Сервисы AWS для идентификации, создания каталогов и контроля доступа

Управление аутентификацией, авторизацией и организацией управления в облаке AWS.

Сервисы AWS для идентификации, создания каталогов и контроля доступа помогают управлять аутентификацией, авторизацией и организовывать управление в облаке AWS. Эти сервисы дают возможность безопасно управлять доступом к аккаунтам и инфраструктуре AWS и проводить аудит доступа на любом этапе работы с облаком AWS. На платформе AWS можно создавать сервисы удостоверений, каталогов и контроля доступа, специально предназначенные для простого и безопасного переноса имеющихся рабочих нагрузок в облако AWS и разработки новых приложений с оптимизацией для облака. При этом можно использовать имеющиеся удостоверения и каталоги или воспользоваться преимуществами сервисов, управляемых AWS.

Чтобы пользователи могли просто и безопасно выполнять аутентификацию, сервисы AWS для идентификации, создания каталогов и контроля доступа позволяют им входить в облако AWS с существующими собственными удостоверениями. Можно, например, аутентифицировать пользователей в приложениях с помощью социальных поставщиков удостоверений, в частности Facebook и Amazon. Можно также обеспечить разработчикам и администраторам возможность доступа к аккаунтам AWS с использованием имеющихся корпоративных данных для доступа. AWS помогает управлять авторизацией в аккаунтах AWS с использованием точно настраиваемых политик доступа и данных для доступа с ограниченным сроком действия, чтобы управлять разрешениями на ресурсы AWS. При увеличении масштаба используемых ресурсов и количества аккаунтов AWS соответствие нормативным требованиям и требованиям аудита помогут обеспечить сервисы, управляющие доступом с помощью системы единого входа (SSO), политиками и организацией управления во множестве аккаунтов AWS. AWS позволяет быстро и безопасно начать работу, а потом, по мере расширения использования облака AWS, воспользоваться более широкими функциональными возможностями.

 

re:Invent 2017: SID303. How to use AWS Identity Services to be Successful on your AWS Cloud Journey

Преимущества

Быстрое и безопасное начало работы

Сервисы AWS для идентификации, создания каталогов и контроля доступа ориентированы на применение лучших рекомендаций по обеспечению безопасности. Поэтому начало работы с облаком AWS будет быстрым и безопасным. Управляемые политики AWS Identity and Access Management (IAM) и графический редактор с простым интерфейсом позволяют легко создавать политики IAM, основанные на распространенных рабочих функциях, например, администратора базы данных, специалиста по анализу данных или аудитора. Для соответствия особым требованиям безопасности встроенные политики можно расширять. Можно, например, сделать копию встроенной политики для администратора базы данных и усилить ограничения, разрешив доступ только к Amazon DynamoDB.

Использование более широких функциональных возможностей по мере необходимости

Со временем потребности растут, и AWS позволяет по мере необходимости использовать все более широкие функциональные возможности. Создание точно настраиваемых политик доступа поможет обеспечить соответствие строгим нормативным и законодательным требованиям. Разрешения на доступ к сервисам и ресурсам AWS можно задавать даже на уровне API. Дополнительно можно задать условия, определяющие, когда и как эти разрешения могут использоваться. Интеграция с сервисами ведения журнала и мониторинга AWS, например AWS CloudTrail и AWS CloudWatch, позволяет видеть, кто и к чему получал доступ по всем принадлежащим клиенту ресурсам AWS.

Безопасное масштабирование в облаке AWS

Сервисы AWS для идентификации, создания каталогов и контроля доступа помогают обеспечить безопасность при добавлении новых аккаунтов AWS. Они позволяют управлять доступом и организацией управления во всех связанных аккаунтах AWS. С помощью системы единого входа AWS Single Sign-On (SSO) можно централизованно управлять доступом ко множеству аккаунтов AWS. А с помощью AWS Organizations можно создавать группы аккаунтов, а затем, применяя политики управления сервисами (SCP), определять, какими API сервиса AWS разрешено пользоваться тем или иным аккаунтам AWS. Например, можно создать отдельные группы аккаунтов для ресурсов разработки и рабочих ресурсов, а затем применить к каждой группе различные политики управления сервисами.

Примеры использования

100x100_benefit_team-access

Управление доступом пользователей к принадлежащим компании ресурсам AWS и бизнес-приложениям и обеспечение безопасного доступа.

