确保公有云安全:AWS IAM足够吗?

安全 云安全
AWS CloudTrail记录了所有的IAM和AWS Security Token 服务发出的API请求,其中包括来自基于Web身份提供商的一些未经身份验证的请求。

 [[179069]]

我们的企业希望限制其生成身份和访问管理策略时所花费的时间。对于这项任务,有什么工具可以帮助自动化完成吗?

在公有云中记录资源使用率对于满足治理和法规遵从性至关重要。AWS日志可使管理员能够记录前搜索最终用户的行为,以及受到影响资源的详细信息。

AWS的各种工具都提供了安全日志记录功能,包括Amazon CloudFront、Amazon CloudWatch、AWS Config和Amazon S3日志请求到存储桶(storage buckets )。但大部分开发人员更喜欢使用AWS CloudTrail记录AWS身份和访问管理(IAM)活动。 虽然其他AWS IAM工具可以生成访问策略,但它们有限制。

AWS CloudTrail记录了所有的IAM和AWS Security Token 服务发出的API请求,其中包括来自基于Web身份提供商的一些未经身份验证的请求。这使请求可以映射给联合用户。 CloudTrail还会将API请求记录到其他本地服务——记录最终用户或AWS工具生成请的详细信息。管理员可以快速确定某个请求是使用IAM凭据、联合用户或角色的临时凭证,还是通过其他服务。此外,CloudTrail将登录事件,包括成功和失败的尝试,都记录到AWS管理控制台、AWS Marketplace和论坛中。

第三方工具可以帮助自动化、简化常见管理任务。例如,Chalice是一个开源的、基于Python的、无服务器的AWS微框架,它帮助企业创建和部署基于Amazon API Gateway和AWS Lambda的无服务器应用。微框架是高度可扩展的、易于管理员修改的,软件组件集合。Chalice有一个命令行界面,开发人员可以使用它在AWS中创建、查看、部署和管理应用程序。

Chalice还自动创建IAM策略,允许应用程序轻松访问AWS工具。 然而,Chalice需要高水平的云应用设计技能。实际上,开发人员可自动生成IAM策略,当使用chalice deploy命令进行包的部署时, 该命令行将部署包发送到无服务器的云环境中。这有助于确保适当的访问策略管理,同时***限度地减少设置策略所需的时间和精力,并使开发人员可以专注于其他任务。

第三方IAM工具产生的麻烦

第三方工具,如Skeddly旨在为云自动化。这类工具还为AWS权限生成IAM策略文档,允许该工具与帐户中的AWS资源进行交互。

这些AWS IAM工具只是示例, 虽然他们帮助企业实现了复杂的云目标,但与本地服务相比它们仍然具有局限性。首先,第三方工具通常缺乏灵活性。 策略是动态的实体,那么创建、测试和维护它将是个挑战。与云提供商的本地IAM服务直接 协作,通常更方便、更可预测;与使用第三方AWS IAM工具自动创建策略相比,它们的测试所带来的意外后果较少。

此外,第三方IAM工具必须适应公有云服务的演进。例如,每次AWS更新IAM API时,第三方供应商也必须相应地更新其工具。因此,第三方工具可能会落后于IAM开发,给企业IT团队增加不确定性。

责任编辑:武晓燕 来源: TechTarget中国
相关推荐

2012-10-31 10:31:23

云安全公有云云计算

2014-08-04 13:31:51

公共密钥公共密钥基础设施

2020-11-25 10:26:24

云计算云安全数据

2020-01-21 19:03:44

公共云安全IT

2020-10-23 10:11:06

云安全

2014-11-03 09:31:55

2013-12-26 09:11:39

2016-08-09 09:48:24

2016-08-16 09:02:31

2016-03-19 12:13:36

2020-03-23 10:09:27

云安全云计算

2018-05-17 22:47:20

AWS服务资源

2017-08-23 10:28:01

AWS云安全服务

2015-03-20 17:29:04

密钥管理AWS云安全

2011-09-25 10:46:18

云计算安全

2022-11-13 15:40:30

云计算安全IT

2010-08-25 11:14:05

云安全数据安全网络安全

2024-03-04 13:36:53

云计算云安全

2017-02-09 10:39:55

2013-04-17 10:10:21

CIO云安全公有云
点赞
收藏

51CTO技术栈公众号