iT邦幫忙

第 12 屆 iThome 鐵人賽

DAY 12
0
自我挑戰組

AWS Certified Solution Architect 系列 第 12

AWS Certified Solution Architect - IAM

Table of Content

  • IAM
  • Core Component
  • Type of Policy
  • Password Policy
  • Access key
  • MFA

IAM

IAM 是 AWS 的權限管理系統

Core Component

  1. User

  2. Group

  3. Role

  4. Policy

  5. User
    IAM Identities。指的是透過 AWS console 或使用程式登入的終端使用者

  6. Group
    IAM Identities。Group 有點像社團的概念,在同個 group 裡的 user 將會有一樣的權限等級
    ex : Administrators, Developers, Auditors

  7. Role
    IAM Identities。 role 是將權限關聯至某個 group 或 使用者 的中介者

  8. Policy
    policy 是 JSON 文件,這些文件裡包含了可以幫特定使用者、群體、或角色取得權限的規則。 Policy 可以附加在任何的 IAM Identities(User, Group, Role)
    https://ithelp.ithome.com.tw/upload/images/20200912/20129560YAg3aAnCVQ.png

Type of Policy

Policy 分為三種: Managed, Customer, Inline
Managed policy
AWS 建立的政策,包含常見的政策。Managed Policy 的內容不能被更動
Customer policy
使用者建立的政策,內容可被更動
Inline policy
直接附加在某個使用者的政策(好像可以設定TTL ?)

Password Policy

Password Policy

可以設定使用者設定密碼時的規則,ex :至少有一個大寫字母,至少有一個數字...的規則
也可以要求輪轉(rotate)密碼(使用者要定期更新密碼)

Access key

  1. 一個使用者最多會有兩個 Access key
  2. Access key 在透過程式(AWS CLI/ AWS SDK)來使用AWS服務時會被使用
  3. Access key 只有產生key的當下能看到,如果忘記就必須刪掉現有的在新增一個

Multi-Factor Authentication(MFA)

MFA 只能由使用者自己開啟(因為需要手機...)
Administrator不能直接幫使用者設定MFA,但是可以設定某些服務一定要有MFA才能使用,來限制沒有MFA的使用者。
有幾種方式 :

  1. Virtual MFA device: 用行動裝置或電腦下載 APP
  2. U2F security key : YubiKey 或是任何 U2F 裝置(類似dongle的東西)
  3. Other hardware MFA device

上一篇
AWS Certified Solution Architect - DNS(Part 1)
下一篇
AWS Certified Solution Architect - Cognito
系列文
AWS Certified Solution Architect 30

尚未有邦友留言

立即登入留言