服务
关于
CloudProse博客
安全和IAM

使用角色保护您的环境:第2部分

乔什·冯·绍姆堡精选
乔什·冯·绍姆堡 | 2016年2月15日

2016年2月15日星期一

在我们的 第1部分帖子 ,我们概述了AWS最强大,最灵活的安全功能之一-角色。可能需要一些时间和经验才能完全专注于角色的各种功能。在 Part 1,我们回顾了一个角色用例,其中要求控制台用户承担访问生产环境的角色;我们已经为一些更加注重安全性的客户实施了此功能,以实现我们在 Part 1。在第2部分中,我们将回顾跨帐户角色以及一些不同的用例。最后,在本系列有关角色的第3部分中,我们将简要回顾SAML提供者的角色,然后深入研究EC2角色的好处,并概述实现以及EC2角色如何使我们的客户安全受益。的环境。

跨帐户角色

简而言之,跨账户角色允许一个AWS账户中的用户承担另一个AWS账户中的角色。该AWS功能背后的两个最广泛的用例是:希望将环境划分为不同账户的组织,以及MSP和AWS的咨询合作伙伴(例如Trek10)访问客户账户。

一个企业,多个AWS账户

一些客户选择将其AWS基础设施拆分为不同的账户。例如,企业可能具有用于生产,暂存,开发,共享服务等的单独的AWS账户。按部门或子公司划分账户也是很常见的。分离AWS账户有一些不同的优势和用例。它允许非常简单和可见的计费(尽管标记可以做到这一点,但这并不能涵盖所有成本和服务;将帐户分开可以使这一过程变得更加简单)。

这也使企业可以非常轻松地保护对某些类型资源的访问,例如生产中的资源。如果所有环境都在一个AWS账户中(甚至在单独的VPC中),则没有简单的方法来拒绝某些IAM用户访问生产资源。例如,假设您希望允许开发人员在开发VPC中启动和终止新的EC2实例,但拒绝对生产VPC的所有访问。只有一个AWS账户,这变得非常困难。您始终可以使用基于资源的标记,但这要复杂得多且耗时(如 这个帖子 ),并且对于某些服务和API根本不起作用。因此,假设您决定创建一个完全独立的AWS帐户进行生产。现在,您可以真正保护整个环境。您可以要求用户仅通过称为“ prod-role”的跨帐户角色访问该帐户。

为了说明跨帐户角色,我在下面画了一张图:

  • 每个云代表一个单独的AWS账户,该账户名称在绿色框中。
  • 共享帐户是所有IAM用户所在的单独的AWS帐户。在根据工作要求承担环境要求的角色之前,每个用户将首先登录此AWS账户。
  • 请注意,此共享的AWS账户甚至不需要任何AWS基础架构。它可能只是一个用于计费的帐户(例如,它是其下三个帐户的上级帐户,所有帐单都通过该帐户流动)。
  • 图中的IAM实体突出显示
    • 黄色高亮显示是实际的IAM用户,带有密码-每个ID与1个人关联。 John.Doe是组织的开发人员,Jane.Doe是组织的管理员(即可以访问所有资源的管理员)。
    • 蓝色突出显示是所有IAM用户承担的角色。角色没有密码。将创建跨账户角色,并使用共享账户配置信任关系,该共享账户允许共享账户中的IAM用户承担角色,以切换到其他AWS账户,并承担通过IAM策略赋予角色的权限。

使用跨帐户角色,可以为共享帐户中的任何ID赋予适当的权限,以在其中一个受信任帐户中扮演角色。通常,组织将使开发人员可以访问预生产环境,而管理员有权在所有环境(包括生产)中担当角色。假定该角色的用户仅具有该角色的权限,该权限可以是对该帐户的完全管理员访问权限,也可以是只读或其他一些受限策略。

使用跨帐户角色还使执行MFA变得非常简单,因为有一个简单的复选框(请参见屏幕截图)要求MFA才能承担跨帐户角色。这不是在不使用角色的情况下通过单个AWS环境中的复选框轻松配置的内容。此外,我们的客户拥有单独的生产帐户,他们想知道何时访问他们的生产帐户。对于跨帐户角色,这变得非常简单,因为我们可以基于假设任何“生产角色”​​访问生产环境的用户的CloudTrail日志来触发票证,而不是审核对任何生产基础架构的访问。然后,您可以将此角色作为进入生产环境的唯一路径,并且只要通过该角色,就会收到通知。

AWS MSP和咨询合作伙伴

AWS的高级MSP和咨询合作伙伴Trek10使用跨帐户角色来访问所有客户帐户。这的主要好处是允许我们的团队在客户环境中担任角色,这意味着Trek10员工仅需要管理一个AWS ID,而无需管理我们每个客户环境中的ID。除了要求MFA在Trek10 IAM ID中在客户帐户中扮演任何角色外,这还大大减少了我们每个客户帐户的攻击面。无需在每个客户环境中创建和保护IAM ID,我们只需要保护内部IAM环境就可以保护我们对客户帐户的访问不受攻击者的侵害。这还具有提高生产率的好处;无需全天注销并使用MFA代码登录并返回到每个客户环境,我们只需要切换角色即可,而无需重新认证。

有疑问/意见吗?寻找安全审核?请随时与我们联系 [email protected].

作者
乔什·冯·绍姆堡精选
乔什·冯·绍姆堡