Misschien wel de slechtste veiligheid fout die je kunt maken is het verlaten van zeer vertrouwelijke geheime sleutels op een web-facing server. Dus, wanneer het gaat om het installeren en verifiëren van de AWS CLI op een externe EC2 bijvoorbeeld, hoe ga je configureren?
Je Moet met Behulp van IAM Gebruikers
Het antwoord is zeker niet het gebruik van je root access-toetsen—dit zijn de meest belangrijke penningen in uw account, en ze kunnen omzeilen, in een multi-factor authenticatie-apparaat dat u hebt ingesteld. (Je kunt eigenlijk stellen MFA-beveiligde toegang tot API ‘ s, maar niet voor het root-account.)
AWS biedt een service om dit op te lossen. De “Identity and Access Management” (IAM) Console kunt u kind gebruikers gescheiden van je root account. Deze kunnen worden gebruikers van de service met API-toegang, of een complete gebruiker-accounts (met toegang tot de AWS Management Console) die u kunt gebruiken voor employee accounts.
Elke IAM gebruiker is erin geslaagd om de toegang tot de AWS middelen binnen uw account. De toegang is geregeld met het Beleid, die geven uit een set van rechten die bepalen wat elke gebruiker kan doen. Deze diepte-beleid kan controle over elke actie die je kunt doen in de AWS Management Console.
U kunt ook handmatig instellen van machtigingen grens, die fungeert als een maximale toestemming van een gebruiker niet naar het verleden, het overschrijven van een beleid dat kan subsidie meer. Het is een geavanceerde functie gebruikt om te delegeren toestemming van het management van IAM werknemers en stelt hen in staat tot het maken van extra service rollen zonder rechten escalatie.
Het Instellen van IAM Gebruikers
Van de IAM Management Console, klik op de “Gebruikers” – tab en selecteer “Add User.”
Geef het een naam en selecteer hoe u wilt dat deze gebruiker toegang AWS. Programmatische toegang geeft u een access key ID en geheime sleutel, die wordt gebruikt voor verificatie met de AWS-API en CLI.
Console voor beheer van toegang maakt het voor de gebruiker om toegang te krijgen tot de web console, dat is wat je inschakelen als je het geven van werknemers. Als je instellen, AWS standaard in het geven van een automatisch gegenereerd wachtwoord en de strijdkrachten van de werknemer te wijzigen wanneer ze zich aanmelden.
U kunt beide vormen van toegang als u wilt.
Naast het configureren van machtigingen. AWS biedt veel premade beleid, kunt u direct aansluiten op de gebruiker. U kunt ook maak een groep aan en voeg de gebruiker toe aan die groep, die kunt u eenvoudig beheren van meerdere gebruikers.
Echt, we raden het niet aan om het gebruik van de meeste van deze premade beleid. Je wil echt niet om te geven “Volledige Toegang” naar een individuele service, en het andere alternatief is meestal “Alleen-Lezen”, dat is waarschijnlijk niet genoeg toegang zelf. Sommige van de meer verfijnde machtigingen zijn prima, maar je moet echt uw eigen maken.
U zult snel zien waarom “Volledige Toegang” is een slecht idee. Zeggen dat je het configureren van een server moet toegang tot S3 en uploaden objecten. Je zou willen om het “Schrijven” van de toegang, maar dit maakt het ook mogelijk dat de gebruiker te verwijderen van hele emmers, wat niet ideaal is op alle. Een betere oplossing is het geven van “PutObject” toestemming, waarmee PUT verzoek te worden gemaakt.
Deze rechten zijn vrij intensieve en verschillen van dienst tot dienst, maar u kunt altijd een klik op het vraagteken naast de toestemming de naam te trekken van een snelle definitie. Anders kunt u, lees onze gids om te IAM Rechten voor meer informatie.
Je kunt (en wellicht moeten) beperken de toegang tot bepaalde middelen door hun Amazon Resource-Naam (ARN), die schakelt account-wide access. Er zijn ook bepaalde voorwaarden kunt u koppelen aan rechten, zoals de datum en de tijd, die AWS controles voor het inschakelen van een actie gebeuren.
Zodra u klaar bent met het aanbrengen van machtigingen, kunt u de gebruiker (eventueel toevoegen van tags eerste). Je gebracht naar een scherm waar u kunt downloaden of kopiëren van de access-toetsen, en als je het toevoegen van management console toegang, een aanmeld-link zal verschijnen waar u op kunt sturen naar de medewerker die de rekening.
Vervang Uw Root Account met een IAM Gebruiker
AWS eigenlijk beveelt dit voor organisatie-accounts. In plaats van met je root account aan voor uw persoonlijke CLI, moet u een “Beheerder” IAM Gebruiker met de console voor beheer van toegang tot, en gebruik van de access token van het voor de authenticatie van uw persoonlijke terminal.
Dit betekent niet dat u moet de behandeling van de referenties voor dit IAM gebruiker als minder veilig dan je root account, maar het zou nog ruïneren uw dag om uw administrator-account is gecompromitteerd, dus u moet doorgaan met het gebruik van service accounts voor externe toepassingen, en je moet nog steeds zeker het inschakelen van multi-factor authenticatie voor uw administrator account IAM. Met behulp van een IAM gebruiker in plaats van het root account is veiliger, echter, als er bepaalde account-brede acties die alleen de werkelijke root account kan uitvoeren.
Met deze setup, het enige wat u gebruik het root account voor de super-veilige dingen die zijn gekoppeld direct naar je root account, zoals account onderhoud en facturering. Voor alles wat anders, beheerdersmachtigingen is genoeg en stelt u in staat om daadwerkelijk te verwijderen van uw root access-toetsen, zodat u alleen toegang tot het root account door u aan te melden handmatig (en het passeren van MFA).