确保公有云安全:AWS IAM足够吗?
我们的企业希望限制其生成身份和访问管理策略时所花费的时间。对于这项任务,有什么工具可以帮助自动化完成吗?
在公有云中记录资源使用率对于满足治理和法规遵从性至关重要。AWS日志可使管理员能够记录前搜索最终用户的行为,以及受到影响资源的详细信息。
AWS的各种工具都提供了安全日志记录功能,包括Amazon CloudFront、Amazon CloudWatch、AWS Config和Amazon S3日志请求到存储桶(storage buckets )。但大部分开发人员更喜欢使用AWS CloudTrail记录AWS身份和访问管理(IAM)活动。 虽然其他AWS IAM工具可以生成访问策略,但它们有限制。
AWS CloudTrail记录了所有的IAM和AWS Security Token 服务发出的API请求,其中包括来自基于Web身份提供商的一些未经身份验证的请求。这使请求可以映射给联合用户。 CloudTrail还会将API请求记录到其他本地服务——记录最终用户或AWS工具生成请的详细信息。管理员可以快速确定某个请求是使用IAM凭据、联合用户或角色的临时凭证,还是通过其他服务。此外,CloudTrail将登录事件,包括成功和失败的尝试,都记录到AWS管理控制台、AWS Marketplace和论坛中。
第三方工具可以帮助自动化、简化常见管理任务。例如,Chalice是一个开源的、基于Python的、无服务器的AWS微框架,它帮助企业创建和部署基于Amazon API Gateway和AWS Lambda的无服务器应用。微框架是高度可扩展的、易于管理员修改的,软件组件集合。Chalice有一个命令行界面,开发人员可以使用它在AWS中创建、查看、部署和管理应用程序。
Chalice还自动创建IAM策略,允许应用程序轻松访问AWS工具。 然而,Chalice需要高水平的云应用设计技能。实际上,开发人员可自动生成IAM策略,当使用chalice deploy命令进行包的部署时, 该命令行将部署包发送到无服务器的云环境中。这有助于确保适当的访问策略管理,同时最大限度地减少设置策略所需的时间和精力,并使开发人员可以专注于其他任务。
第三方IAM工具产生的麻烦
第三方工具,如Skeddly旨在为云自动化。这类工具还为AWS权限生成IAM策略文档,允许该工具与帐户中的AWS资源进行交互。