确保公有云安全:AWS IAM足够吗?

日期:2016-12-15作者:Stephen J. Bigelow翻译:蒋红冰来源:TechTarget中国 英文

【TechTarget中国原创】

我们的企业希望限制其生成身份和访问管理策略时所花费的时间。对于这项任务,有什么工具可以帮助自动化完成吗?

在公有云中记录资源使用率对于满足治理和法规遵从性至关重要。AWS日志可使管理员能够记录前搜索最终用户的行为,以及受到影响资源的详细信息。

AWS的各种工具都提供了安全日志记录功能,包括Amazon CloudFront、Amazon CloudWatch、AWS Config和Amazon S3日志请求到存储桶(storage buckets )。但大部分开发人员更喜欢使用AWS CloudTrail记录AWS身份和访问管理(IAM)活动。 虽然其他AWS IAM工具可以生成访问策略,但它们有限制。

AWS CloudTrail记录了所有的IAM和AWS Security Token 服务发出的API请求,其中包括来自基于Web身份提供商的一些未经身份验证的请求。这使请求可以映射给联合用户。 CloudTrail还会将API请求记录到其他本地服务——记录最终用户或AWS工具生成请的详细信息。管理员可以快速确定某个请求是使用IAM凭据、联合用户或角色的临时凭证,还是通过其他服务。此外,CloudTrail将登录事件,包括成功和失败的尝试,都记录到AWS管理控制台、AWS Marketplace和论坛中。

第三方工具可以帮助自动化、简化常见管理任务。例如,Chalice是一个开源的、基于Python的、无服务器的AWS微框架,它帮助企业创建和部署基于Amazon API Gateway和AWS Lambda的无服务器应用。微框架是高度可扩展的、易于管理员修改的,软件组件集合。Chalice有一个命令行界面,开发人员可以使用它在AWS中创建、查看、部署和管理应用程序。

Chalice还自动创建IAM策略,允许应用程序轻松访问AWS工具。 然而,Chalice需要高水平的云应用设计技能。实际上,开发人员可自动生成IAM策略,当使用chalice deploy命令进行包的部署时, 该命令行将部署包发送到无服务器的云环境中。这有助于确保适当的访问策略管理,同时最大限度地减少设置策略所需的时间和精力,并使开发人员可以专注于其他任务。

第三方IAM工具产生的麻烦

第三方工具,如Skeddly旨在为云自动化。这类工具还为AWS权限生成IAM策略文档,允许该工具与帐户中的AWS资源进行交互。

这些AWS IAM工具只是示例, 虽然他们帮助企业实现了复杂的云目标,但与本地服务相比它们仍然具有局限性。首先,第三方工具通常缺乏灵活性。 策略是动态的实体,那么创建、测试和维护它将是个挑战。与云提供商的本地IAM服务直接 协作,通常更方便、更可预测;与使用第三方AWS IAM工具自动创建策略相比,它们的测试所带来的意外后果较少。

此外,第三方IAM工具必须适应公有云服务的演进。例如,每次AWS更新IAM API时,第三方供应商也必须相应地更新其工具。因此,第三方工具可能会落后于IAM开发,给企业IT团队增加不确定性。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

评论
查看更多评论

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

作者>更多

Stephen J. Bigelow
Stephen J. Bigelow

数据中心和虚拟化网站的高级技术编辑,拥有20年的PC和技术写作经验。

公共云计算服务>更多

  • Dyn收购交易:示意本地Oracle DNS实现云化

    Oracle公司在收购DNS领导者Dyn的举动旨在进一步吸引面向网络工作负载的客户,并重申了其希望成为公共云计算市场重要参与者的意愿。

  • 公有云和大银行终于同框了

    来自花旗集团、高盛投资公司和其他金融机构的技术领导者在Google Cloud Platform (Google云平台,GCP)大会上轮流发言,认为一旦大银行不管理资源,会带来一些优势。

  • 从神坛走向地面:2016云存储,你更关心哪一点?

    在云存储领域,2016年是一个漫长且奇怪的年度。曾经被视为存储时尚的服务已变得随处可见,而云迁移战略也比以往得到了更多的应用。

  • 公共云存储服务的可扩展性和性能

    很多企业都在使用公共云、私有云以及混合云这样的一个组合,但是其中的公共云存储服务是尤其吸引人的。它的成本效益高,它可提供可扩展性、可靠性以及性能优势。

相关推荐

  • 公有云安全:多一重身份 多一份保障

    云是具有许多可独立工作的移动部件的分布式系统。包括存储和计算系统资源,以及更细粒度的服务,如API。

  • 用户与企业:AWS IAM使用的最佳时机是?

    安全漏洞可能出现在云中的任何地方,甚至在可信的资源和人员的连接中。AWS IAM服务使管理员能够对内部IT员工、及外部用户、服务和应用程序定义访问权限。

  • 公有云安全:哪个工具可以保证?

    尽管我们的企业使用了一系列的AWS工具,我们还是希望能进一步提升数据的安全措施。那么,在AWS中,有哪些可用的工具来确保数据和资源的安全性呢?

  • AWS云安全:别忘记这一步

    IT管理员将安全担忧引申为他们在迁移到云这件事上踌躇不前的原因,但是亚马逊的一系列安全选项为这些疑惑给出了答案。

技术手册>更多

  • 云服务模式安全性评估手册

    2012年TechTarget中国云安全调查结果显示,目前已经有79.6%的企业正在进行或者考虑采用云服务,形式包括PaaS、Iaas、SaaS、云存储/备份、私有云和混合云。这也从一个侧面反映了企业对于云计算的认可已经逐渐加强,不再云里雾里。但是谈到云计算安全性的时候,认为云计算安全和不安全的受访者基本持平,分别为51.9%(安全)和48.1%(不安全)。本技术手册中,我们将从三个方面评估并实现云服务模式的安全性。

  • 私有云实战攻略

    因为对公共云的安全性和隐私性存在疑虑,私有云顺理成章地成为了大多数企业的首选。那么用户对私有云是不是已经有一个清醒的认识了呢?

  • 特刊:Hadoop云服务之战

    尽管很多奇怪的梦是相反的,而我们的大多数童年的毛绒玩具不会变大,而且不会走到IT巨头那里,就像谷歌、IBM、微软和雅虎。Doug Cutting的毛绒玩具大象Hadoop却做到了。以一个孩童时期的玩具名来命名,Hadoop被构想成谷歌的MapReduce的一部分。免费的基于JAVA的编程框架已经相当成熟,正在获得大多数IT人士的认可,用其来为企业商业智能分析数据。

  • 解惑云存储的选择

    在TechTarget最新的云存储调查中,近一半的公司表示其正在使用一种或者多种云存储服务提供商来存储数据,平均数据量占到其总数据量的24%。对于云存储来说,备份仍旧是最受欢迎的应用,63%的受访者表示至少会将一些备份数据放到云端。

TechTarget

最新资源
  • 安全
  • CIO
  • SOA
  • 虚拟化
  • 网络
  • 数据中心