AWS IAM

最新推荐文章于 2023-07-03 20:36:44 发布
最新推荐文章于 2023-07-03 20:36:44 发布
阅读量1k 收藏 4
点赞数 1
分类专栏: AWS 文章标签: Cloud AWS
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/funnyrand/article/details/89379029
版权
  1. IAM (Identity and Access Management)
    1. IAM不是用于存储应用的认证和授权信息,是用于AWS资源的认证和授权
    2. IAM也不用于操作系统的认证和授权
  2. 常见认证/授权场景
    1. 操作系统:AD/LDAP
    2. Application:AD, Application user repository, Amazon Cognito
    3. AWS Resources: IAM
  3. 操作IAM的方式
    1. AWS console
    2. CLI
    3. SDK
    4. RESTful API
  4. Principal,IAM实体
    1. Root account,创建AWS时的跟账号
    2. IAM users,root account或具有IAM权限的IAM user创建的账号
    3. Roles/Temporary security tokens,角色或者临时安全令牌
  5. Roles/Temporary Security Tokens的使用场景
    1. 为EC2增加角色,这样EC2 instance就具备了相应的权限,在EC2上面执行CLI,SDK调用等就不用输入用户名/密码或者access key ID
    2. Cross Account Access,为其它account的IAM用户分配权限
    3. Federation:为其它应用的用户分配权限,例如,常见的微信登录,QQ登录等,在登录某个网站/系统时,可以注册新用户,也可以使用微信/QQ等账号登录,登录后为其授权。
  6. 为什么为EC2分配role,而不是内嵌Access Key ID
    1. 两种方式都可以为EC2授权
    2. 将Access Key ID和Security Access Key内嵌到EC2,并存放在某个配置文件,会增加泄漏的风险,且当要rotate Access Key ID的时候需要重新拷贝Key到EC2,存在安全隐患,也不方便
    3. 为EC2分配role以后,当调用API,SDK操作AWS资源时,AWS会自动生成临时security token和session ID,并将其设置为API,SDK的参数,不存在拷贝key的过程,也不存在rotate的问题
  7. Authentication,认证
    1. 验证某个账号是否合法,合法则允许进入系统,否则不能进入
    2. User Name/Password:通过用户名密码的方式认证
    3. Access Key:通过与用户名/密码关联的Access Key ID和Security Access Key认证
    4. Access Key/Sesstion Token:如果分配了Role,则使用Access Key和Session Token认证,这些都是临时生成的
  8. Authorization,授权
    1. 为合法用户授权,可以登录的用户有很多,不同的用户有不同的权限,通过policy为不同的Principal授权
    2. Policies,允许(拒绝)在某种条件下操作某个服务下的某些资源,JSON格式
      1. Effect,Allow or Deny
      2. Service,将要操作什么服务
      3. Resource,将要操作服务的什么资源,一般Service和Resource是一起用ARN定义的
      4. Action,具体的操作,如List,Delete,etc
      5. Condition,在什么条件下才有此权限,如IP Range,特定的时间等
    3. Policy 示例

  9. 为Principal授权
    1. policy分为两种,系统预定义的policy和用户自定义的policy
    2. IAM User可以属于某个Group,为Group授权后,Group里面所有的用户都具备相应的权限
    3. 可以为User/Group直接分配系统预定义的policy或用户自定义的policy
    4. 授权有四种场景:
      1. 为IAM User分配系统预定义的policy
      2. 为IAM User分配用户自定义的policy
      3. IAM User属于某个Group,为Group分配系统预定义的policy
      4. IAM User属于某个Group,为Group分配用户自定义的policy
      5. 最佳实践:使用root账号创建IAM admin 账号,之后退出root账号,用IAM admin账号管理所有IAM用户
      6. 不能将role加入到Group,但可以为role分配系统预定义或用户自定义的policy,这点与IAM User一样
  10. MFA (Multi-Factor Authentication)
    1. 为IAM用户或root账号启动MFA,这样在登录系统时不仅需要输入用户名/密码,还需要输入MFA code,MFA code可以来自硬件设备或软件app
    2. 强烈要求root账号启动MFA
    3. MFA code是通过MFA Key计算出来的,知道MFA Key也就知道了MFA Code,MFA Code和时间有关,30s过期
  11. Rotating Keys
    1. 需要定期Rotate Access Key,这样能避免Access Key泄漏
    2. 好像不能自动rotate key,需要手动操作
  12. 如何处理多个权限
    1. 综合分析所有policy,只要有一个deny,则deny,而不管是否有allow
    2. 没有allow,默认都是deny
    3. 其它则allow
尘世中迷途小码农
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SAP 开发者Access Key 与对象修改Access Key
willieyuan的博客
01-14 1707
SAP开发人员和对象键(SSCR) SSCR(SAP软件变更注册)是将所有手动变更注册到SAP源和SAP Dictionary对象的过程。如果ABAP开发人员要在SAP系统中进行更改,则SAP系统将提示您输入两个访问密钥: 开发人员密钥,用于将特定用户注册为开发人员。该密钥只能输入一次。 对象键允许更改SAP源或SAP字典对象。当对象由已注册的开发人员首次更改时,必须进行注册。如果在以后的某个时间更改了对象,则不再需要密钥。 如果修改多个程序,则每个程序都需要...
