы аккаунтов, а затем, применяя политики управления сервисами (SCP), определять, какими API сервиса AWS разрешено пользоваться тем или иным аккаунтам AWS. Например, можно создать отдельные группы аккаунтов для ресурсов разработки и рабочих ресурсов, а затем применить к каждой группе различные политики управления сервисами (SCP).

Примеры использования

100x100_benefit_team-access

Управление доступом пользователей к принадлежащим компании ресурсам AWS и бизнес-приложениям и обеспечение безопасного доступа.

Управление доступом пользователей к ресурсам AWS и бизнес-приложениям и обеспечение безопасности такого доступа является одной из важнейших частей политик безопасности и соответствия нормативным требованиям. С помощью сервисов AWS для идентификации, создания каталогов и контроля доступа можно управлять доступом пользователей к аккаунтам AWS и бизнес-приложениям, используя имеющиеся корпоративные удостоверения, а также устанавливать точно настроенные политики доступа для управления разрешениями на работу с ресурсами AWS. Можно также контролировать использование API сервисов AWS во всех связанных аккаунтах AWS, обеспечивая исполнение политик безопасности и соответствия требованиям. Сервисы AWS для идентификации, создания каталогов и контроля доступа позволяют также расширить область действия разрешений на работу с ресурсами, которые пользователь запускает в своем аккаунте AWS. Благодаря этому можно гарантировать, к примеру, что разрешения, предоставляемые функции AWS Lambda, которую запускает инженер по безопасности, окажутся не шире разрешений, предоставленных самому инженеру.

100x100_benefit_workflow2

Управление доступом приложений к ресурсам AWS и обеспечение его безопасности.

Для создания распределенных приложений, работающих с разными сервисами и аккаунтами AWS, надо иметь возможность проверки идентификации и разрешений на работу с ресурсами для приложений. Сервисы AWS для идентификации, создания каталогов и контроля доступа позволяют безопасно проверять удостоверения и управлять разрешениями на ресурсы, используя для этого данные для доступа с ограниченным сроком действия – роли. Использование ролей соответствует рекомендованным методам обеспечения безопасности, согласно которым следует предоставлять минимально привилегированный доступ. Таким образом, можно точно настраивать разрешения для сервисов и приложений AWS, работающих на инстансах Amazon EC2 и в контейнерах. С помощью ролей можно предоставлять этим ресурсам доступ к данным без распространения паролей и ключей API или указания данных для доступа в исходном коде.

100x100_benefit_credential

Управление доступом к собственным приложениям и обеспечение его безопасности.

Разработка специализированных систем управления удостоверениями и аутентификацией в приложениях – сложная задача. С помощью сервисов AWS для идентификации, создания каталогов и контроля доступа можно просто добавить к приложениям возможности регистрации и входа, а также создать масштабируемые и оптимизированные для облака каталоги пользователей приложения. Кроме того, можно дать пользователям возможность использовать собственные удостоверения, выданные социальными поставщиками удостоверений (например, Facebook и Amazon), или существующие корпоративные удостоверения, интегрированные посредством SAML. С помощью сервисов AWS для идентификации, создания каталогов и контроля доступа можно защитить доступ к аккаунтам пользователей приложений. Для этого необходимо подключить к приложениям многофактурную аутентификацию (MFA). При подключении MFA пользователям для доступа к приложению нужно будет пройти дополнительную проверку (например, ввести шестизначный код, полученный в SMS).

Сервисы для идентификации, создания каталогов и контроля доступа


Сервис AWS Identity and Access Management (IAM) предоставляет возможности управления доступом к сервисам и ресурсам AWS. Можно создавать политики IAM, разрешающие или запрещающие доступ к ресурсам AWS группам или отдельным пользователям IAM.


Сервис AWS Organizations предлагает управление множеством аккаунтов AWS на основе политик. С помощью сервиса AWS Organizations можно создавать группы аккаунтов и затем применять к ним определенные политики.


AWS Directory Service для Microsoft Active Directory позволяет ресурсам AWS и рабочим нагрузкам, способным работать с каталогами, использовать в облаке AWS управляемую службу каталогов Active Directory.


Сервис AWS Single Sign-On (SSO) упрощает централизованное управление системой единого входа (SSO) для доступа к множеству аккаунтов AWS и бизнес-приложений. Пользователь может войти в пользовательский портал со своими корпоративными данными для доступа и работать со своими аккаунтами и приложениями из одного места.


С помощью Amazon Cognito можно легко добавить возможности регистрации и авторизации пользователей в мобильное или интернет-приложение. Кроме того, можно аутентифицировать пользователей через социальных (например, Facebook и Amazon) или корпоративных поставщиков удостоверений (посредством SAML).

