确保公有云安全:AWS IAM足够吗?

日期:2016-12-15作者:Stephen J. Bigelow翻译:蒋红冰来源:TechTarget中国 英文

【TechTarget中国原创】

我们的企业希望限制其生成身份和访问管理策略时所花费的时间。对于这项任务,有什么工具可以帮助自动化完成吗?

在公有云中记录资源使用率对于满足治理和法规遵从性至关重要。AWS日志可使管理员能够记录前搜索最终用户的行为,以及受到影响资源的详细信息。

AWS的各种工具都提供了安全日志记录功能,包括Amazon CloudFront、Amazon CloudWatch、AWS Config和Amazon S3日志请求到存储桶(storage buckets )。但大部分开发人员更喜欢使用AWS CloudTrail记录AWS身份和访问管理(IAM)活动。 虽然其他AWS IAM工具可以生成访问策略,但它们有限制。

AWS CloudTrail记录了所有的IAM和AWS Security Token 服务发出的API请求,其中包括来自基于Web身份提供商的一些未经身份验证的请求。这使请求可以映射给联合用户。 CloudTrail还会将API请求记录到其他本地服务——记录最终用户或AWS工具生成请的详细信息。管理员可以快速确定某个请求是使用IAM凭据、联合用户或角色的临时凭证,还是通过其他服务。此外,CloudTrail将登录事件,包括成功和失败的尝试,都记录到AWS管理控制台、AWS Marketplace和论坛中。

第三方工具可以帮助自动化、简化常见管理任务。例如,Chalice是一个开源的、基于Python的、无服务器的AWS微框架,它帮助企业创建和部署基于Amazon API Gateway和AWS Lambda的无服务器应用。微框架是高度可扩展的、易于管理员修改的,软件组件集合。Chalice有一个命令行界面,开发人员可以使用它在AWS中创建、查看、部署和管理应用程序。

Chalice还自动创建IAM策略,允许应用程序轻松访问AWS工具。 然而,Chalice需要高水平的云应用设计技能。实际上,开发人员可自动生成IAM策略,当使用chalice deploy命令进行包的部署时, 该命令行将部署包发送到无服务器的云环境中。这有助于确保适当的访问策略管理,同时最大限度地减少设置策略所需的时间和精力,并使开发人员可以专注于其他任务。

第三方IAM工具产生的麻烦

第三方工具,如Skeddly旨在为云自动化。这类工具还为AWS权限生成IAM策略文档,允许该工具与帐户中的AWS资源进行交互。

这些AWS IAM工具只是示例, 虽然他们帮助企业实现了复杂的云目标,但与本地服务相比它们仍然具有局限性。首先,第三方工具通常缺乏灵活性。 策略是动态的实体,那么创建、测试和维护它将是个挑战。与云提供商的本地IAM服务直接 协作,通常更方便、更可预测;与使用第三方AWS IAM工具自动创建策略相比,它们的测试所带来的意外后果较少。

此外,第三方IAM工具必须适应公有云服务的演进。例如,每次AWS更新IAM API时,第三方供应商也必须相应地更新其工具。因此,第三方工具可能会落后于IAM开发,给企业IT团队增加不确定性。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

评论
查看更多评论

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

作者>更多

Stephen J. Bigelow
Stephen J. Bigelow

数据中心和虚拟化网站的高级技术编辑,拥有20年的PC和技术写作经验。

公共云计算服务>更多

  • 问问工作负载适合谷歌云实例吗?

    并不是所有的工作负载都是相同的——有些需要更多的CPU资源,而其他的一些则需要更多的内存资源。值得庆幸的是,谷歌云实例类型为企业用户提供了众多选项。

  • 大型云提供商:你已被SMB拒之门外

    企业市场已经越来越集中于少数超大型云提供商手中,提供广泛的服务和引人注目的价格结构。然而,这些巨头们可能无法给一些企业,尤其是小型到中型企业,提供快速的支持和扶持。

  • 初探云供应商责任共担模式,你认为靠谱吗?