aws-rotate-key:轻松旋转您的AWS访问密钥
02-02
旋转键 作为安全性最佳实践,AWS建议用户定期。 该工具简化了定义的访问密钥的旋转。 运行时,程序将列出与您的IAM用户关联的当前访问密钥,并打印其旋转步骤。 然后它将等待您的确认,然后继续。 用法 $ aws-rotate-key --help Usage of aws-rotate-key: -d Delete old key without deactivation. -mfa Use MFA. -profile string The profile to use. (default "default") -version Print version number -y Automatic "yes" to prompts. 例 $ aws-rotate-key --profile work Using access key AKIAJMIGD6UPCXCFWVOA from profile "work". Your user ARN is: arn:aws:iam::123456789012:user/your_usernam
如何获取AWSAccess Key ID 和 Secret Access Key (Unable to find credentials)
dngkzsf165912的博客
09-17 3625
获取AWSAccess Key ID 和 Secret Access Key 是你可以访问AWS的依据,比如S3的“使用预签名 URL 上传对象”。 1、登录AWS控制台 2、在“AWS services”搜索框中搜索“access key” 3、点击搜索跳出的选项:IAM 4、点击“Rotate your access keys”,点击Button:Manage U...
AWS系列:深入了解IAM和访问控制
whatnamecaniuse的专栏
09-26 9164
写在前面:访问控制,换句话说,谁能在什么情况下访问哪些资源或者操作,是绝大部分应用程序需要仔细斟酌的问题。作为一个志存高远的云服务提供者,AWS自然也在访问控制上下了很大的力气,一步步完善,才有了今日的IAM:Identity and Access Management。如果你要想能够游刃有余地使用AWS的各种服务,在安全上的纰漏尽可能地少,那么,首先需要先深入了解 IAM。 基本概念 按照
access key 笔记
weixin_33826268的博客
06-27 878
用户认证 后台服务要提供公共接口给用户调用,必须要提供认证机制,一旦用户认证通过,才让用户调用API。对于次,可以通过(access_key,secret_access_key)来认证。这个(access_key,secret_access_key)是成对存在的。用户要调用API必须要申请这样的一对数据。一般工作流程是: 用户在前端申请...
kiam:将AWS IAM与Kubernetes集成
02-03
kiam作为代理在Kubernetes集群中的每个节点上运行,并允许集群用户将IAM角色与Pod相关联。 Docker映像可从。 录制了精彩的TGIK视频,涵盖了IAM配置和Kiam安装: 有关Kiam在我们的生产集群中的起源,设计和性能的...
aws-iam-authenticator:一种使用AWS IAM凭证对Kubernetes集群进行身份验证的工具
01-30
适用于Kubernetes的AWS IAM Authenticator 使用AWS IAM凭证对Kubernetes集群进行身份验证的工具。 该工具的最初工作是由Heptio驱动的。 该项目得到了多个社区工程师的贡献,目前由Heptio和Amazon EKS OSS工程师进行...
kube-aws-iam-controller:通过密钥将不同的AWS IAM凭证分配给Kubernetes中的不同容器
01-30
适用于Kubernetes的AWS IAM控制器 这是一个Kubernetes控制器,用于通过机密将AWS IAM角色凭据分配到Pod。 它旨在解决与其他现有工具(如和相同的问题,即将不同的AWS IAM角色分配到同一集群中的不同Pod。 但是,它...
policyuniverse:解析和处理AWS IAM策略,语句,ARN和通配符
02-05
该软件包提供了用于解析AWS IAM和资源策略的类。 此外,此软件包可以使用从AWS Policy Generator获得的权限在AWS Policy中扩展通配符。 请参阅。 该软件包还可以缩小AWS策略,以帮助您保持策略大小的限制。 如果...
complete-aws-iam-reference:完整的AWS IAM参考
01-30
**AWS IAM(Identity and Access Management)详解** AWS IAM 是Amazon Web Services 提供的一种安全管理服务,它允许用户控制对AWS资源的访问。这个“complete-aws-iam-reference”压缩包文件显然是一个详细的IAM...
