本文章属于AWS安全最佳实践的第三篇。按照前两篇文章的进展,我们禁用了AWS root用户——移除了所有root密钥,为其分配MFA,随后销毁或者丢弃它们。这样一来,Root用户不再对AWS环境进行访问,以往的操作将通过新建立的IAM用户完成。这样做就能万无一失了么?简而言之,上述操作只完成了这个系列博文教材的前两步。因此,在本期中,我们将概述下一个问题:当你离家度假,并锁住了房间,那么有多少人可以继续进入你的房间,谁又拥有这个房间的钥匙? 本系列博文主要包括: 3. 通过Admin权限减少IAM用户的数量 4. 利用EC2的Roles功能 5. 最小化特权:通过strong/explicit策略限制IAM实体行为 6. 定期循环所有秘钥 7. 在任何可能的地方通过STS AssumeRole来设置IAM角色 8. 使用AutoScaling来抑制DDoS攻击 9. 除非你有怪癖,在任何EC2/ELB 安全组中都禁用0.0.0.0/0 10. 认真对待world-readable/listable S3 bucket策略 通过Admin权限减少IAM用户的数量 事实上,这就是博文上述问题,究竟有多少人进入了你的房间,因此我们可以通过很简单的描述回答。 当你离开家,你通常会对进入房间的钥匙进行规划,并将它们交给合适的人。这些钥匙的设置通常会基于多个原因,比如:首先,你的管家可能拥有所有房间的钥匙,除下橱柜里的暗格(或者保险箱),但毫无疑问的是,你会对管家的身份进行严格的审查;其次,你可能也会给一些近亲或者好友钥匙;最后,为了防止钥匙被遗忘进房间或者其他原因,你可能还会拥有一些备份钥匙。这些逻辑同样可以映射到AWS基础设施访问权限的设置上——基于种种原因指定用户权限。 着眼美国的邮政服务。在你离家时,他们同样希望可以正常投递。那么他们是否可以拥有你家的钥匙?通常情况下,他们应该可以访问你的邮箱,但是也只限于邮箱。取代允许当地邮政运营商将邮件放到厨房的某个角落,你会给其规划一个独立的访问空间,因为你做不到对他们的完全信任。在你度假的过程中,如果你的邮箱钥匙被破坏,那么你完全可以清楚你所面临的风险。但是一旦本地邮政运营商拥有你房间的钥匙,并将它丢失,那么你的旅程很显然会被缩短。 在分配AWS控制权上,这个方法同样需要考虑。在每个钥匙的设定上,你需要考虑的都应该是最小权限。比如:为了执行某个任务,这个用户或者应用程序究竟需要获得哪些权限?在密钥丢失或者被攻破的情况下,机构究竟会面临一个什么样的风险?在得失计算上是否会涉及到知识产权和金融相关?造成的结果是否会对收入及名誉产生影响?显然,把权限划分的越细,密钥丢失或被攻破所造成的损失越小。 这里有一些例子: 如果你的EC2应用程序需要存储数据到S3,那么是否需要考虑相同的应用程序也具备了发布更多像这样EC2实例的能力? 在AWS,你完全不需要考虑这一点,AWS IAM通过给EC2实例指配“Role”让其获得存储的能力,但也只限于存储,任何应用程序都无法获得非指定权限,更多详情可访问 Using EC2 Instance Roles一文。它的优点是,你不再需要整合键到应用程序或者实例;建立一个拥有特定权限的组,简单的把实例划进去就好了。在这个系列的“利用EC2的Roles功能”一节中,我们将详细介绍这个功能。 这里还存在一个类似的情况,你是否期望每个IAM用户都拥有删除S3 buckets的权限?在实际应用中,大部分情况下你可能都不期望如此,在多数情况下,IAM用户都被赋予AWS环境的完全访问权限,包括所有服务的建立和删除操作。然而,鉴于云计算的低存储成本,控制用户和应用程序的删除权限绝对是个值得推荐的最佳实践。在AWS中,你可以很便捷地给IAM用户限制删除信息的能力,Using IAM Policies to Control Bucket Access 一文可以帮助你进行设置。而在这个系列博文的“认真对待world-readable/listable S3 bucket策略”一节,我们将对这个设置进行详细讨论。 在AWS中,有很多途径来实现最小权限设置,而在传统的企业基础设施中,这个操作实现起来并不轻松。 虽然限制访问是一个不错的最佳实践,但是很多情况下有些处理同样需要我们提升权限。实际工作中,你可能需要一个用户来删除S3对象,你也可能在离开时赋予某个用户管理员权限。就像在度假中,你可能期望赋予某个人进入你家的权力,并期望在回家后就回这个权力。这是个临时的密钥,AWS允许你给任何用户赋予一些临时的权力,并在任何时候收回。Evident.io Security Platform可以代表你( ESP)通过 Security Token Service 来设置只读API调用。你可以通过AWS来控制认证信息期满,从而避免提供任何的静态密钥。 原文链接:https://blog.evident.io/blog/2015/2/26/top-10-aws-security-best-practices-3-reduce-number-of-iam-users-with-admin-rights AWS中文技术社区为广大开发者提供了一个Amazon Web Service技术交流平台,推送AWS最新资讯、技术视频、技术文档、精彩技术博文等相关精彩内容,更有AWS社区专家与您直接沟通交流!快加入AWS中文技术社区,更快更好的了解AWS云计算技术。 ( 翻译/薛童阳 责编/王鑫贺 )
订阅“AWS中文技术社区”微信公众号,实时掌握AWS技术及产品消息!
本网页所有文字内容由 imapbox邮箱云存储,邮箱网盘, iurlBox网页地址收藏管理器 下载并得到。
ImapBox 邮箱网盘 工具地址: https://www.imapbox.com/download/ImapBox.5.5.1_Build20141205_CHS_Bit32.exe
PC6下载站地址:PC6下载站分流下载
本网页所有视频内容由 imoviebox边看边下-网页视频下载, iurlBox网页地址收藏管理器 下载并得到。
ImovieBox 网页视频 工具地址: https://www.imapbox.com/download/ImovieBox4.7.0_Build20141115_CHS.exe
本文章由: imapbox邮箱云存储,邮箱网盘,ImageBox 图片批量下载器,网页图片批量下载专家,网页图片批量下载器,获取到文章图片,imoviebox网页视频批量下载器,下载视频内容,为您提供.
阅读和此文章类似的: 全球云计算
官方软件产品操作指南 (170)
