如何管理AWS云平台安全：兼顾授权和认证

当为应用程序而使用AWS市场时，授权和认证是两个需要予以考虑的安全问题。

在云中管理安全性控制是不同于在企业内部部署中对它们的管理的。当用户在为应用程序而使用AWS市场时，他们需要能够实现对两者的兼顾。

AWS市场是亚马逊网络服务（AWS）的平台，它可为软件供应商在AWS云中交付他们的产品提供了一个场所。相关的软件产品包括数据分析、安全性、商业智能、监控以及协作和开发等工具。就如同AWS服务一样，大多数的软件产品都是根据它们的实际使用情况来收取费用的。

与原来的许可证费用模式相比，这是一个独特的优势。许可证费用模式通常会有一个沉重的前期成本，它会迫使用户分析各种各样的许可证费用选项，例如是按CPU的许可还是按并发用户的许可。或许，AWS市场的最显著优势就是快速部署软件的能力。

尽管这个平台具有这样的快速软件部署能力，但是配置产品安全性都是需要花费一定时间的，记得这一点是很重要的。最重要的是，你必须考虑你将如何验证用户和定义授权。认证就是一个验证用户身份的过程，鉴于应用程序各有不同，认证的方法也有很多种。

特定应用程序的登录就是一种常见的方法。通过这种方法，管理人员可以为每一位用户创建一个唯一的帐户。实际上，这是一个“从头开始”的方法。咋看下，这是一个简单而且没有负担的方法，但是在实际应用中它有大量的工作要做，它包括了设置和维护两方面。

另一个认证方法就是与你的内部部署目录相集成。在这种情况下，用户可能必须建立云服务器来使用他们的内部部署Active Directory。使用这种方法，可能会有与用户网络相关的额外安全问题需要用户予以考虑。例如，在你的内部部署和AWS云之间的一个虚拟专用网络将带来更多的安全性挑战。

如果用户采购的软件允许这么做，那么AWS的自有认证服务（Amazon Identity和Access Management）可能就是具有最小阻力的途径了；当然也有一些第三方认证服务可用。当使用一个认证服务时，一个管理员将仍然必须配置用户角色和用户组以便于实现用户身份和授权组的有效组织。

第二个安全性因素——授权——就是指确定使用应用程序时管理人员将如何制定单个用户的权限。类似于认证，特定应用程序的授权通常是一种切实可行的方法。通过使用这种方法，管理人员将必须在应用程序中创建用户帐户并为每一个用户或用户组分配特定权限。此外，使用一个现有的目录也是一种授权方法的选择。当配置授权时，这一方法可节省时间，特别是如果你可以使用现有的用户组和用户角色。

一旦你确定了如何支持认证和授权，那么就可考虑你将如何对应用程序进行监控和审计。例如，当拥有某个应用程序访问权限的员工离职时，他的相关权限就应当在认证系统中被撤除。如果用户使用一个独立系统来对应用程序进行权限定义，那么他们将需要建立若干程序来确保他们的权限被撤销。利用用户现有的认证和授权服务可降低他们的管理开销。

考虑你将如何支持合规性报告将是非常重要的。如果应用程序没有足够的报告和日志记录，那么你可能必须开发出一个自定义的报告，或者干脆选择一个不同的软件包。