為了提高安全性并監(jiān)控用戶對(duì)公有云資源,如計(jì)算和API的訪問,管理員可以使用聯(lián)合身份和訪問管理。
云是具有許多可獨(dú)立工作的移動(dòng)部件的分布式系統(tǒng)。包括存儲(chǔ)和計(jì)算系統(tǒng)資源,以及更細(xì)粒度的服務(wù),如API。管理員需要跟蹤這些系統(tǒng)中的用戶活動(dòng),包括所有基于云的資源的使用率、應(yīng)用程序和數(shù)據(jù)庫。此外,他們需要能夠在基于云的系統(tǒng)和本地系統(tǒng)之間聯(lián)合安全信息。云計(jì)算中的聯(lián)合身份和訪問管理有助于實(shí)現(xiàn)這一點(diǎn)。
為了幫助你快速認(rèn)識(shí)云身份和訪問管理(IAM)最佳做法,下面將通過一個(gè)例子講解。第一步是在云提供商的平臺(tái)上創(chuàng)建帳戶。這是你的帳戶,其他用戶也會(huì)這樣做。但是,為了提供最佳集成,管理員還需要在其公司內(nèi)部網(wǎng)絡(luò)上驗(yàn)證公司的其他用戶。然后把本地用戶目錄與公有云提供商平臺(tái)中的用戶目錄之間的用用戶身份聯(lián)合。
云在IAM系統(tǒng)中的作用
設(shè)置用戶身份并在云和本地目錄之間聯(lián)合這些身份后,管理員需要管理這些身份,以定義單個(gè)用戶和用戶組可以執(zhí)行的操作。在IAM系統(tǒng)中,組是IAM用戶的集合。
使用組,管理員可以指定用戶集合的權(quán)限。這種結(jié)構(gòu)允許他們同時(shí)處理和管理整個(gè)組,而不是管理每個(gè)單獨(dú)的用戶。用戶可以屬于許多不同的組,例如會(huì)計(jì)或公司領(lǐng)導(dǎo),并且管理員可以向兩個(gè)或多個(gè)組授予權(quán)限。組不能嵌套在IAM系統(tǒng)中 ,也就是說管理員無法在組內(nèi)添加組。有時(shí)有限制,至少在Amazon Web Services(AWS)上,組限制為100個(gè),而每個(gè)用戶只能有10個(gè)組。
第一次 一定要正確計(jì)劃組。有些事情看起來似乎是好的,例如按地理位置對(duì)用戶進(jìn)行分組 ,但這可能需要管理員在將來更改分組,這意味著遷移、重新測(cè)試和大量的浪費(fèi)時(shí)間和金錢。所以前期一定要徹底規(guī)劃。
所有主要的云提供商,包括AWS、Microsoft和Google,在他們的云服務(wù)中都有某種IAM系統(tǒng)?;灸J胶吐?lián)合功能是相同的。但是,接口和管理員如何使用它們卻不相同。您需要了解每個(gè)提供者如何設(shè)置IAM系統(tǒng),包括組。
為IAM系統(tǒng)選擇目錄服務(wù)
使用可與您選擇的云提供商集成的內(nèi)部部署目錄服務(wù)很重要。為此,您需要查找使用的標(biāo)準(zhǔn),例如符合安全聲明標(biāo)記語言(SAML)的目錄。
以AWS為例,它允許聯(lián)合用戶訪問AWS云服務(wù)。這允許管理員授予用戶執(zhí)行AWS中所有任務(wù)的權(quán)限,當(dāng)他們已被授予在內(nèi)部執(zhí)行的權(quán)限。Microsoft還集成了符合SAML的目錄,包括其自己的Active Directory,另外Google也支持SAML。
記住,一直使用你已經(jīng)使用的IAM方法來測(cè)試內(nèi)部和基于云的系統(tǒng)。確保用戶和組都已得到合適的管理,并明確已授予或未授予IAM系統(tǒng)中配置的訪問權(quán)限。