palo alto networks

AWS Identity and Access Management

Сервіс AWS Identity and Access Management (IAM) надає можливості безпечного управління доступом до сервісів та ресурсів AWS. Використовуючи IAM, можна створювати користувачів AWS і групи, керувати ними, а також використовувати дозволи, щоб надавати або забороняти доступ до ресурсів AWS.

IAM - це можливість аккаунта AWS, яка надається без додаткової оплати. Оплата стягується лише за використання інших сервісів AWS, створених користувачами.

Принцип роботи AWS Identity and Access Management

IAM допомагає в створенні ролей і дозволів

    Управління користувачами IAM і їх правами доступу. З AWS IAM можна створювати користувачів, призначати їм безпечні індивідуальні дані для доступу (такі як ключі доступу, паролі і пристрої багатофакторної аутентифікації) або запитувати тимчасові дані для доступу користувачів до сервісів та ресурсів AWS. За допомогою дозволів можна управляти можливістю користувача виконувати певні дії.
    Управління ролями IAM і пов'язаними дозволами. Використовуючи IAM, можна створювати ролі і призначати дозволи, що визначають, які дії зможе виконувати сутність або сервіс AWS, яким присвоєна ця роль. Можна також задати, якій суті дозволено привласнювати цю роль. Крім того, можна використовувати пов'язані з сервісом ролі для делегування дозволів сервісів AWS, які створюють ресурси AWS і керують ними від імені користувача.
    Управління федеративними користувачами і їх дозволами. За допомогою федерації посвідчень можна дозволити існуючим посвідченнями (користувачам, групам і ролям) в рамках організації використовувати Консоль управління AWS, викликати API AWS і отримувати доступ до ресурсів, не створюючи користувача IAM для кожного посвідчення. Використовуйте будь-яке рішення для управління посвідченнями, яке підтримує стандарт SAML 2.0, або будь-який з наших зразків федерації (єдиний вхід (SSO) в Консоль управління AWS або федерацію API).

Приклади використання AWS Identity and Access Management


- Точне управління доступом до ресурсів AWS

За допомогою IAM користувачі можуть управляти доступом до API сервісів AWS і конкретних ресурсів. IAM також дозволяє додавати особливі умови, при дотриманні яких користувач зможе використовувати AWS, наприклад час доби, вихідний IP-адреси, можливість використання протоколу SSL або необхідність використання пристрою багатофакторної аутентифікації.

- Багатофакторна аутентифікація користувачів з найвищим рівнем привілеїв

Захистіть своє середовище AWS за допомогою AWS MFA, безкоштовної можливості забезпечення безпеки, яка доповнює такі дані для доступу, як ім'я користувача і пароль. MFA вимагає від користувачів довести фізичне володіння апаратним токеном MFA або зазначеним мобільним пристроєм MFA шляхом введення дійсного коду MFA.

- Аналіз прав доступу

За допомогою IAM ви зможете аналізувати права доступу до сервісів середовища AWS. Команди по забезпеченню безпеки і адміністратори можуть швидко перевірити, що згідно з вашими правилами публічний і міжаккаунтний доступ до ваших ресурсів отримають тільки користувачі з відповідними правами.

- Інтеграція з корпоративним каталогом

Сервіс IAM може надати користувачам і додаткам федеративний доступ до консолі управління і API сервісів AWS з використанням існуючих систем ідентифікації, таких як Microsoft Active Directory. Для цього можна використовувати будь-яке рішення для управління посвідченнями, яке підтримує стандарт SAML 2.0, або вибрати будь-який з наших зразків федерації (єдиний вхід (SSO) в консоль управління AWS або федерацію API).

Зверніться до наших фахівців AWS

Отримайте персоналізовану консультацію по продуктах і рішенням AWS. Наші фахівці допоможуть підібрати індивідуальне рішення, що відповідає Вашим вимогам. Ми відповімо на Ваші питання і допоможемо розпочати роботу з AWS.