## 视频
<video src="https://dev-media.amazoncloud.cn/30-LibaiGenerate/31-LiBaiRebrandingVideo/SEC336-Spur_productivity_with_options_for_identity_and_access-LBrebrandingWCaptionCN.mp4" class="bytemdVideo" controls="controls"></video>
## 导读
身份和访问管理是一个基本的安全支柱,适用于员工、数据和客户。在本论坛中,探索团队可以用于在亚马逊云科技上构建的框架、解决方案和最佳实践。考虑通过建立访问控制的治理,授权中央安全团队设置组织以取得成功的解决方案。然后,探索用于亚马逊云科技基础架构的细粒度权限的工具,以便构建人员可以快速移动并遵守设置的安全标准。深入数据访问,了解允许建设者在限制对最关键数据的访问的同时进行数据创新的场景和工具。最后,检查用于细粒度客户访问应用程序的解决方案。
## 演讲精华
<font color = "grey">以下是小编为您整理的本次演讲的精华,共2000字,阅读时间大约是10分钟。如果您想进一步了解演讲内容或者观看演讲全文,请观看演讲完整视频或者下面的演讲原文。</font>
亚马逊云科技的Identity部门负责人布里奇特·约翰逊热情洋溢地欢迎参加长达一小时的会议的re:Invent观众。她与共同演讲者、前上司卡伦·哈贝尔科恩一起,讨论了与身份和访问管理相关的内容。尽管会议中出现了一些尴尬的氛围,但由于前老板的参与,使得会议变得非常有趣。
布里奇特概述了会议内容,从回顾常见的客户需求到阐述身份和访问概念的基本知识,再到分享敏捷地配置亚马逊云科技环境的框架和思维模型。最后,观众将通过现场演示来体验不同角色的新功能,完成四个模拟工作。
卡伦强调了re:Invent对于收集直接客户反馈的重要性,以便了解他们在身份和访问管理方面的最高优先事项。客户的主要愿望是实现安全运行的同时,不阻碍开发人员的速度和创新能力。他们希望实现集中化管理,以确保达到安全标准,同时仍然授权开发人员根据这些标准定义自己的权限。
为了满足这些需求,客户还需要让数据分析师能够在批准的数据源中提取见解,而不会发生不适当的暴露风险。分析师只能看到他们有权访问的指标和数据,而不是属于其他用户或部门的数据,除非明确共享。顺利满足这些组合要求仍然是一个持续面临的挑战。
为了培养正确的思维方式,卡伦强调了访问管理背后的核心问题:谁能访问什么?身份包括人、机器和软件。他们的访问需求根据角色而有所不同。例如:
- 基础设施操作员需要直接访问他们创建、监控和运行的资源。
- 应用程序开发者将资源组装成面向客户的应用程序。
- 业务合作伙伴只查看输出指标和报告。
访问权作为身份和资源之间的链接,通过指定在授权条件下特定身份可以在指定资源上执行的操作来实现。
身份管理首先需要对用户身份进行确认以及验证他们的真实身份。对于公司员工而言,这意味着需要通过公司的身份验证系统登录并提供额外的验证方式,比如多因素认证。通过使用亚马逊云科技(Amazon Web Services)的IAM功能,可以实现对资源的访问控制。此外,客户还可以使用[Amazon Cognito](https://aws.amazon.com/cn/cognito/?trk=cndc-detail)提供的身份标准来登录应用程序,从而支持多种身份验证方式。在完成验证后,系统将授权用户在其环境中执行的操作。亚马逊云科技(Amazon Web Services)的IAM策略定义了允许对基础设施访问的资源相关的操作。同样,[Amazon Cognito](https://aws.amazon.com/cn/cognito/?trk=cndc-detail)也支持在应用程序内部实现类似的授权机制。
凯伦建议将亚马逊云科技(Amazon Web Services)的环境结构设计成包含多个账户,以便对工作负载进行隔离并利用每个账户的安全边界。她展示了一个示例的多账户布局,灵感来源于一家冰淇淋企业。这次讨论引发了有趣的对话,布里奇特提到标题巧妙地暗示了她对马的喜好。
布里奇特深入研究了对IAM访问控制的理解,这是她非常关注的话题。共享责任模型明确了亚马逊云科技(Amazon Web Services)在提供强大访问控制以及对所有请求实施访问控制的责任,以及与客户在制定、维护和优化自己的访问策略方面的作用。亚马逊云科技(Amazon Web Services)无法独立决定是否允许或拒绝某个请求。每个请求都必须与客户指定的策略中定义的主要参与者、操作、资源和条件相一致,以明确是否允许访问。这使得亚马逊云科技(Amazon Web Services)每秒要对数十亿次请求进行检查以确定其是否符合客户的策略。
亚马逊云科技(Amazon Web Services)还为客户提供指导和支持,帮助他们定义合适的访问权限。然而,客户需要了解业务背景以确定所需的访问权限。布里奇特建议在初期阶段逐渐授予更广泛的权限以进行探索和创新,随后在需求稳定后验证其正确性并进行优化,以实现最小化的权限,尤其是针对生产工作负载。
支持的访问控制政策类型包括:
- 基于身份的策略附加到IAM角色上,并在特定条件下定义可以对资源执行的操作。
- 基于资源的策略直接附加到资源上,例如S3存储桶。这些实现了简单的跨账户访问。
服务控制策略在亚马逊云科技组织中适用于所有账户,并对所有角色的权限进行限制。这种权限边界为账户中创建的角色设定了最大的权限范围。为了控制网络边缘的访问,VPC端点策略被引入。此外,身份或资源策略可以在亚马逊云科技内部授予访问权限。对于跨账户访问,双方都必须允许。布里奇特将这种情况比喻成相邻的酒店房间,两扇门都必须打开才能通过。
