服務安全-IAM：百科

ylbtech-服務安全-IAM：百科

IAM（身份識別與訪問管理（簡稱大4A））

IAM（Identity and Access Management 的縮寫），即「身份識別與訪問管理」，具備單點登陸、強大的認證管理、基於策略的集中式受權和審計、動態受權、企業可管理性等功能。

1.返回頂部

一、

中文名：身份識別與訪問管理

外文名：IAM（Identity and Access Management)

功    能：企業可管理性等功能

做    用：業務流程和管理手段

目錄

1. 1 IAM的定義
2. 2 IAM 功能
3. ▪ 對您 AWS 帳戶的共享訪問權限
4. ▪ 精細權限
5. ▪ 對 AWS 資源的安全訪問權限

1. ▪ 多重驗證 (MFA)
2. ▪ 聯合身份
3. ▪ 實現保證的身份信息
4. ▪ PCI DSS 合規性
5. ▪ 已與不少 AWS 服務集成
6. ▪ 最終一致性

1. ▪ 無償使用
2. 3 關鍵功能
3. 4 與4A的關係

二、

2.返回頂部

一、

IAM的定義

AWS Identity and Access Management (IAM) 是一種 Web 服務，能夠幫助您安全地控制對 AWS 資源的訪問。您可使用 IAM 控制 對哪一個用戶進行身份驗證 (登陸) 和受權 (具備權限) 以使用資源。

當您首次建立 AWS 帳戶時，最初使用的是一個對帳戶中全部 AWS 服務和資源有徹底訪問權限的單點登陸身份。此身份稱爲 AWS 帳戶 根用戶，可以使用您建立帳戶時所用的 電子郵件地址和密碼登陸來得到此身份。強烈建議您不使用 根用戶 執行平常任務，即便是 管理任務。請遵照僅將 根用戶 用於建立首個 IAM 用戶的最佳實踐。而後請妥善保存 根用戶 憑證，僅用它們執行少數帳戶和服務管理任務。

IAM 是一套全面的創建和維護數字身份，並提供有效地、安全地IT資源訪問的業務流程和管理手段， 從而實現組織信息資產統一的身份認證、受權和身份數據集中管理與審計。

身份和訪問管理是一套業務處理流程，也是一個用於建立和維護和使用數字身份的支持基礎結構。

通俗地講：IAM 是讓合適的天然人在恰當的時間經過統一的方式訪問受權的信息資產， 提供集中式的數字身份管理、認證、受權、審計的模式和平臺。

 

IAM 功能

IAM 爲您提供如下功能：

 

對您 AWS 帳戶的共享訪問權限

您能夠向其餘人員授予管理和使用您 AWS 帳戶中的資源的權限，而沒必要共享您的密碼或訪問密鑰。

 

精細權限

您能夠針對不一樣資源向不一樣人員授予不一樣權限。例如，您能夠容許某些用戶徹底訪問 Amazon Elastic Compute Cloud (Amazon EC2)、Amazon Simple Storage Service (Amazon S3)、Amazon DynamoDB、Amazon Redshift 和其餘 AWS 服務。對於另外一些用戶，您能夠容許 僅針對某些 S3 存儲桶的只讀訪問權限，或是僅管理某些 EC2 實例的權限，或是訪問您的帳單信息但沒法訪問任何其餘內容的權限 。

 

對 AWS 資源的安全訪問權限

您可使用 IAM 功能安全地爲 EC2 實例上運行的應用程序提供憑證。這些憑證爲您的應用程序提供權限以訪問其餘 AWS 資源。示例包括 S3 存儲桶和 DynamoDB 表。

 

多重驗證 (MFA)

您能夠向您的帳戶和各個用戶添加雙重身份驗證以實現更高安全性。藉助 MFA，您或您的用戶不只必須提供使用帳戶所需的密碼或訪問密鑰，還必須提供來自通過特殊配置的設備的代碼。

 

聯合身份

您能夠容許已在其餘位置（例如，在您的企業網絡中或經過 Internet 身份提供商）得到密碼的用戶獲取對您 AWS 帳戶的臨時訪問權限。

 

實現保證的身份信息

若是您 使用AWS CloudTrail，則會收到 日誌記錄，其中包括有關對您帳戶中的資源進行請求的人員的信息。這些信息基於 IAM 身份。

 

