3个小技巧,让您的亚马逊云科技分析服务更安全、更易用

## 视频 <video src="https://dev-media.amazoncloud.cn/30-LibaiGenerate/31-LiBaiRebrandingVideo/SEC245-Simplify_and_improve_access_control_for_your_AWS_analytics_services-LBrebrandingWCaptionCN.mp4" class="bytemdVideo" controls="controls"></video> ## 导读 随着组织采用新的亚马逊云科技服务,最终用户需要更多地访问跨全系列亚马逊云科技分析服务的数据,以提取价值和见解。数据最终用户已经习惯于无缝地对他们的亚马逊云科技应用程序进行身份验证,云管理员希望对数据具有更细粒度的基于用户的访问控制。加入这个会议,了解如何使用新的Amazon IAM Identity Center功能(称为可信身份传播)以及支持的亚马逊云科技分析服务来简化和改进访问控制。还要了解如何审计跨互联亚马逊云科技托管应用程序的基于用户和组的访问活动,以便您能够更好地遵守法规和主权要求。 ## 演讲精华 <font color = "grey">以下是小编为您整理的本次演讲的精华，共1100字，阅读时间大约是6分钟。如果您想进一步了解演讲内容或者观看演讲全文，请观看演讲完整视频或者下面的演讲原文。</font> [Amazon Redshift](https://aws.amazon.com/cn/redshift/?trk=cndc-detail)产品管理资深经理De Panda介绍了他和其他演讲者：亚马逊云科技IAM身份中心的首席产品经理Ron Cully以及亚马逊QuickSight的产品经理Camille Taylor。De通过阐述亚马逊云科技如何通过各种服务（如Redshift、QuickSight、Athena和EMR）真正实现对数据和分析的普及，开启了他的演讲。这种访问的爆炸性增长带来了客户在管理现在需要访问的数百或数千名业务用户的许可方面的挑战。例如，De回忆了20年前作为Oracle DBA的早期日子，当时只有少数权力用户可以访问数据仓库和分析平台。但现在，企业有许多不同类型的用户，如市场营销分析师、财务分析师等，他们需要访问数据来完成任务。作为数据库管理员或数据管理员，授予正确用户的正确访问权限变得至关重要且复杂。传统的数据库使用本地用户帐户并通过IAM角色与身份提供者（IdPs）集成。这可能会使权限管理变得困难，也会使审计谁访问了哪些数据变得困难。由于有这么多用户，数据库管理员不想为每个人创建独立的数据库用户。相反，他们将单点登录系统与Redshift和QuickSight等分析平台集成，并使用IAM角色基于身份提供者组和用户授予访问权限。然而，这就是挑战所在。De分享了客户报告的一些常见问题：- 不同的用户身份泛滥，如本地DB用户、QuickSight用户和IAM角色。这导致了忘记密码和繁琐的密码重置。- 像数据工程师或部门管理员这样的强大用户比个别分析师需要更多的数据访问。使用亚马逊云科技，承担IAM角色会根据特定数据授予临时访问权限，但在看到所有数据之间切换角色是繁琐的。- 数据库管理员定义数据库角色并将其映射到IdP组和用户。但由于有太多的组合，这种复杂的映射可能会导致访问问题。- 对于审计，记录的是实际的IAM角色，而不是用户身份。这打破了端到端的审计轨迹。 客户期望能够基于他们的用户身份无缝地单点登录访问各种工具的数据。例如，无论是Jane用户使用QuickSight仪表板、Redshift查询还是其他任何分析工具，她都应该具有相同的数据访问权限。为了应对这些挑战，亚马逊云科技推出了一项名为Trusteed Identity Propagation的强大新功能。该功能集中管理QuickSight、Redshift、Lake Formation、Athena、EMR和S3等服务之间的身份管理。具体来说，它实现了从QuickSight到Redshift和其他数据源的单点登录。根据来自身份提供者（IdP）的用户身份和组成员资格可以强制执行权限。在服务之间传递用户身份，以便您获得端到端的审计 - CloudTrail将记录每个操作的用户身份。这简化了认证、授权和审计，同时提供了无缝的单点登录体验。 随后，IAM身份中心的Ron Cully背景介绍了身份中心如何实现这种可信任的身份传播。他解释了IAM用户和角色的演变过程，以及通过联合使用身份提供者。身份中心于2017年推出，为Active Directory用户提供了一种更好的管理帐户访问的方法。它可以创建作为目标账户中的角色的许可集，从而自动部署。这大大减轻了手动角色配置的负担。随着时间的推移，支持扩展到了除了Active Directory之外的其他身份提供者，如Azure AD和Okta。身份中心同步用户并作为亚马逊云科技的应用程序目录。 Ron解释了通过使用身份中心集中身份管理的好处：只需要管理一个联邦证书，而不是每个帐户的几百个；用户/组同步的唯一来源，而不是每个应用的单独同步；进入亚马逊云科技的单点验证，以确保安全和标准；跨应用程序的一致身份信息促进了协作；通过将组链接到资源简化了访问管理；通过将访问直接与用户和组关联改善审计。 Ron指出，现在已有20多种亚马逊云服务已经与身份中心集成，以进行身份验证、授权和用户目录功能。 凯米勒·泰勒随后展示了一个演示，阐述了Identity Center如何与受信任的身份传播协同工作，以在QuickSight和Redshift之间实现无缝的身份验证和传播。用户简使用她的Identity Center凭证登录到QuickSight，并创建一个连接到Redshift的数据源。作为她的组成员，她可以访问Redshift中的特定销售数据。简创建了一个QuickSight仪表板，并与保罗所属的另一组共享。保罗只能看到他有权访问的Redshift数据，展示了正在执行的端到端权限控制。