策略包含了带有主体(如用户、角色或服务)、操作(如S3:GetObject)、资源和可选条件的声明。这些条件可能会附加额外的限制,例如需要特定的IP地址或服务。当委托人发出请求时,亚马逊云科技会构建一个包括操作、资源和条件的上下文。然后将该上下文与所有适用策略进行评估,以确定是允许还是拒绝访问。任何匹配的拒绝声明都会覆盖允许的声明。
以一匹名叫Pickles的马试图访问装满苹果的S3桶为例,说明了策略评估的过程。VPC端点、服务控制、权限边界和IAM/资源策略必须共同允许,否则默认情况下拒绝访问。
卡伦概述了一个框架,以帮助不同团队协同工作,实现最佳的身份和访问结果。中央安全团队专注于制定标准、验证合规性并提供强制执行工具。建设者关注的是添加功能并利用安全指南和工具作为加速器。
安全团队定义了数据周界的护栏,这是跨越身份、资源和网络的访问的外部边界。数据周界有三个关键要素:身份周界(限制对受信任身份的访问)、资源周界(限制对受信任资源的访问)和网络周界(限制对预期网络位置的访问)。
已使用的访问密钥、未使用的IAM用户密码、未使用的角色、未使用的服务以及未使用的操作等信息尚未被使用。这些功能可以帮助企业更好地管理其亚马逊云科技账户的安全性和合规性。
通过外部访问发现,企业可以检测和防止对公共和跨账户的未经授权的访问,从而提高安全性。访问分析器与亚马逊云科技Security Hub集成交互,实现了统一的可见性。当检测到潜在问题时,可以发现可以触发[Amazon EventBridge](https://aws.amazon.com/cn/eventbridge/?trk=cndc-detail)事件以自动修复问题或通知管理员。
尽管未使用访问分析需要付费层,但在会员账户中,原始的最后访问数据仍然是免费的。因此,Karen强烈建议客户特别启用未使用访问密钥的分析,以便消除不必要的凭据。
在转向基础设施访问的第一构建者角色时,Karen建议在创新方面给予更广泛的初始权限,然后随着时间的推移进行验证和优化,以实现最小权限原则,特别是在生产环境中。访问分析器可以帮助生成与实际资源使用情况一致的策略。
为了展示自动化权限审查的功能,Bridget展示了如何使用亚马逊云科技CodePipeline和CodeBuild如何通过最近启动的CheckNoNewAccess和CheckAccessNotGranted API操作将自定义IAM策略检查纳入持续集成和持续部署(CI/CD)管道。这些操作利用自动化推理来验证与新参考策略相比没有新的访问以及缺少指定的危险操作。
karen
- 操作:sundae:read
- 资源:Brilliant Ice Cream ARN
授予这种针对性的访问权限展示了Verified Permissions所提供的精确授权。
此外,布里奇特还解决了之前失败的管道演示问题的遗留问题,并确认了在获得批准并部署之前,相关政策已得到适当限制。
[Amazon Redshift](https://aws.amazon.com/cn/redshift/?trk=cndc-detail)、[Amazon EMR](https://aws.amazon.com/cn/emr/?trk=cndc-detail)、[Amazon S3](https://aws.amazon.com/cn/s3/?trk=cndc-detail)访问点和亚马逊云科技Lake Formation等集成将很快推出。相较于传统基于角色的策略,以用户为中心的模型更适用于数据湖访问。
在凯伦的演讲结束时,她简要介绍了亚马逊资源访问管理器服务,该服务使客户能够轻松地在他们组织的账户内共享亚马逊云科技资源,或与其他账户共享。例如,可以将历史使用数据与供应商共享,以获取即将进行的大订单的价格报价。
总的来说,Bridget和Karen介绍了一些在亚马逊云科技上管理和保护身份和访问的新功能,同时也强调了最基本的原则,如最小权限和自动化的政策验证。他们在演讲中穿插了许多现实生活中的客户使用案例和示例。
演示过程中使用了真实的人物角色(如开发人员和数据分析师),展示了如何应用这些服务以提高效率并保持安全性。Bridget和Karen有效地展示了中央安全团队如何建立边界和标准,同时授权构建者使用提供的工具来创新性地管理权限。
他们还强调了多个服务,如[Amazon Cognito](https://aws.amazon.com/cn/cognito/?trk=cndc-detail)和Verified Permissions,它们可以轻松地将强大的身份和访问功能嵌入自定义应用程序,而无需付出太多努力。最后,他们探讨了新兴的用户中心访问模式,如可信身份传播,以简化需要访问多种数据源的数据团队的安全问题。
**下面是一些演讲现场的精彩瞬间:**
凯伦·哈贝尔科恩,作为演讲者的前老板和现任亚马逊云科技身份与访问管理总监,上台探讨了如何通过身份和访问管理实现创新。
![](https://d1trpeugzwbig5.cloudfront.net/SEC336-Spur_productivity_with_options_for_identity_and_access/images/rebranded/SEC336-Spur_productivity_with_options_for_identity_and_access_0.png)
演讲者用酒店房间门的比喻来解释这一概念,指出用户要访问S3存储桶,必须满足跨账户访问的身份策略和存储桶策略的双重许可。
