iT邦幫忙

2021 iThome 鐵人賽

DAY 2
0
自我挑戰組

邁向 AWS Certified Solutions Architect - Associate系列 第 2

[DAY 02] IAM

IAM (Identity and Access Management)

  • 對於 AWS 上的服務安全性扮演了舉足輕重的角色。它管理了對於 AWS 上的服務與資源的存取。
  • 在 IAM 裡有幾個重要的組成
    • Root user: 預設建立的帳戶,不應該拿來做日常操作或使用。
    • Users: 就是組織內或公司內的成員,可以形成一些群組。
    • Groups: 只會包含 users,並不會包含其他群組。
    • 所以 user 可以不隸屬某個 group,user 可以隸屬於多個 group。
  • Permissions 權限
    • User 和 groups 可以在 JSON 文件內指定,稱之為 policies.
    • 這些 policies 就會定義 users 的權限。
    • 原則上賦予最小權限即可,不需給予多餘或未使用到的權限。
    • Policies 的定義可以是有繼承關係的。
  • Policy 結構
    • 由 "Version", "Id" 和 "Statement" 組成。
    • 而 "Statement" 由以下項目組成:
      • Sid: 可選,statement 的識別碼。
      • Principal: 用於哪個 account/user/role。
      • Effect: 描述該 statement 是允許 (Allow) 還是 Deny (拒絕) 存取。
      • Resource: 列出 action 要套用的 resource。
      • Action: 列出允許 (Allow) 或 Deny (拒絕) 的操作 (action)。
      • Condition: 可選,指定此 policy 要起作用的條件。

如何存取 AWS

  • 使用者若要存取 aws,有以下方式
    • 透過 AWS management console,(需要用密碼或以 MFA 登入)
    • 透過 AWS CLI (command line) 介面:以命令列方式操作,要用 access keys 獲得權限操作。
    • 透過 AWS SDK: 也要用到 access keys。

IAM Role

  • Role (角色),通常不會用 user 直接操作 aws 服務,而是用 IAM role 為 aws 服務分配權限。
  • AWS 提供的 IAM 安全工具
    • IAM Credentials Report
      • 是 account level
      • 可列出你的帳戶下所有 user 及其 credential 狀態。
    • IAM Access Advisor
      • 是 user level
      • 可顯示出 user 被賦予的服務權限以及何時使用過該服務,如此可知使用者被賦予的權限是否多餘。
      • 因此可以據此來調整 policies。

上一篇
[Day 01] 什麼是雲端運算?
下一篇
[DAY 03] EC2
系列文
邁向 AWS Certified Solutions Architect - Associate16
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言