Сервис AWS Identity and Access Management (IAM) позволяет безопасно управлять доступом пользователей к сервисам и ресурсам AWS. Используя IAM, можно создавать пользователей и группы AWS и управлять ими, а также использовать разрешения, чтобы предоставить или запретить им доступ к ресурсам AWS.
Чтобы начать работу с IAM, если вы уже зарегистрированы в AWS, войдите в Консоль управления AWS и начните знакомство с рекомендациями по использованию IAM.
Начните использовать бесплатный сервис IAM уже сегодня.
Начать работу с AWS бесплатно
Создать бесплатный аккаунтили войти в Консоль
Получите двенадцать месяцев доступа к уровню бесплатного пользования AWS с его базовой поддержкой, включая обслуживание клиентов (круглосуточно, без праздников и выходных), форумы поддержки и многое другое.
Инструкции
How to Set Up Federated Single Sign-On to AWS Using Google Apps
Инструкции
How to Prevent Hotlinking by Using AWS WAF, Amazon CloudFront, and Referer Checking
Новость
Amazon Cognito Now Provides Sign-Up and Sign-In Functionality for Your Apps (Beta)
Новость
Now Generally Available: Amazon Inspector
Вопросы и ответы по соответствию требованиям:
Frequently Asked Questions About HIPAA Compliance in the AWS Cloud
Инструкции
Новость
Now Available: Simplified Configuration of Trust Relationships in the AWS Directory Service Console
Возможности, предоставляемые сервисом AWS IAM
Управление пользователями IAM и их правами доступа. С AWS IAM можно создавать пользователей, назначать им индивидуальные данные, подтверждающие права доступа (такие как ключи доступа, пароли и устройства многофакторной аутентификации), или запрашивать временные данные, подтверждающие права доступа пользователей к сервисам и ресурсам AWS. С помощью разрешений можно управлять возможностью пользователя выполнять определенные действия.
Управление ролями IAM и их разрешениями. Используя IAM, можно создавать роли и назначать разрешения, определяющие, какие действия сможет выполнять сущность или сервис AWS, которым присвоена эта роль. Можно также задать, какой сущности разрешено присвоить эту роль.
Управление федеративными пользователями и их разрешениями. С помощью федерации удостоверений можно позволить имеющимся сущностям (например, пользователям, группам и ролям) вашей компании использовать Консоль управления AWS, вызывать API AWS и получать доступ к ресурсам, не создавая пользователя IAM для каждого удостоверения.
С помощью средств IAM пользователи могут управлять доступом к API сервиса AWS и конкретным ресурсам. Сервис IAM также позволяет добавлять конкретные условия, при соблюдении которых пользователь сможет использовать AWS, например время суток, исходный IP-адрес, возможность использования протокола SSL или необходимость аутентификации с помощью устройства многофакторной аутентификации.
Пользователь может настроить свои мобильные и браузерные приложения на использование безопасного доступа к ресурсам AWS, запросив временные данные, подтверждающие права доступа, которые разрешат доступ только к определенным ресурсам AWS и в указанный период времени.
Сервис IAM может предоставить пользователям и приложениям федеративный доступ к Консоли управления и API сервиса AWS с использованием существующих систем управления удостоверениями, таких как Microsoft Active Directory. Для этого можно использовать любое решение для управления удостоверениями, которое поддерживает протокол SAML 2.0, либо выбрать любой из наших образцов федерации (единый вход (SSO) в Консоль управления AWS или федерацию API).
Защитите свою среду AWS, воспользовавшись AWS MFA, бесплатной функцией безопасности, которая дополняет такие данные для доступа, как имя пользователя и пароль. Функция MFA требует от пользователей доказать физическое обладание аппаратным токеном MFA или мобильным устройством MFA путем ввода действительного кода MFA.
Специалисты ИТ и разработчики могут воспользоваться имеющимся списком рекомендаций AWS, которые помогут им управлять доступом без потери гибкости и устойчивости. Рекомендации по работе с IAM подробно изложены в записи семинара re:Invent 2015 (см. видеоролик справа).
Пользователи – создавайте отдельных пользователей.
Группы – управляйте разрешениями с помощью групп.
Разрешения – назначайте минимальные привилегии.
Аудит – включите сервис AWS CloudTrail.
Пароль – настройте политику надежных паролей.
MFA – включите аутентификацию MFA для пользователей с правами администратора.
Роли – используйте роли IAM для инстансов Amazon EC2.
Общий доступ – используйте роли IAM для предоставления общего доступа.
Ротация – регулярно изменяйте данные, подтверждающие права доступа.
Условия – ограничьте привилегированный доступ с помощью дополнительных условий.
Root – максимально сократите или запретите использование аккаунта root.