AWS IAM基本概念
Blue summer的博客
05-20 3351
IAM Identity and Access Management,身份和访问管理 identity/principal user、role、federated User、application
[ 云计算 | AWS ] IAM 详解以及如何在 AWS 中直接创建 IAM 账号
热门推荐
我在山城重庆,我希望能为这片软件沙漠地带贡献自己的一滴水,Stay tuned!
07-03 1万+
AWS Identity and Access Management (IAM) 是一种 Web 服务,可以帮助你安全地控制对 AWS 资源的访问。借助 IAM,你可以集中管理控制用户可访问哪些 AWS 资源的权限。可以使用 IAM 来控制谁通过了身份验证(准许登录)并获得授权(拥有权限)来使用资源。IAM 是 Identity and Access Management 的缩写,即身份与访问管理,或称为身份管理与访问控制。IAM 主要为了达到一个目的:让恰当的人或物,有恰当的权限,访问恰当的资源。
AWS攻略——一文看懂AWS IAM设计和使用
方亮的专栏
09-14 3530
IAM Github CodeCommit Role User Policy
AWS IAM的简介与使用
05-03 9545
AWS IAM的简介 AWS Identity and Access Management (IAM) 是一种 Web 服务,可以帮助您安全地控制对 AWS 资源的访问。您可以使用 IAM 控制对哪个用户进行身份验证 (登录) 和授权 (具有权限) 以使用资源。 角色 可在账户中创建的具有特定权限的 IAM 身份。IAM 角色类似于 IAM 用户,因为它是一个 AWS 身份,该身份具有确定其...
AWS - IAM
GoldenaArcher的博客
01-22 501
自用笔记。
aws iam_分解AWS的身份和访问管理(IAM
weixin_26722031的博客
07-30 1098
aws iamIdentity and Access Management (IAM) is something you need to take seriously if you’re working in the AWS space. If you try to ignore it, it’ll only come back to bite you time and time again. 如...
AWS云计算技术架构探索系列之二-身份账户体系(IAM)
恰恰虎的博客
05-01 4089
一、前言 建立身份账户体系是我们上云的第一步,良好的账户体系设计,会为后续的管理带来极大的便捷性和扩展性,反之,则可能增加管理的复杂,以及账户使用的不安全。 AWS设计了一套完备的身份账号体系,主要包括IAM(Identity and Access Management),以及Organizations,其中IAM,包括账号,用户组,用户,角色,策略等。其关系图如下: 用户,用户是AWS的身份凭证,分为根用户和IAM用户。用户的识别包括用户名/密码,AK/SK。 用户组,...
[云服务] AWS-AMI 云服务器系统初始配置
weixin_42902669的博客
12-28 616
在尝试了 AWS 各个地区各个版本系统之后, 最终选用了东京地区的 AMI 系统的节点, 下面记录一下开启实例之后的一些基本配置操作 1. 更新 yum AMI 自带的 yum 版本较低, 导致很多包无法安装, 所以需要先升级 yum sudo yum update 该命令会同时更新系统中其它需要更新的组件 2. 配置 Python 环境 AMI 自带 Python2.7, 需要自行安装 Pyt...
AWS CLI创建Amazon EKS服务
云深海阔专栏
10-21 1535
3)将名为 GamefiAmazonEKSClusterRole的 Amazon EKS 托管 IAM policy 附加到角色。创建 IAM 角色。运行以下命令以使用您以前创建的 IAM 角色的 ARN 对 aws-node 服务账户添加注释。将所需的 IAM policy 附加到角色。运行与集群的 IP 系列匹配的命令。1、创建 Amazon EKS 集群 IAM 角色。2)创建 Amazon EKS 集群 IAM 角色。2、创建 Amazon EKS 集群。通过运行以下命令以确认与集群的通信。
AWS IAM 的JWT认证
最新发布
08-26
AWS IAM(Identity and Access Management)是一种用于管理用户身份验证和访问权限的服务它并不直接支持JWT(JSON Web Token)认证,但可以与其他服务和机制结合使用以实现JWT认证。 一种常见的方法是使用AWS ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值