PCI DSS 合規性

IAM 支持由商家或服務提供 商處理、存儲和傳輸信用卡數據，並且已經驗證符合 支付卡行業 (PCI) 數據安全標準 (DSS)。有關 PCI DSS 的更多信息，包括如何請求 AWS PCI Compliance Package 的副本，請參閱PCI DSS 第 1 級。

 

已與不少 AWS 服務集成

有關使用 IAM 的 AWS 服務的列表，請參閱使用 IAM 的 AWS 服務。

 

最終一致性

與許多其餘 AWS 服務同樣，IAM 具備最終一致性。IAM 經過在 Amazon 的 全球數據中心中的多個服務器之間複製數據來實現高可用性。若是成功請求更改某些數據，則更改會提交併安全存儲。 不過，更改必須跨 IAM 複製，這須要時間。此類更改包括建立或更新用戶、組、角色或策略。在應用程序的關鍵、高可用性代碼路徑中，咱們不建議進行此類 IAM 更改。而應在不常運行的、單獨的初始化或設置例程中進行 IAM 更改。另外，在生產工做流程依賴這些更改以前，請務必驗證更改已傳播。有關更多信息，請參閱我所作的更改並不是始終當即可見。

 

無償使用

AWS Identity and Access Management (IAM) 和 AWS Security Token Service (AWS STS) 是爲您的 AWS 帳戶提供的功能，不另行收費。 僅當您使用 IAM 用戶或 AWS STS 臨時安全憑證訪問其餘 AWS 服務時，纔會向您收取費用。有關其餘 AWS 產品的訂價信息，請參閱Amazon Web Services 訂價頁面。

 

關鍵功能

單點登陸 (SSO)

經過對跨多種不一樣 Web 應用程序、門戶和安全域的無縫訪問容許 單點登陸，還支持對 企業應用程序（例如， SAP、 Siebel、 PeopleSoft 以及 Oracle 應用程序）的無縫訪問。

 

強大的認證管理

提供了統一的認證策略，確保 Internet 和局域網應用程序中的安全級別都正確。這確保高安全級別的應用程序可受到更強的認證方法保護，而低安全級別應用程序能夠只用較簡單的用戶名/密碼方法保護。爲許多認證系統（包括 密碼、令牌、X.509 證書、智能卡、定製表單和生物識別）及多種認證方法組合提供了訪問管理支持。

 

基於策略的集中式受權和審計

將一個企業Web  應用程序中的 客戶、 合做夥伴和員工的訪問管理都集起來。所以，不須要冗餘、特定於應用程序的安全邏輯。能夠按 用戶屬性、角色、組和動態組對訪問權進行限制，並按位置和時間肯定訪問權。 受權能夠在 文件、頁面或對象級別上進行。此外，受控制的「模擬」（在此情形中，諸如 客戶服務表明的某個受權用戶，能夠訪問其餘用戶能夠訪問的資源）也由策略定義。

 

動態受權

從不一樣本地或外部源（包括Web服務和數據庫）實時觸發評估數據的安全策略，從而肯定進行訪問受權或拒絕訪問。經過環境相關的評估，可得到更加細化的受權。例如，限制知足特定條件（最小賬戶餘額）的 客戶對特定 應用程序（特定銀行服務）的訪問權。受權策略還能夠與 外部系統（例如，基於 風險的 安全系統）結合應用。

 

企業可管理性

提供了企業級系統 管理工具，使安全人員能夠更有效地 監控、管理和維護多種環境（包括管理 開發、測試和生產環境）。

 

與4A的關係

IAM原爲 北京普安思科技有限公司（PAS）的一款統一帳號管理與訪問控制系統，後經中國移動交流，在原有3A（認證、 受權、審計）安全模型上加入了帳號管理，造成了4A解決方案。目前國內少數幾家有實力實施4A解決方案（IAM）的廠家爲 神州泰嶽、亞信、普安思科技、 億陽信通 。

二、

3.返回頂部

 

4.返回頂部

 

5.返回頂部

一、

https://baike.baidu.com/item/IAM/10915

二、

 

6.返回頂部

 

做者：ylbtech 出處：http://ylbtech.cnblogs.com/ 本文版權歸做者和博客園共有，歡迎轉載，但未經做者贊成必須保留此段聲明，且在文章頁面明顯位置給出原文鏈接，不然保留追究法律責任的權利。