云安全Security
网络安全,系统安全,身份认证,权限管控,鉴权等...
栗子哥BroLiz
五年云计算和十余年的开发、运维和架构、项目管理经验。现就职于AWS亚马逊云计算,担任解决方案架构师,曾就职于微软中国,负责企业技术咨询与方案设计,在东芝中国负责系统开发与运维工作。
展开
-
Azure AD 与 AWS IAM 集成实现SSO—下(AWS部分)
再回顾一下架构,我们都要做什么,别乱:看来在AWS上做的工作要多一些。登录AWS控制台:进入到IAM这个服务:在配置提供程序中,选择SAML,提供商名称自定义,比如WAAD,将刚才下载的元数据文档XML,导入到进去。创建成功后如下图所示:然后我们创建策略,目的是通过AAD中的用户(我们以John为例),他可以在AWS上执行什么操作,给他什么权限:为了测试,我们只赋予它ListRoles的权限,如下图:也就是这个用户通过SSO登录到AWS上,只能查看AWS role的权限,其他的什么原创 2020-08-12 01:50:32 · 1489 阅读 · 0 评论 -
Azure AD 与 AWS IAM 集成实现SSO—上(Azure部分)
整体的架构和流程是下面这个样子:Azure部分:登录Azure的portal通过Azure Active Directory创建一个测试用户:返回Azure Active Directory 创建新的应用程序 Amazon Web Service搜索 Amazon Web Service并确认添加完成后,选择单一登录,并选择设置单一登录:在设置单一登录的操作如下:下载联合元数据XML,并保存好,在AWS的IAM配置中会用到:https://login.microsoftonl原创 2020-08-12 01:35:38 · 737 阅读 · 0 评论 -
AWS DevOps 通过Config自动审计Security Group配置——下篇
再讲一下背景, 这个实验的一个场景是,运维同事设计安全组Security Group的时候,打开了除了HTTP和HTTPS的入口访问权限。其他协议或端口如果打开,除了审计不通过的同时,会自动触发一个函数将它修改成我们定义好的权限。(如果你了解一些Lambda就会非常清楚这个逻辑了)逻辑是:修改,添加或已有的Security —— 触发Config的审计—— 触发Lambda来修改正确的规则(这个实验是自定义rule,AWS Config提供了90几个rule可以满足大部分场景的需求)AWS DevO原创 2020-08-12 01:12:57 · 209 阅读 · 0 评论 -
AWS DevOps 通过Config自动审计Security Group配置——上篇
这个实验的一个场景是,运维同事设计安全组Security Group的时候,打开了除了HTTP和HTTPS的入口访问权限。其他协议或端口如果打开,除了审计不通过的同时,会自动触发一个函数将它修改成我们定义好的权限。(如果你了解一些Lambda就会非常清楚这个逻辑了)逻辑是:修改,添加或已有的Security —— 触发Config的审计—— 触发Lambda来修改正确的规则(这个实验是自定义rule,AWS Config提供了90几个rule可以满足大部分场景的需求)先决条件:了解AWS Lamb原创 2020-08-12 01:11:12 · 515 阅读 · 0 评论 -
[AWS][安全] 通过 AWS Config 服务检查配置是否合规
AWS Config 可以提供关于您的 AWS 账户中的 AWS 资源配置的详细信息,您可以查看准备 修改的资源如何与其他资源相关联,并评估更改所产生的影响。同时利用 AWS Config 的 预定义规则,您也可以监控资源是否合规,比如是否开启了 AWS CloudTrail,RDS 是否开启了备份,IAM 用户的密码策略是否符合要求等。本次示例中,我们将用 AWS Config 来 检查 AWS 账号内是否都开启了 S3 存储桶日志记录。在 AWS Console 界面,点击左上角”服务”----“Co原创 2020-06-19 11:39:08 · 488 阅读 · 0 评论 -
[AWS][安全] 监控登录 Console 失败
AWS CloudTrail 是一项支持对您的 AWS 账户进行监管、合规性检查、操作审核和风险审核 的服务,您可以通过创建 CloudTrail 追踪,将日志保存到 S3 存储桶和 CloudWatch Logs 中,结合 CloudWatch Logs 的过滤条件创建警报,可以实现针对于 AWS 平台某些特定操作 的警报: 比如当监控到账号内有人启动 4xlarge 或者 8xlarge 类型的实例的时候就触发警 告,或者当有人修改了安全组规则的时候出发警告等。本次示例中,我们以在 5 分钟之内 登录原创 2020-06-19 11:37:20 · 632 阅读 · 0 评论 -
[AWS][安全] S3存储桶策略-Bucket Policy
在上一个实验”IAM 策略”中,我们了解到可以对 IAM 用户赋予一些策略,使这些用户只能 对特定的资源赋予特定的权限,以及在策略中,我们也可以通过变量的方式动态控制每一 个 IAM 用户的策略。但在某些场景下,我们需要对某些资源赋予权限,比如有一个 S3 存 储桶,我们想要把这个存储桶/存储桶中的对象 共享给某一个 AWS 账号,或者某一个 AWS 账号下的 IAM 用户,在这种情况下,我们需要创建基于资源的策略。S3 存储桶策略和 IAM 用户策略看起来很相似,都是通过 JSON 来进行定义。不同的是原创 2020-06-19 11:34:36 · 5005 阅读 · 1 评论 -
[AWS][安全][S3] IAM 角色授权 EC2 访问 S3
实验说明:在先前的中,我们讲到使用 AWS CLI 对 S3 中的对象进行操作,在配置 AWS CLI 的 时候,我们创建了 IAM Access Key 和 Secret Key,这种 Key 属于 Long Term Key,也就意味 着如果您不 rotate Key,那么 key 将长期有效,如果 Key 不慎丢失,就需要在 AWS IAM 界 面删除这个 key 或者停用 key。当我们将服务部署在 AWS EC2 的时候,还有另外一个可选 方案,即使用 EC2 Role(角色)的方式,使 EC2原创 2020-06-19 11:32:35 · 2486 阅读 · 0 评论 -
[AWS][安全] IAM策略最小颗粒度管理-Lab1
实验说明:Task1:创建 IAM 用户使其访问特定存储桶Task2:通过变量方式,动态 IAM 用户访问特定存储桶下的特定文件夹(prefix).场景:1.某个用户只能上传下载,不能更新存储桶中的文件。2.希望 A 用户访问存储桶下的 A 文件夹,B 用户访问到 B 文件夹, 以此类推,如果单独给每一个用户创建策略就会比较麻烦。好消息是 IAM 策略支持变量 的方式,我们可以通过${aws:username} 变量来使用户只能访问到和用户名完全一致的存 储桶。Task1: 创建 IAM 用户使原创 2020-06-17 16:03:21 · 1655 阅读 · 0 评论