Hva er IAM -rolle i AWS

“IAM Rolle” er et sett med tillatelser for å tillate eller begrense brukerkontoer for tilgang til ressurser og tjenester til AWS. “IAM Rolle” eller “Identity and Access Management Role” er en sikker måte å administrere autentisering og tilgang til brukere av samme rotkonto. IAM -roller er vanligvis knyttet til kontoer som ikke er rotkontoer, men bruker AWS -tjenester i en organisasjon eller selskap.

Gjennom IAM -roller kan flere brukere gis det samme settet med tillatelser i stedet for å gi hver bruker et eget sett med tillatelser. IAM -roller brukes til å bestemme hvilke tjenester og ressurser en bruker kan få tilgang til og hvilke ikke.

Artikkelen vil dekke følgende områder av dette emnet:

• Motivet bak IAM -roller
• Hvordan blir IAM -roller tilordnet?
• Som kan bruke IAM -roller?
• Skape en IAM -rolle
• Funksjoner i iam w.r.t iam roller
• Administrere IAM -roller

Motivet bak IAM -roller

Å overlate brukerne eller de ansatte som er koblet til et selskap sin rotbrukerkonto er en stor risiko, ettersom det kan tenkes å gjøre det mulig å gjøre noe for å gjøre noe med infrastrukturen i virksomheten. Men brukerne som er knyttet til infrastrukturen skal visstnok ha tilgang til ressursene og arbeidet i det selskapet ved å bruke sine tjenester. Hva kan være løsningen på dette?

Her brukes IAM -rollene. IAM -roller er tildelt hver bruker tilknyttet selskapet eller organisasjonen, og rollene definerer tillatelsene gitt til brukerne. For eksempel vil teamet som jobber som nettutviklere få IAM -rollen nøyaktig i henhold til arten av oppgavene sine, og ressursene og tjenestene som er tillatt for den rollen vil ikke overstige kravet til jobben. De vil ikke kunne få tilgang til tjenestene til andre avdelinger som HR, finans, grafiske designere, redaktører osv.

Hvordan blir IAM -roller tilordnet?

IAM gir tilgangs -ID -er og hemmelige nøkler til kontoene som er tilkoblet. Hvis en IAM -kontoinnehaver finner noe problem, kan en ny tilgangsnøkkel også genereres enkelt og praktisk. IAM gir midlertidig legitimasjon til brukere som utløper innen en definert tidsbegrensning, i motsetning til en typisk påloggingsøkt der brukere må oppgi de samme detaljene hver gang de logger seg på.

Huske: Antall IAM -roller i en enkelt AWS -konto er begrenset til 1000, og en enkelt IAM -rolle kan ha 10 retningslinjer. Retningslinjene i hver IAM -rolle implementeres i brukerkontoer knyttet til den IAM -rollen.

Som kan bruke IAM -roller?

Roller kan brukes av:

• IAM -bruker på samme AWS -konto
• Bruker autentisert ved hjelp av SAML
• Bruker autentisert med en webidentitetsleverandør
• En webtjeneste
• En autentisert ekstern bruker

Skape en IAM -rolle

Vi har diskutert hva IAM -roller er og hvordan de fungerer grundig. La oss nå se på hvordan vi lager en IAM -rolle. Dette vil gjøre konseptet med IAM -roller mye mer forståelig.

Opprette IAM -roller krever at logging på en IAM -brukerkonto. Gå til "rollene" i "Access Management" -delen av Dashboard Side Navigation Panel:

På neste side klikker du på "Opprett rolle" -knappen:

På neste side blir brukeren bedt om å velge den typen som rollen opprettes. Rollene kan opprettes for AWS -tjeneste, konto, nettidentitet, Saml Federation og Custom Trust Policy.

Her velger vi for eksempel AWS -tjeneste for å tildele en rolle til en AWS -tjeneste.

Velg bruk saken for å lage IAM -rollen og klikk på "Neste" -knappen.

I tillatelsespolitisk seksjon må brukeren definere enkelt- eller flere tillatelser for rollen.

Her, for eksempel, søker vi bare etter en tillatelsespolitikk "iAmreadOnlyAccess", merk avkrysningsruten for den policyen og fortsett deretter.

Skriv inn et meningsfylt rollenavn.

Klikk på "Opprett rolle" -knappen.

Neste grensesnitt viser en suksessmelding som indikerer at rollen er opprettet.

Forklart ovenfor er prosedyren for å opprette en IAM -rolle gjennom en IAM -konto som klarer å gi tillatelser og retningslinjer til brukerkontoer, ressurser og applikasjoner.

Funksjoner i iam w.r.t iam roller

Følgende er noen av funksjonene i IAM med hensyn til IAM -rollene som er tildelt brukere:

Delt tilgang: Det er ikke nødvendig å dele kontoopplysninger (e -post og passord). Alt arbeidet en bruker er ment å gjøre, kan utføres basert på tillatelsen (rollen) gitt av hovedkontoinnehaveren.

Granulære tillatelser: Ulike brukere kan få annen tillatelse. Hver bruker kan utføre den rullebaserte oppgaven godt og kan ikke avbryte en annen rull enn ens egen.

Multifaktorautentisering: Det er et anlegg for multifaktorautentisering gitt til IAM -brukere med spesifiserte IAM -roller. Dette gjøres for å opprettholde sikkerhetsstandardene til IAM.

Identitetsforbund: Brukere kan registrere seg med tredjeparts påmeldingsinformasjon for rollen som er tildelt dem.

Administrere IAM -roller

Det kreves sporadiske endringer i roller i nesten alle organisasjoner som bruker AWS -tjenester. Modifiseringen inkluderer:

• Endre rollepolitikken for å holde dem oppdatert.
• Gjør endringer i tilgangsstyring.
• Endring av varighetsinnstillingene.

Konklusjon

En IAM -rolle er en IAM -identitet som er knyttet til brukerkontoer og tjenester med det formål å la dem ha tilgang til bare tjenestene som trengs. IAM -rolle handler om tillatelsespolitikk, og disse retningslinjene bestemmes i løpet av opprettelsen av en IAM -rolle.