    随着云计算应用的不断增长,对于数据保护和网络安全的责任共担模式概念也逐渐地深入人心。虽然责任共担模式并不是一个新的概念,但是安全责任共担本质已随着云而发生了变化。

  • 云数据中心:云供应商之间的一场军备竞赛

    云主流供应商们在2016年花费了数十亿美元用于扩张他们的云数据中心,以求提升他们的全球影响力、解决接近度和数据驻留问题。

相关推荐

  • 公有云安全:多一重身份 多一份保障

    云是具有许多可独立工作的移动部件的分布式系统。包括存储和计算系统资源,以及更细粒度的服务,如API。

  • 用户与企业:AWS IAM使用的最佳时机是?

    安全漏洞可能出现在云中的任何地方,甚至在可信的资源和人员的连接中。AWS IAM服务使管理员能够对内部IT员工、及外部用户、服务和应用程序定义访问权限。

  • 公有云安全:哪个工具可以保证?

    尽管我们的企业使用了一系列的AWS工具,我们还是希望能进一步提升数据的安全措施。那么,在AWS中,有哪些可用的工具来确保数据和资源的安全性呢?

  • AWS云安全:别忘记这一步

    IT管理员将安全担忧引申为他们在迁移到云这件事上踌躇不前的原因,但是亚马逊的一系列安全选项为这些疑惑给出了答案。

技术手册>更多

  • 主流云计算服务模式安全攻略

    毫无疑问,云计算具备了众多的好处。从规模经济到应用可用性,云计算绝对能够为您的应用环境带来一些积极的因素。如今,在广大云计算供应商和支持者的推崇下,众多企业用户已开始跃跃欲试。但是,对于公共云计算平台而言,无论是SaaS(软件即服务)、IaaS(基础设施即服务),还是PaaS(平台即服务),都无法拿出真正可靠的云安全方案来。而对于私有云而言,也不同程度地面临着类似的问题,这也正是广大用户最为担心的方面。本手册为用户介绍如何在SaaS、IaaS及PaaS模式下保证应用和数据的安全性。

  • 云计算服务水平协议SLA教程

    服务等级协议是关于网络服务供应商和客户间的一份合同,其中定义了服务类型、服务质量和客户付款等术语。SLA概念已被大量企业所采纳,作为公司IT部门的内部服务。大型企业的IT部门都规范了一套服务等级协议,以衡量、确认他们的客户(企业其他部门的用户)服务,有时也与外部网络供应商提供的服务进行比较。目前,许多IT经理正在考虑把许多应用及服务迁移进云端。一部分人因为经济原因被迫考虑云计算,而另外一部分人考虑提供一些新的IT服务。不管怎样,IT经理目前以及不久的将来不得不面对服务等级协议(SLA)。

  • 下一代数据中心交换网络:云计算虚拟化交换网络

    下一代数据中心交换网络:云计算虚拟化交换网络。在云计算漫漫之旅上,虚拟化将是我们建设架构即服务云不得不跨越的一道坎,而大规模部署虚拟化更是给传统数据中心管理模式、服务器、存储和网络架构规划管理带来巨大的挑战。

  • 移动云计算应用开发全解

    在过去,移动应用一直被分为本地应用程序或网络应用程序两类。在这本技术手册中,我们把网络应用程序归类为移动云应用范畴,因为网络应用程序在移动设备之外运行,而其数据存储也在移动设备以外。“移动云计算”一词通常是指被扩展以处理移动设备的企业云计算基础设施。被提供给用户使用的数据存储和计算处理资源都在云计算平台端而不是在移动设备本身。下面我们就来看看如何开发出顺应BYOD趋势的完整移动云应用。

TechTarget

最新资源
  • 安全
  • CIO
  • SOA
  • 虚拟化
  • 网络
  • 数据中心