我們的企業(yè)希望限制其生成身份和訪問管理策略時所花費的時間。對于這項任務,有什么工具可以幫助自動化完成嗎?
在公有云中記錄資源使用率對于滿足治理和法規(guī)遵從性至關(guān)重要。AWS日志可使管理員能夠記錄前搜索最終用戶的行為,以及受到影響資源的詳細信息。
AWS的各種工具都提供了安全日志記錄功能,包括Amazon CloudFront、Amazon CloudWatch、AWS Config和Amazon S3日志請求到存儲桶(storage buckets )。但大部分開發(fā)人員更喜歡使用AWS CloudTrail記錄AWS身份和訪問管理(IAM)活動。 雖然其他AWS IAM工具可以生成訪問策略,但它們有限制。
AWS CloudTrail記錄了所有的IAM和AWS Security Token 服務發(fā)出的API請求,其中包括來自基于Web身份提供商的一些未經(jīng)身份驗證的請求。這使請求可以映射給聯(lián)合用戶。 CloudTrail還會將API請求記錄到其他本地服務——記錄最終用戶或AWS工具生成請的詳細信息。管理員可以快速確定某個請求是使用IAM憑據(jù)、聯(lián)合用戶或角色的臨時憑證,還是通過其他服務。此外,CloudTrail將登錄事件,包括成功和失敗的嘗試,都記錄到AWS管理控制臺、AWS Marketplace和論壇中。
第三方工具可以幫助自動化、簡化常見管理任務。例如,Chalice是一個開源的、基于Python的、無服務器的AWS微框架,它幫助企業(yè)創(chuàng)建和部署基于Amazon API Gateway和AWS Lambda的無服務器應用。微框架是高度可擴展的、易于管理員修改的,軟件組件集合。Chalice有一個命令行界面,開發(fā)人員可以使用它在AWS中創(chuàng)建、查看、部署和管理應用程序。
Chalice還自動創(chuàng)建IAM策略,允許應用程序輕松訪問AWS工具。 然而,Chalice需要高水平的云應用設(shè)計技能。實際上,開發(fā)人員可自動生成IAM策略,當使用chalice deploy命令進行包的部署時, 該命令行將部署包發(fā)送到無服務器的云環(huán)境中。這有助于確保適當?shù)脑L問策略管理,同時最大限度地減少設(shè)置策略所需的時間和精力,并使開發(fā)人員可以專注于其他任務。
第三方IAM工具產(chǎn)生的麻煩
第三方工具,如Skeddly旨在為云自動化。這類工具還為AWS權(quán)限生成IAM策略文檔,允許該工具與帳戶中的AWS資源進行交互。
這些AWS IAM工具只是示例, 雖然他們幫助企業(yè)實現(xiàn)了復雜的云目標,但與本地服務相比它們?nèi)匀痪哂芯窒扌?。首先,第三方工具通常缺乏靈活性。 策略是動態(tài)的實體,那么創(chuàng)建、測試和維護它將是個挑戰(zhàn)。與云提供商的本地IAM服務直接 協(xié)作,通常更方便、更可預測;與使用第三方AWS IAM工具自動創(chuàng)建策略相比,它們的測試所帶來的意外后果較少。
此外,第三方IAM工具必須適應公有云服務的演進。例如,每次AWS更新IAM API時,第三方供應商也必須相應地更新其工具。因此,第三方工具可能會落后于IAM開發(fā),給企業(yè)IT團隊增加不確定性。