浅谈AWS安全服务之IAM
随着AWS(目前应该叫亚马逊云,哈哈)在中国区开始做生意以来,陆陆续续上线了很多云安全方面的服务,但大多数都是卖相不错,好不好用真是仁者见仁之智者见智了。
今天就瞎聊下AWS所有服务的基础-IAM,没有实际案例哈,都是瞎聊。
这个东西官方介绍,可以看下面:
https://docs.amazonaws.cn/IAM/latest/UserGuide/introduction.html
简而言之,IAM就干两个活,认证跟授权。
认证就是怎么证明你是你。
其实实现方法还是老三样:用户名、密码、动态令牌。
而且,离谱的是作为AWS的官方唯一认证方式,竟然没有任何的防暴力破解的原生解决方案。如图片验证、数字验证等简单而有效的方式。
所以从某一层面讲,AWS的登录界面是可以被暴力破解的,大家有兴趣可以尝试下,关于怎么爆破web登录的口令,网上搜下就行,运气够好的话,会有意想不到的效果,哈哈。
授权就是让你干该你干的活,防止内卷,也不让你躺平,保持一个云上良好的氛围。
总结一下就是,IAM可以干在AWS云中关于所有服务的所有认证跟授权的活,如果出现了关于IAM方面的报错,解决不了,第一反应千万不要想是服务的问题,90%是自己的问题,以我的心肝脾肺肾(俗称下水)担保。
如果大家由于工作或者学习需要,要使用或准备使用AWS的IAM服务。
对IAM认知超出天际的我(开玩笑,哈哈),瞎聊下自己的经验:
1、看中国区的英文文档(一定要是中国区,域名以.cn 结尾)
2、如果想了解IAM的原理,比如用什么框架开发啊等等,大家可以自行搜索RBAC跟ABAC,AWS的IAM就是根据这两个东西作为方法论弄出来的。
3、关于IAM基本的功能,以会用为标准,会操作就可以(控制台跟AWS CLI),一定要会使用AWS CLI来操作你想操作的东西。不要太深究其原理,没有啥用,都是黑盒子,而且结果也很无聊。
4、一定要仔细看IAM跟其他服务的联动这种周边的用法,比如IAM通过OIDC跟K8S的联动,IAM使用SAML跟ADFS的联动等,这些都是比较有意思的。
最后,再次说下,要想学习AWS,一定要看中国区英文文档,切记、切接、切记。
参考文档:
https://docs.amazonaws.cn/en_us/index.html