![](https://d1trpeugzwbig5.cloudfront.net/SEC336-Spur_productivity_with_options_for_identity_and_access/images/rebranded/SEC336-Spur_productivity_with_options_for_identity_and_access_1.png)
强调工具箱图标的演讲者进一步表示,亚马逊云科技为每个演示中的安全任务提供了可用的服务支持。
![](https://d1trpeugzwbig5.cloudfront.net/SEC336-Spur_productivity_with_options_for_identity_and_access/images/rebranded/SEC336-Spur_productivity_with_options_for_identity_and_access_2.png)
演讲者解释道,在亚马逊云科技构建数据边界时,需要利用条件键来限制身份、资源和网络的访问。
![](https://d1trpeugzwbig5.cloudfront.net/SEC336-Spur_productivity_with_options_for_identity_and_access/images/rebranded/SEC336-Spur_productivity_with_options_for_identity_and_access_3.png)
最后,领导者展示了如何运用拒绝策略来限制对S3存储桶的非法访问。
![](https://d1trpeugzwbig5.cloudfront.net/SEC336-Spur_productivity_with_options_for_identity_and_access/images/rebranded/SEC336-Spur_productivity_with_options_for_identity_and_access_4.png)
数据分析师可以在Redshift中安全地访问和分析数据,同时根据其身份和属性来自动分配权限。
![](https://d1trpeugzwbig5.cloudfront.net/SEC336-Spur_productivity_with_options_for_identity_and_access/images/rebranded/SEC336-Spur_productivity_with_options_for_identity_and_access_5.png)
## 总结
亚马逊云科技的re:Invent上的SEC336演讲探讨了实现生产力与创新能力提升的策略,重点关注管理身份和访问的方法。演讲者强调了利用亚马逊云科技工具构建安全边界以及验证正确配置的重要性。首先,他们建议由中央安全团队利用亚马逊云科技控制塔和IAM访问分析器来设定数据边界并监控闲置的凭证。其次,基础设施建设者应被授予对资源的临时性广泛访问权限,随后根据时间推移调整策略。通过实施新的IAM策略审查,可以确保仅授予最低限度的必要权限。对于应用程序开发者,演讲者建议使用[Amazon Cognito](https://aws.amazon.com/cn/cognito/?trk=cndc-detail)进行认证及采用[Amazon Verified Permissions](https://aws.amazon.com/cn/verified-permissions/?trk=cndc-detail)进行授权。最后,针对数据分析师,亚马逊云科技推出了一项全新的IAM功能——跨服务传播用户身份,从而简化数据访问过程。总之,此次演讲为各个角色提供了一个共同努力的框架,使建设者能够在集中护栏内更安全地推动创新。
## 演讲原文
## 想了解更多精彩完整内容吗?立即访问re:Invent 官网中文网站!
[2023亚马逊云科技re:Invent全球大会 - 官方网站](https://webinar.amazoncloud.cn/reInvent2023/?s=8739&smid=19458 "2023亚马逊云科技re:Invent全球大会 - 官方网站")
[点击此处](https://aws.amazon.com/cn/new/?trk=6dd7cc20-6afa-4abf-9359-2d6976ff9600&trk=cndc-detail "点击此处"),一键获取亚马逊云科技全球最新产品/服务资讯!
[点击此处](https://www.amazonaws.cn/new/?trk=2ab098aa-0793-48b1-85e6-a9d261bd8cd4&trk=cndc-detail "点击此处"),一键获取亚马逊云科技中国区最新产品/服务资讯!
## 即刻注册亚马逊云科技账户,开启云端之旅!
[【免费】亚马逊云科技“100 余种核心云服务产品免费试用”](https://aws.amazon.com/cn/campaigns/freecenter/?trk=f079813d-3a13-4a50-b67b-e31d930f36a4&sc_channel=el&trk=cndc-detail "【免费】亚马逊云科技“100 余种核心云服务产品免费试用“")
[【免费】亚马逊云科技中国区“40 余种核心云服务产品免费试用”](https://www.amazonaws.cn/campaign/CloudService/?trk=2cdb6245-f491-42bc-b931-c1693fe92be1&sc_channel=el&trk=cndc-detail "【免费】亚马逊云科技中国区“40 余种核心云服务产品免费试用“")