Управление доступом пользователей к ресурсам AWS и бизнес-приложениям и обеспечение безопасности такого доступа является одной из важнейших частей политик безопасности и соответствия нормативным требованиям. С помощью сервисов AWS для идентификации, создания каталогов и контроля доступа можно управлять доступом пользователей к аккаунтам AWS и бизнес-приложениям, используя имеющиеся корпоративные удостоверения, а также устанавливать точно настроенные политики доступа для управления разрешениями на работу с ресурсами AWS. Можно также контролировать использование API сервисов AWS во всех связанных аккаунтах AWS, обеспечивая исполнение политик безопасности и соответствия требованиям. Сервисы AWS для идентификации, создания каталогов и контроля доступа позволяют также расширить область действия разрешений на работу с ресурсами, которые пользователь запускает в своем аккаунте AWS. Благодаря этому можно гарантировать, к примеру, что разрешения, предоставляемые функции AWS Lambda, которую запускает инженер по безопасности, окажутся не шире разрешений, предоставленных самому инженеру.

100x100_benefit_workflow2

Управление доступом приложений к ресурсам AWS и обеспечение его безопасности

Для создания распределенных приложений, работающих с разными сервисами и аккаунтами AWS, надо иметь возможность проверки идентификации и разрешений на работу с ресурсами для приложений. Сервисы AWS для идентификации, создания каталогов и контроля доступа позволяют безопасно проверять удостоверения и управлять разрешениями на ресурсы, используя для этого данные для доступа с ограниченным сроком действия – роли. Использование ролей соответствует рекомендованным методам обеспечения безопасности, согласно которым следует предоставлять минимально привилегированный доступ. Оно позволяет точно настраивать разрешения для сервисов и приложений AWS, работающих на инстансах Amazon EC2 и в контейнерах. С помощью ролей можно предоставлять этим ресурсам доступ к данным без распространения паролей и ключей API или указания данных для доступа в исходном коде.

100x100_benefit_credential

Управление доступом к собственным приложениям и обеспечение его безопасности.

Разработка специализированных систем управления удостоверениями и аутентификацией в приложениях – сложная задача. С помощью сервисов AWS для идентификации, создания каталогов и контроля доступа можно просто добавить к приложениям возможности регистрации и входа и создать масштабируемые и оптимизированные для облака каталоги пользователей приложения. Кроме того, можно дать пользователям возможность использовать собственные удостоверения, выданные социальными поставщиками удостоверений (например, Facebook и Amazon), или существующие корпоративные удостоверения, интегрированные посредством SAML. Для защиты доступа к аккаунтам пользователей приложений сервисы AWS для идентификации, создания каталогов и контроля доступа позволяют подключать к приложениям многофакторную аутентификацию (MFA). При подключении MFA пользователям для доступа к приложению нужно будет пройти дополнительную проверку (например, ввести шестизначный код, полученный в SMS).

Сервисы для идентификации, создания каталогов и контроля доступа


Сервис AWS Identity and Access Management (IAM) предоставляет возможности управления доступом к сервисам и ресурсам AWS. Можно создавать политики IAM, разрешающие или запрещающие доступ к ресурсам AWS группам или отдельным пользователям IAM.


AWS Organizations предлагает управление множеством аккаунтов AWS на основе политик. С помощью сервиса AWS Organizations можно создавать группы аккаунтов и затем применять к ним определенные политики.


AWS Directory Service для Microsoft Active Directory позволяет ресурсам AWS и рабочим нагрузкам, способным работать с каталогами, использовать в облаке AWS управляемую службу каталогов Active Directory.


Сервис AWS Single Sign-On (SSO) упрощает централизованное управление системой единого входа (SSO) для доступа к множеству аккаунтов AWS и бизнес-приложений. Пользователь может войти в пользовательский портал со своими корпоративными данными для доступа и работать со своими аккаунтами и приложениями из одного места.


Amazon Cognito позволяет просто добавить возможности регистрации и авторизации пользователей в мобильное или интернет-приложение. Кроме того, можно аутентифицировать пользователей через социальных поставщиков удостоверений (например, Facebook и Amazon) или корпоративных поставщиков удостоверений (посредством SAML).


Amazon Cloud Directory позволяет создавать гибкие облачные каталоги для организации иерархических связей данных по множеству направлений. Можно создавать каталоги для самых разных задач: составления схем организации, каталогов курсов, реестров устройств и так далее.

Вебинары

Best Practices for Using AWS Identity and Access Management (IAM) Roles
SAML Federation for AWS
Becoming an AWS Policy Ninja Using AWS IAM and AWS Organizations
AWS Organizations – Account Management at Enterprise Scale
How to Integrate AWS Directory Service with Office 365
Deep Dive on User Sign Up and Sign In with Amazon Cognito

Оставайтесь в курсе дел с вебинарами AWS.

Основные возможности

Использование имеющихся корпоративных удостоверений.

