iT邦幫忙

2021 iThome 鐵人賽

DAY 2
0

AWS Certified Solution Architect Associate之旅的第一站,我們首先來看看IAM服務。

1. 為何要使用IAM:

IAM是Identity and Access Management縮寫,提供我們使用者一套更具備安全性和彈性的雲端資源控管機制。我們可以按照任務所需,去指派所需要的雲端資源取得權限和方式,而不必去使用Root Account。這邊Root Account是指我們第一次使用AWS雲端服務時所開的帳號,此帳號擁有最高的權限,能取得任何AWS上的雲端資源和服務。因此,若使用Root Account去做僅需要部份雲端資源的服務時,我們會面臨到其他服務被意外竊取的高額機會成本。

2. IAM的運作機制 - 階層式的結構:

這邊透過下面的表格說明IAM的整體架構(因為考照是英文出題,以下會盡量以英文去標示關鍵字詞。)首先,Policy讓我們可以定義多少資源,需要釋放給特定任務做使用。Policy定義完後,將指派給IAM Group下的User或者是Role,讓IAM Group下的User或者Role可以按照這個Policy,去享有特定的雲端資源服務。至於IAM Group User和Role差別,IAM Group User可以看做我們要提供多少AWS雲端服務,給其他系統開發者,也就是從人的角度去看;而IAM Role的話,則是讓我們內部本身的AWS雲端資源,可以相互取得串通,也就是從雲端資源角度去看,例如某台雲端機器可以享有其他的雲端儲存資源。

2.1 Policy的編寫

我們編寫IAM Policy時,須留意到Policy是在JSON格式中,由effect, principal, condition, action 以及 resource組成。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "s3:*",
            "Resource": "*"
        }
    ]
}
  • 編寫Policies時,可以參考Visual Editor編寫工具。
  • Policy參考工具: Policy Simulator
  • Policy編寫原則: Least Privilege僅提供使用者所需的雲端資源或服務。

2.2 IAM 特點

IAM有以下幾項特點:

通用與彈性

  • IAM is Universal: IAM服務不受分區限制。雲端服務通常會分區來去提供,例如選用在新加坡的機器,但IAM這是屬於不分區的雲端服務。
  • Centralized Control: 中央控管機制,權限控管與調整,由中央統一作調控。
  • Shared Access: 共享機制,讓同一套服務可以讓多個相同權限使用者使用。
  • Granular Permission: Policy的訂定可以非常細微,讓我們可以依照任務所需,定義真的需要提供出來的權限,來應對各式各樣的商業環境需求。
  • Integrate AWS Services: 讓不同的AWS服務資源可以相互按照所需串接。

安全

  • Multifactor Authentication: 可以觸發多重認證機制,讓服務的啟用更具保障。
  • Password Rotation Policy: 強制規定每隔一段時間就要更改密碼的限制。

此短片讓大家可以從不同角度再去看一次IAM。
Yes


上一篇
Day 01-AWS Solution Architect Associate的鐵人之旅行前會
下一篇
Day 03 - 任你存S3
系列文
AWS Solution Architect Associate的鐵人不只三項證照之路30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言