AWS的账号和权限控制一开始接触的时候觉得很复杂,不仅IAM、Identiy Federation、organization,还有Role、Policy等。但是其实先理清楚基本一些概念,然后在根据实际应用场景去理解设计架构,你就会很快掌握这一方面的内容。
AWS的账号跟其它一些云或者说一些SAAS产品的账号没什么不一样,就是注册一个有唯一ID的账号,然后账号底下可以创建各种计算、存储、网络等资源,同时还能通过IAM去创建子账户、角色去共享这些资源。下面通过3方面来总体讲述一下AWS身份与联合身份认证的相关知识:
- 第一方面是基本一些概念或产品的用途
- 第二方面是通过常见应用场景设计的体系架构来巩固概念和产品
- 第三方面是关于IAM Policy权限控制,更加深入了解AWS的权限控制
目录
- 1 IAM
- 1.1 基本功能
- 1.2 高级特性
- 2 STS
- 2.1 基本原理
- 2.2 使用场景
- 2.3 混淆代理人问题(External ID)
- 3 Identity Federation
- 3.1 实现Identity Federation的方式
- 4 Organizations
- 4.1 基本特性
- 4.2 典型架构
- 4.3 Organization Unit & SCP
- 5 Resource Access Manager
- 5.1 可共享资源
- 6 IAM策略的评测逻辑
- 6.1 ABAC
- 6.2 IAM策略的评测逻辑
1 IAM
了解AWS的账户管理、权限管理方式,最先了解的应该IAM。
AWS Identity and Access Management (IAM) 是一种 Web 服务,可以帮助您安全地控制对 AWS 资源的访问。借助 IAM,您可以集中管理控制用户可访问哪些 AWS 资源的权限。可以使用 IAM 来控制谁通过了身份验证(准许登录)并获得授权(拥有权限)来使用资源。你可以简单理解IAM就是一个服务,专门做AWS的账号和权限管理的。
1.1 基本功能
了解IAM需要先了解下面几个功能
- 用户user
你可以理解你拥有一个AWS账号,那么你就拥有Root用户(当然该用户不会显示在用户列表