确保公有云安全:AWS IAM足够吗?

日期:2016-12-15作者:Stephen J. Bigelow翻译:蒋红冰来源:TechTarget中国 英文

【TechTarget中国原创】

我们的企业希望限制其生成身份和访问管理策略时所花费的时间。对于这项任务,有什么工具可以帮助自动化完成吗?

在公有云中记录资源使用率对于满足治理和法规遵从性至关重要。AWS日志可使管理员能够记录前搜索最终用户的行为,以及受到影响资源的详细信息。

AWS的各种工具都提供了安全日志记录功能,包括Amazon CloudFront、Amazon CloudWatch、AWS Config和Amazon S3日志请求到存储桶(storage buckets )。但大部分开发人员更喜欢使用AWS CloudTrail记录AWS身份和访问管理(IAM)活动。 虽然其他AWS IAM工具可以生成访问策略,但它们有限制。

AWS CloudTrail记录了所有的IAM和AWS Security Token 服务发出的API请求,其中包括来自基于Web身份提供商的一些未经身份验证的请求。这使请求可以映射给联合用户。 CloudTrail还会将API请求记录到其他本地服务——记录最终用户或AWS工具生成请的详细信息。管理员可以快速确定某个请求是使用IAM凭据、联合用户或角色的临时凭证,还是通过其他服务。此外,CloudTrail将登录事件,包括成功和失败的尝试,都记录到AWS管理控制台、AWS Marketplace和论坛中。

第三方工具可以帮助自动化、简化常见管理任务。例如,Chalice是一个开源的、基于Python的、无服务器的AWS微框架,它帮助企业创建和部署基于Amazon API Gateway和AWS Lambda的无服务器应用。微框架是高度可扩展的、易于管理员修改的,软件组件集合。Chalice有一个命令行界面,开发人员可以使用它在AWS中创建、查看、部署和管理应用程序。

Chalice还自动创建IAM策略,允许应用程序轻松访问AWS工具。 然而,Chalice需要高水平的云应用设计技能。实际上,开发人员可自动生成IAM策略,当使用chalice deploy命令进行包的部署时, 该命令行将部署包发送到无服务器的云环境中。这有助于确保适当的访问策略管理,同时最大限度地减少设置策略所需的时间和精力,并使开发人员可以专注于其他任务。

第三方IAM工具产生的麻烦

第三方工具,如Skeddly旨在为云自动化。这类工具还为AWS权限生成IAM策略文档,允许该工具与帐户中的AWS资源进行交互。

这些AWS IAM工具只是示例, 虽然他们帮助企业实现了复杂的云目标,但与本地服务相比它们仍然具有局限性。首先,第三方工具通常缺乏灵活性。 策略是动态的实体,那么创建、测试和维护它将是个挑战。与云提供商的本地IAM服务直接 协作,通常更方便、更可预测;与使用第三方AWS IAM工具自动创建策略相比,它们的测试所带来的意外后果较少。

此外,第三方IAM工具必须适应公有云服务的演进。例如,每次AWS更新IAM API时,第三方供应商也必须相应地更新其工具。因此,第三方工具可能会落后于IAM开发,给企业IT团队增加不确定性。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

评论
查看更多评论

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

作者>更多

Stephen J. Bigelow
Stephen J. Bigelow

数据中心和虚拟化网站的高级技术编辑,拥有20年的PC和技术写作经验。

公共云计算服务>更多

  • 谷歌云平台展望更高级别服务

    谷歌公司一方面降价一方面还增加了大量的新功能,以试图缩短其与AWS之间的距离,它展望公共云未来并宣称将推出更高级的服务。

  • AWS Organizations如何确保云帐户安全?

    在AWS re:Invent大会上,亚马逊推出了一个新工具,帮助管理员和安全管理员控制多个云帐户。该工具名为AWS Organizations,允许管理员创建一组AWS账户。

  • Azure计划保护客户IP免受专利巨头的蹂躏

    Microsoft是第一个拥有应用程序来专门保护其客户的知识产权(IP)免受非执行实体(更常称为专利巨头)提起的诉讼的一家云厂商。

  • 问问工作负载适合谷歌云实例吗?

    并不是所有的工作负载都是相同的——有些需要更多的CPU资源,而其他的一些则需要更多的内存资源。值得庆幸的是,谷歌云实例类型为企业用户提供了众多选项。

相关推荐

  • 公有云安全:多一重身份 多一份保障

    云是具有许多可独立工作的移动部件的分布式系统。包括存储和计算系统资源,以及更细粒度的服务,如API。

  • 用户与企业:AWS IAM使用的最佳时机是?

    安全漏洞可能出现在云中的任何地方,甚至在可信的资源和人员的连接中。AWS IAM服务使管理员能够对内部IT员工、及外部用户、服务和应用程序定义访问权限。

  • 公有云安全:哪个工具可以保证?

    尽管我们的企业使用了一系列的AWS工具,我们还是希望能进一步提升数据的安全措施。那么,在AWS中,有哪些可用的工具来确保数据和资源的安全性呢?

  • AWS云安全:别忘记这一步

    IT管理员将安全担忧引申为他们在迁移到云这件事上踌躇不前的原因,但是亚马逊的一系列安全选项为这些疑惑给出了答案。

技术手册>更多

  • OpenStack实战指导手册

    本技术手册我们将侧重介绍OpenStack的最新动态,以及如何用OpenStack构建云计算,同时我们在最后引入拉美最大在线电子交易网站MercadoLibre的实战,看他们如何用OpenStack开发云存储业务。

  • 也谈应用和云集成

    应用集成从1980年代中期就已经成为企业软件的痛点,也是那个时候我第一次开始做IT报道。同样的老问题让不同的软件共存,大部分是因为业主权益要比开放标准高。

  • 云计算标准及性能评估指南

    从应用运行的角度来讲,云计算的性能就是网络性能、应用性能以及云计算基础架构性能的总和。云供应商只能对最后一个因素负责,而不能对前两者负责。因此,用户在衡量供应商云服务质量时必须遵循一个合适的标准。本文介绍制定云计算服务标准必要性,为了满足这一标准而需要满足的配置,以及云计算服务等级(SLA)的制定和遵从问题。

  • SaaS开发指南——安全篇

    SaaS技术在不断走向成熟,信息安全问题一直是IT行业不得不面对的问题,SaaS技术也逃不出这个魔咒。本技术手册分析SaaS开发过程中遇到的安全问题,并提供一些解决措施。

TechTarget

最新资源
  • 安全
  • CIO
  • SOA
  • 虚拟化
  • 网络
  • 数据中心