AWS提供了一系列安全性和身分管理服務,用於幫助AWS客戶保護其雲端基礎架構和數據,並確保合規性,下方會介紹幾個較常見的服務。
AWS身分與存取管理服務,能讓使用者管理對AWS服務與資源的存取,用戶可建立擁有唯一安全憑證的使用者與群組,並管理每個使用者的權限,也可以自行定義IAM的角色,這樣就能在不需要AWS憑證發布出去的情況下,讓應用程式安全的執行API的呼叫。
以下會分享AWS IAM的特點:
身份管理: AWS IAM允許用戶在AWS上創建和管理使用者、群組和角色,每個使用者都有唯一的安全憑證,用於訪問AWS資源。
細粒度的訪問控制: 用戶可以為每個使用者、群組或角色分配精確的權限,以控制他們可以訪問的AWS資源和執行的操作,這可以確保最小特權原則,減少了安全風險。
多因素身份驗證(MFA): IAM支援多因素身份驗證,提供額外的安全性層,要求使用者在登錄時提供多種身份驗證因素,如密碼和安全令牌。
臨時憑證: 用戶可以為使用者生成臨時安全憑證,以限制他們對資源的訪問時間和權限。這對於臨時授權臨時任務非常有用。
訪問審計: IAM記錄所有身份和資源上的操作活動,這些活動可以通過AWS CloudTrail進行監控和審計,這有助於檢測潛在的安全問題和滿足合規性要求。
整合其他AWS服務: IAM可以與其他AWS服務整合,例如Amazon S3、EC2和RDS,以確保這些服務的安全訪問和管理。
跨AWS帳戶訪問: 用戶可以使用IAM角色來實現跨AWS帳戶的資源訪問,這對於多帳戶環境和資源共享非常有用。
自定義策略: 使用者可以創建自定義策略來定義資源的訪問控制規則,並將其分配給使用者、群組或角色。
AWS IAM是確保AWS環境安全性的關鍵工具,幫助組織有效管理和保護其雲資源,它支持身份驗證、授權和審計,以確保只有授權的使用者能夠訪問和操作AWS資源,從而提高了雲的安全性和合規性。
AWS受管目錄服務可以讓用戶使用企業憑證,來存取AWS的雲端資源,可以將以存取的目錄服務整合進來,也可以直接使用在雲端環境上的目錄服務,這些目錄可以與 Microsoft Active Directory(AD)或 AWS Directory Service Simple AD(AD DS)等標準協議兼容的目錄服務整合,以便在 AWS 環境中管理使用者、組織結構和計算資源。。
以下會分享AWS Directory Service的特點:
Microsoft Active Directory兼容性: AWS Directory Service可以建立 Microsoft Active Directory目錄,使使用者能夠輕鬆在 AWS 中擴展或遷移現有的 AD 部署,這使得在 AWS 環境中使用相同的身份驗證和策略變得更加容易。
Simple AD: AWS Directory Service還提供了Simple AD,這是一個與 Microsoft AD 兼容的目錄服務,但它更簡化了管理和維護,它適用於小型組織或對 AD 功能的基本需求。
AD Connector: AD Connector允許使用者將現有的本地AD部署與AWS的雲中的應用程序集成,而無需在雲中建立新的目錄,這有助於實現混合雲的環境。
AWS Managed Microsoft AD: 這是AWS托管的Microsoft AD服務,完全受AWS管理,它提供高可用性、靈活的擴展性和安全性,適用於對高級AD功能有需求的企業。
單一登錄(SSO)整合: AWS Directory Service可以與AWS SSO集成,使使用者可以使用其AD憑證登錄AWS資源,從而簡化身份驗證流程。
安全性和合規性: AWS Directory Service提供安全性控制、監控和合規性功能,幫助保護和審核使用者和資源的訪問。
資源管理: 它還支持將使用者和組織結構與AWS計算資源(ex:EC2 instance和RDS資料庫)關聯,以便更好地管理權限。
AWS Directory Service是一項關鍵的服務,特別適用於需要在 AWS 環境中集成和管理目錄服務的組織,它提供了靈活性和可擴展性,以滿足各種身份驗證和授權需求,同時降低了管理成本和複雜性。
AWS憑證管理服務,可以讓使用者建立、管理以及部署出SSL(安全通訊協定)或者TLS(傳輸層安全協定)憑證,用以存取AWS服務。
以下會分享AWS Certificate Manager的特點:
免費的SSL/TLS憑證: Certificate Manager提供免費的公共SSL/TLS憑證,可用於保護網站和應用程式,這些憑證由AWS管理和更新,使用戶無需購買和管理自己的憑證。
自動憑證管理: Certificate Manager可自動管理憑證的申請、頒發、更新和續訂。它還提供憑證到期通知,確使用者的憑證始終保持有效。
集成AWS服務: 可以將Certificate Manager憑證與多個AWS服務集成,包括彈性負載平衡、Amazon CloudFront、API Gateway等,以加密數據傳輸並確保通信的安全性。
多域和通配符憑證: Certificate Manager支持多域(SAN)憑證和通配符憑證,可用於保護多個域名和子域名。
憑證鏈管理: 該服務自動處理憑證鏈,確保憑證在各種設備和瀏覽器上獲得廣泛的支持。
HTTPS集成: Certificate Manager支持輕鬆啟用HTTPS,為使用者的網站和應用程式提供加密的數據傳輸。
合規性支持: 憑證可以幫助您滿足合規性要求,如PCI DSS等,通過提供加密和身份驗證的層面。
AWS Certificate Manager簡化了數字憑證的管理和部署過程,使AWS用戶能夠輕鬆地提高其應用程式和網站的安全性,同時減少了憑證管理的複雜性和費用。
AWS金鑰管理服務,可以讓使用者建立與管理加密金鑰的全受管服務,用來將資料加密。
以下會分享AWS KMS的特點:
加密密鑰的創建和管理: AWS KMS允許用戶創建、導入、輪換和管理加密密鑰,用於保護數據的機密性。
整合性: KMS可與多個AWS服務集成,如Amazon S3、RDS、EBS等,以提供數據加密的功能。用戶可以選擇在使用這些服務時自動使用KMS創建的密鑰進行數據加密。
硬體安全模組(HSM)保護: AWS KMS使用硬體安全模組來保護密鑰的存儲和使用,提供了額外的安全性層,確保密鑰的機密性。
密鑰策略: 用戶可以定義密鑰策略,以控制哪些AWS資源可以使用特定密鑰進行加密和解密操作,這樣可以實現細粒度的訪問控制。
審計日誌: KMS提供審計日誌,記錄了密鑰的使用情況,以幫助用戶監控和審計密鑰的操作。
自定義密鑰: 用戶可以自定義創建加密密鑰,並選擇將其用於特定用途,如數據加密或簽名生成。
AWS KMS用於確保AWS用戶的數據在儲存和傳輸過程中得到適當的保護,它提供了強大的加密和密鑰管理功能,有助於用戶滿足數據保護和合規性方面的要求。
雲端入門新手,在這裡記錄學習雲端的筆記,願30天後可以如願上雲端。
我們明天見~