考试简介
身份与联合身份验证
企业的多账户策略
多账户体系结构提供了最大数量的资源和足够程度的安全隔离
常见的多账户体系结构
- 身份账户体系结构(Identity Account Architecture)
- 在单一的中央区域对所有用户进行集中管理,并允许他们访问多个AWS账户下的不同的AWS资源
- 可以通过跨账户IAM角色的身份联合(Federation)来达成
- Production Account / Development Account
- 日志账户体系结构(Logging Account Architecture)
- 将所有账户的所需日志都集中存储在一个中心区域,在这个中心区域集中对日志进行定期监控和分析
- 发布账户体系结构(Publishing Account Architecture)
- 这种结构对于希望集中管理整个企业预先批准的 AMI(Amazon Machine Image) 及 AWS Cloudformation 模板的客户而言可能是非常有帮助的
- 账单结构(Billing Structure)
- 使用 AWS Organizations 的整合账户功能,建立组织的主账户并整合和支付所有AWS子账户,使得可以在一个主账户上追踪整个企业的 AWS 子账户的账单,并可以为多个 AWS 子账户在主账户上进行统一支付
身份账户体系结构
设置中央身份账户,集中为您的组织建立用户,密码以及访问密钥,管理用户
AWS Organizations
AWS Organizations
AWS Organizations 是一项账户管理服务,是你能够将多个 AWS 账户整合到你创建并集中管理的组织中。包含账户管理和整合账单功能,可利用这些功能更好地满足企业的预算,安全性和合理性需求
主账户:创建组织的 AWS 账户成员账号:加入组织的账户
AWS Organizations 可用的功能集:
- 所有功能
- 整合账单
服务控制策略(SCP)
服务控制策略(SCP) 可应用到组织一下实体:
根:应用到根的策略会应用于组织中的所有账户管理组织单元(OU):应用与 OU 的策略会应用于 OU 及其任何子 OU 中的所有账户账户:应用于账户的策略仅应用于这一个账户
集中式日志架构
将所有账户的所需日志都集中储存再一个中心区域,在这个中心区域集中对日志进行定期监控和分析
集中式日志管理注意事项:
- 尽早定义日志保留的要求以及生命周期策略
- 日志生命周期策略自动化
- 自动安装和配置日志传输代理程序
- 支持混合云架构
AWS 提供的相关服务:
- AWS ElasticSearch Service
- AWS CloudWatch Logs
- Kinesis Firehose
- AWS S3
不同的 AWS 服务(CloudTrail,VPCFlow)构建集中式日志解决方案的配置方式各不相同
AWS Security Token Service
AWS EC2 要访问 AWS S3 有2种方式:
- AWS Access Keys
- IAM Role
AWS STS 是负责生成 AccessKeyId,SecretAccssKey,Token 安全凭证的服务,IAM Role 与 AWS STS 服务建立信任关系
临时安全凭证:
- AWS STS 创建可控制对你的 AWS 资源的访问的临时安全凭证,并将这些凭证提供给受信任用户
- 临时安全凭证是短期凭证,可将这些凭证的有效时间配置几分钟到几小时,在一定时间后失效
- 不必随应用程序分配或嵌入长期 AWS 安全凭证
- 可允许用户访问你的 AWS 资源,而不必为这些用户定义 AWS 身份。临时凭证是角色和联合身份验证的基础
- 临时安全凭证的使用期限有限,因此,在不需要这些凭证时不必轮换或显式撤销这些凭证。临时安全凭证到期后无法重复使用