演示展示了行级Redshift安全策略如何限制不同组之间的数据访问，由于集成的Identity Center身份验证，这可以在不中断的情况下在QuickSight中传播。另一个例子是，以Identity Center的凭据登录的伊桑只能在他能访问的表中查询，对其他表的查询将被拒绝。罗恩详细介绍了幕后技术的受信任的身份传播的工作原理。利用OAUTH标准，用户身份和上下文通过令牌在应用程序之间安全地传递。对于使用SIG4签名的服务，增强功能允许将用户身份注入到IAM角色中。这使得身份意识的应用程序可以根据用户和组授权，同时仍然与非增强的SIG4服务兼容。CloudTrail现在可以将用户身份提取出来，并将其与在所有服务中执行的操作一起记录。这提供了完整的审计轨迹, 而无需考虑认证协议。强调了即将进行的集成，如Redshift Spectrum访问Lake Formation中的数据，以及通过Identity Center进行身份验证的外部应用程序。用户身份将在所有层之间实现无缝传输。凯米勒总结说，本周推出的六大分析服务（包括[Amazon QuickSight](https://aws.amazon.com/cn/quicksight/?trk=cndc-detail)、[Amazon Redshift](https://aws.amazon.com/cn/redshift/?trk=cndc-detail)、亚马逊云科技Lake Formation、[Amazon EMR](https://aws.amazon.com/cn/emr/?trk=cndc-detail)、[Amazon Athena](https: //aws.amazon.com/cn/athena/?trk=cndc-detail)和[Amazon S3](https://aws.amazon.com/cn/s3/?trk=cndc-detail)访问权授予）都集成了Identity Center。受信任的身份传播是这些Amazon云科技分析服务的简化访问控制和审计的关键使能器。客户可以利用基于用户身份的简化数据访问控制来改善其数据平台的安全性和可访问性。该视频全面概述了这些新的身份管理功能，将帮助客户改进Amazon云科技中分析工作负载的安全性、访问控制和审计。 **下面是一些演讲现场的精彩瞬间：** 在亚马逊云科技的Redshift中，由于身份和用户的扩散，可能被遗忘的密码和访问问题可能会影响到分析工作流程。  该演讲探讨了在亚马逊云科技的各种服务和身份提供者之间管理访问控制的挑战。  近日，领导团队推出了一项名为Trusteed Identity Propagation的新功能，允许用户在亚马逊云科技的服务之间安全地传播用户身份。  领导团队强调了亚马逊云科技Identity Center的灵活性，既可以为单个应用程序，也可以同时为多个应用程序和帐户权限进行部署。  此外，领导团队还讨论了将应用程序连接到身份提供者和亚马逊云科技Identity Center的常见部署模式。  如今，亚马逊云科技已经在各个服务之间实现了可信身份的跨服务传播，以支持更多新的使用场景。  ## 总结 该视频探讨了亚马逊云计算技术如何利用亚马逊云计算技术身份中心的可靠身份传播来简化和改进对分析服务的访问控制。演讲者解释道，在此之前，如Redshift、EMR、Quicksight等亚马逊云计算技术分析服务之间的访问控制管理是非常具有挑战性的——用户需要管理多个身份、密码并承担IAM角色。由于用户身份没有在这些服务之间传播，因此审计也非常困难。 借助可靠身份传播，用户现在可以凭借其身份提供者凭据无缝地访问亚马逊云计算技术分析服务。他们的用户身份将在这些服务之间传播，实现一致的访问控制和审计。所支持的关键功能包括：使用身份提供者凭据单点登录访问Redshift、Quicksight、EMR Studio等服务。根据用户身份和组成员资格强制实施访问权限。在Redshift、Lake Formation、S3等服务之间传播用户身份，实现端到端的审计。 总之，可靠身份传播简化了对使用多个亚马逊云计算技术分析服务的组织的访问控制并提高了安全性。客户不再需要管理多个身份，并且可以利用他们现有的身份提供者来实现统一的访问控制。 ## 演讲原文 ## 想了解更多精彩完整内容吗？立即访问re:Invent 官网中文网站！ [2023亚马逊云科技re:Invent全球大会 - 官方网站](https://webinar.amazoncloud.cn/reInvent2023/?s=8739&smid=19458 "2023亚马逊云科技re:Invent全球大会 - 官方网站") [点击此处](https://aws.amazon.com/cn/new/?trk=6dd7cc20-6afa-4abf-9359-2d6976ff9600&trk=cndc-detail "点击此处")，一键获取亚马逊云科技全球最新产品/服务资讯！ [点击此处](https://www.amazonaws.cn/new/?trk=2ab098aa-0793-48b1-85e6-a9d261bd8cd4&trk=cndc-detail "点击此处")，一键获取亚马逊云科技中国区最新产品/服务资讯！ ## 即刻注册亚马逊云科技账户，开启云端之旅！ [【免费】亚马逊云科技“100 余种核心云服务产品免费试用”](https://aws.amazon.com/cn/campaigns/freecenter/?trk=f079813d-3a13-4a50-b67b-e31d930f36a4&sc_channel=el&trk=cndc-detail "【免费】亚马逊云科技“100 余种核心云服务产品免费试用“") [【免费】亚马逊云科技中国区“40 余种核心云服务产品免费试用”](https://www.amazonaws.cn/campaign/CloudService/?trk=2cdb6245-f491-42bc-b931-c1693fe92be1&sc_channel=el&trk=cndc-detail "【免费】亚马逊云科技中国区“40 余种核心云服务产品免费试用“")