网站如何做图片特效,网站风格规划,淮安做网站的有多少,郑州做网站优化运营商aws iam 架构图在开发新产品并发现合适的产品市场时#xff0c;每个团队都需要快速行动。 尤其是初创公司#xff0c;因为公司的整个未来都取决于快速找到为您的产品付款的人。 对于初创企业和其他团队来说#xff0c; Amazon Web Services是令人难以置信的工具#xff0c… aws iam 架构图 在开发新产品并发现合适的产品市场时每个团队都需要快速行动。 尤其是初创公司因为公司的整个未来都取决于快速找到为您的产品付款的人。 对于初创企业和其他团队来说 Amazon Web Services是令人难以置信的工具可以快速构建其应用程序和基础架构。 这些团队通常具有比适当的系统操作更强大的开发背景。 AWS提供了出色的工具来处理密钥身份验证和安全性但是由于经常出现更紧迫的问题许多团队并未对此进行研究。 我们想介绍一些概念和功能这些功能将帮助您以最小的努力提高基础架构的安全性。 身份和访问管理IAMAWS安全的核心 IAM身份和访问管理是AWS安全系统的核心。 它使您可以管理基础架构中的用户组和不同角色。 您可以创建具有不同权限的不同功能组并将人员添加到这些组中。 这样一旦人们移入其他组并且不再需要访问系统的每个部分就可以轻松更改权限。 您可以将多个策略附加到用户组或角色以涵盖对不同AWS服务或不同资源的访问。 IAM文档易于阅读并且浏览一遍绝对很有趣。 它以HTMLPDF或Kindle的形式提供因此您甚至可以在上下班途中阅读。 不要使用提供给您的AWS账户的默认密钥 您可以对AWS采取的第一个也是最重要的措施是不使用提供给您的AWS账户的默认密钥。 该密钥具有对每个系统的完全访问权限。 这是一个主要的安全问题因为泄露此密钥将意味着您使其他人可以访问基础结构的每个部分。 此外随着时间的流逝很难确定在基础架构中使用密钥的位置因此一旦要更改密钥就必须在没有任何指针的情况下搜索所有基础架构。 为应用程序的不同用途创建用户或组可以使该部分进行自我记录因此每当要更改密钥时您都知道基础结构的哪一部分。 为每个人创建一个用户帐户 第一步不建议登录到主要AWS账户。 团队中需要访问AWS的每个人都应该使用不同的凭据获得自己的帐户。 通过将这些用户添加到特定的组您可以轻松添加或删除权限而不会丢失谁可以执行的操作。 不要对特定用户设置权限而是为该权限创建一个组因为它是自我记录可以为每个人更改。 在下图中我们为管理员财务和API访问创建了不同的组。 我们财务组中的用户只能访问我们的帐单。 即使万一他们的帐户被盗也无法访问任何基础架构。 保护用户帐户的第二个重要步骤是对所有用户帐户启用两因素身份验证。 登录到系统并有权访问重要资源的每个人都需要启用两个因素。 作为管理员您可以检查IAM的用户详细信息页面中是否启用了两个因素。 您可以立即为团队中的每个新员工启用此功能。 例如以下用户未启用两个因素。 通过添加它并按照向导进行操作可以大大提高安全性。 对具有指定功能的角色使用多个键 如前所述您永远不要使用您的AWS账户的主密钥访问API。 这并不意味着只创建一个管理员用户并在任何地方使用此密钥。 用户组和角色应仅具有完成一项特定任务所需的特定权限。 不要混在一起。 也许您将来希望将任务放置到另一台服务器上。 如果您组合了权限则必须将其分成不同的组或角色。 您确实应该将这些与开始隔离开来。 不要在EC2实例中使用密钥 IAM的一个鲜为人知的功能是角色以及如何将其连接到基础结构的不同部分。 例如如果您拥有应能够读取数据或将数据上传到S3的应用服务器。 过去您可能已将AWS机密和访问密钥添加到计算机中因此它可以使用它们来访问S3。 相反您可以创建一个角色该角色包括上载到特定S3存储桶的权限并将EC2实例设置为使用此角色。 如果您将AWS开发工具包的不同语言使用它们将自动生成具有与角色中定义的相同权限的临时密钥。 在IAM中创建角色 首先您需要在IAM for EC2中创建一个新角色。 您可以为Opsworks等不同的服务创建角色这些角色可以为您调用AWS API。 然后创建一个策略让您访问特定的S3存储桶 将以下策略导入向导 {Version: 2012-10-17,Statement: [{Sid: Stmt1385708770000,Effect: Allow,Action: [s3:Get*,s3:List*,s3:DeleteObject,s3:PutObject,s3:PutObjectAcl,s3:PutObjectVersionAcl],Resource: [arn:aws:s3:::testbucket/*,arn:aws:s3:::testbucket]}]
} 这将只允许对testbucket进行读写访问而不能访问其他S3存储桶。 您可以在IAM文档中阅读有关政策的更多信息。 您可以将策略限制为具有ARNAmazon资源名称的特定实例存储桶或其他基础结构项目就像我们在上述示例中对testbucket所做的那样。 AWS拥有有关ARN的大量文档 现在我们要将角色连接到EC2实例。 每当您启动一个新实例时都将该实例的IAM角色设置为我们刚刚创建的角色。 在这里我们将角色设置为checkbot 现在无论何时调用AWS API您都不必提供任何密钥因为它们将自动为您创建具有正确权限的密钥。 从现在开始实例内部不再需要任何键这使整个设置更加简洁且易于使用。 启用Cloudtrail Cloudtrail是一项新服务于去年11月在AWSreInvent上发布。 它将自动将对AWS API的每次调用记录到S3存储桶中。 这可以帮助将来进行审核。 只需单击几下即可完成不到30秒的设置几乎不需要花什么钱您只需为S3存储桶付费而无需为Cloudtrail付费并可以在将来为您省钱。 去做就对了 结论 AWS是一个非常庞大和复杂的系统但提供了轻松的第一步来实现您的产品和安全性。 您可以遵循一些步骤和实践来大量提高安全性而无需付出太多努力。 当然从长远来看您需要投资于安全性并且从阅读IAM文档开始是一个好的开始。 作为初创公司我们希望快速发展制造产品并交付给我们的客户。 所有这些对于启动公司来说都是必要且重要的。 通过一些简单的修补程序您可以尽早提高安全性从而不会由于可预防的原因而泄漏客户数据。 船长而繁荣 更多信息 我希望在开始之前知道的AWS技巧 AWS上的旋转凭证文档 Trevor Rowe的凭证管理博客文章 AWS的权限和策略文档 Amazon资源名称文档 参考来自Codeship Blog博客的JCG合作伙伴 Florian Motlik 使用IAM保护您的AWS基础设施 。 翻译自: https://www.javacodegeeks.com/2014/03/securing-your-aws-infrastructure-with-iam.htmlaws iam 架构图