AWS позволяет использовать для управления доступом пользователей к ресурсам AWS и бизнес-приложениям существующие корпоративные удостоверения. Сервис AWS Identity and Access Management (IAM) поддерживает интеграцию с локальной службой Microsoft Active Directory (AD) посредством SAML 2.0 (Security Assertion Markup Language 2.0). Благодаря этому можно использовать систему единого входа (SSO) для доступа к аккаунтам AWS с данными для доступа из AD. Масштабирование в облаке AWS по мере добавления аккаунтов AWS упрощается благодаря возможности использования сервиса AWS Single Sign-On (SSO) для централизованного управления системой единого входа для множества аккаунтов AWS и бизнес-приложений. С помощью сервиса AWS Directory Service можно распространить область действия локальной службы AD на облако AWS. Для этого применяются леса доверия AD или AD Connector. После этого имеющихся пользователей и группы AD можно использовать для управления доступом к аккаунтам AWS и рабочим нагрузкам, поддерживающим работы с AD, в том числе Amazon RDS для SQL Server, Amazon EC2 для Windows Server и Amazon WorkSpaces.

Безопасное управление удостоверениями и доступом в собственных приложениях.

С помощью сервиса Amazon Cognito можно реализовать различные варианты управления доступом к собственным приложениям с использованием внешних поставщиков удостоверений. Пользователям можно предоставить возможность регистрации и входа в приложения со своими собственными удостоверениями, полученными от социальных поставщиков удостоверений (например, Facebook и Amazon) или корпоративных поставщиков удостоверений с помощью SAML. Можно использовать также возможность Amazon Cognito User Pools. Это позволит управлять пользователями приложений в масштабируемом, оптимизированном для облака каталоге.

Безопасный доступ с помощью многофакторной аутентификации.

Обеспечить безопасность доступа к ресурсам AWS и приложениям можно с помощью многофакторной аутентификации (MFA). Сервис AWS Identity and Access Management (IAM) позволяет включить MFA для доступа к аккаунтам AWS. Можно также воспользоваться сервисом AWS Directory Service для Microsoft Active Directory и подключить к приложениям, способным работать с AD, аутентификацию MFA на базе RADIUS (Remote Authentication Dial-In User Service). А с помощью Amazon Cognito можно добавить возможности MFA к своим собственным приложениям.

Создание точно настроенных политик доступа.

Сервисы AWS для идентификации, создания каталогов и контроля доступа помогают безопасно управлять доступом в облаке AWS. С помощью сервиса AWS Identity and Access Management (IAM) можно установить точно настроенные политики доступа к ресурсам AWS. Можно, к примеру, создать политику, определяющую, к каким именно API сервиса AWS разрешено обращаться группе пользователей IAM и при каких условиях.

Управление доступом с использованием данных для доступа с ограниченным сроком действия.

Роли IAM в AWS позволяют управлять доступом к ресурсам AWS с помощью данных для доступа с ограниченным сроком действия. С помощью ролей IAM можно предоставлять доступ к ресурсам в аккаунтах AWS без распространения паролей и ключей API. Например, можно присвоить роль IAM функции AWS Lambda и предоставить ей разрешение от вашего имени делать записи в журналах AWS CloudWatch. А с помощью IAM Roles for Amazon EC2 можно, например, дать приложениям, работающим на EC2, разрешение на доступ к базе данных Amazon RDS.

Управляемые сервисы каталогов.

AWS предлагает на выбор несколько вариантов сервисов каталогов для поддержки разных типов приложений. Для приложений, которым требуется Microsoft AD, подойдет сервис AWS Directory Service для Microsoft Active Directory (известный также под названием AWS Managed Microsoft AD). Он позволяет использовать преимущества управляемого сервиса AD. Если AWS Managed Microsoft AD не подходит под конкретные требования, можно выполнить развертывание собственного каталога AD на Amazon EC2. С помощью Amazon Cognito User Pools можно также создать оптимизированные для облака каталоги пользователей для своих собственных приложений. Как вариант, сервис Amazon Cloud Directory позволяет создавать масштабируемые каталоги для управления сложными иерархическими структурами данных: организационными схемами, каталогами курсов или реестрами устройств.

Начать работу с AWS

icon1

Зарегистрировать аккаунт AWS

Получите мгновенный доступ к уровню бесплатного пользования AWS.
icon2

Обучение с помощью 10-минутных учебных пособий

Ищите информацию и учитесь с помощью простых учебных пособий.
icon3

Начните разработку с AWS

Начните создавать проекты на AWS с помощью пошаговых руководств.

Начало работы с AWS

Регистрация
Есть вопросы?
Свяжитесь с нами