Вебинары

Best Practices for Using AWS Identity and Access Management (IAM) Roles
SAML Federation for AWS
Becoming an AWS Policy Ninja Using AWS IAM and AWS Organizations
AWS Organizations – Account Management at Enterprise Scale
How to Integrate AWS Directory Service with Office 365
Deep Dive on User Sign Up and Sign In with Amazon Cognito

Оставайтесь в курсе последних событий с помощью вебинаров AWS.

Основные возможности

Использование имеющихся корпоративных удостоверений.

AWS позволяет использовать для управления доступом пользователей к ресурсам AWS и бизнес-приложениям существующие корпоративные удостоверения. Сервис AWS Identity and Access Management (IAM) поддерживает интеграцию с локальной службой Microsoft Active Directory (AD) посредством SAML 2.0 (Security Assertion Markup Language 2.0). Благодаря этому можно использовать систему единого входа (SSO) для доступа к аккаунтам AWS с данными для доступа из AD. Масштабирование в облаке AWS по мере добавления аккаунтов AWS упрощается благодаря возможности использования сервиса AWS Single Sign-On (SSO) для централизованного управления системой единого входа для множества аккаунтов AWS и бизнес-приложений. С помощью сервиса AWS Directory Service можно распространить область действия локальной службы AD на облако AWS. Для этого применяются леса доверия AD или AD Connector. После этого имеющихся пользователей и группы AD можно использовать для управления доступом к аккаунтам AWS и рабочим нагрузкам, поддерживающим работы с AD, в том числе Amazon RDS для SQL Server, Amazon EC2 для Windows Server и Amazon WorkSpaces.

Безопасное управление удостоверениями и доступом в собственных приложениях.

С помощью сервиса Amazon Cognito можно реализовать различные варианты управления доступом к собственным приложениям с использованием внешних поставщиков удостоверений. Пользователям можно предоставить возможность регистрации и входа в приложения со своими собственными удостоверениями, полученными от социальных (например, Facebook и Amazon) или корпоративных поставщиков удостоверений с помощью SAML. Можно использовать также возможность Amazon Cognito User Pools. Это позволит управлять пользователями приложений в масштабируемом, оптимизированном для облака каталоге.

Безопасный доступ с помощью многофакторной аутентификации.

Обеспечить безопасность доступа к ресурсам AWS и приложениям можно с помощью многофактурной аутентификации (MFA). Сервис AWS Identity and Access Management (IAM) позволяет включить MFA для доступа к аккаунтам AWS. Можно также воспользоваться сервисом AWS Directory Service для Microsoft Active Directory и подключить к приложениям, способным работать с AD, аутентификацию MFA на базе RADIUS (Remote Authentication Dial-In User Service). А с помощью Amazon Cognito можно добавить возможности MFA к своим собственным приложениям.

Создание точно настроенных политик доступа.

Сервисы AWS для идентификации, создания каталогов и контроля доступа помогают безопасно управлять доступом в облаке AWS. С помощью сервиса AWS Identity and Access Management (IAM), можно установить точно настроенные политики доступа к ресурсам AWS. Можно, к примеру, создать политику, определяющую, к каким именно API сервиса AWS разрешено обращаться группе пользователей IAM и при каких условиях.

Управление доступом с использованием данных ограниченным сроком действия.

Роли IAM в AWS позволяют управлять доступом к ресурсам AWS с помощью данных для доступа с ограниченным сроком действия. С помощью ролей IAM можно предоставлять доступ к ресурсам в аккаунтах AWS без распространения паролей и ключей API. Например, можно присвоить роль IAM функции AWS Lambda и предоставить ей разрешение от вашего имени делать записи в журналах AWS CloudWatch. А с помощью IAM Roles for Amazon EC2 можно, например, дать приложениям, работающим на EC2, разрешение на доступ к базе данных Amazon RDS.

Управляемые сервисы каталогов.

AWS предлагает на выбор несколько вариантов сервисов каталогов для поддержки разных типов приложений. Для приложений, которым требуется Microsoft AD, подойдет сервис AWS Directory Service для Microsoft Active Directory (известный также под названием AWS Managed Microsoft AD). Он позволяет использовать преимущества управляемого сервиса AD. Если AWS Managed Microsoft AD не подходит под конкретные требования, можно выполнить развертывание собственного каталога AD на Amazon EC2. С помощью Amazon Cognito User Pools можно также создать оптимизированные для облака каталоги пользователей для своих собственных приложений. 

Начало работы с AWS

Step 1 - Sign up for an AWS account

Регистрация аккаунта AWS

Получите мгновенный доступ к уровню бесплатного пользования AWS.
icon2

Обучение с помощью 10-минутных учебных пособий

Знакомьтесь с сервисами и учитесь с помощью простых учебных пособий.
icon3

Начните разработку с AWS

Начните создавать проекты на AWS с помощью пошаговых руководств.

Начало работы с AWS

Регистрация
Есть вопросы?
Свяжитесь с нами