35、AWS身份与访问管理及安全监控：全面解析与操作指南

AWS身份与访问管理及安全监控：全面解析与操作指南

在当今数字化时代，云服务的安全与管理至关重要。AWS（Amazon Web Services）提供了一系列强大的工具和功能，用于身份与访问管理（IAM）以及安全监控。本文将深入探讨这些关键领域，包括内联策略、权限边界、角色、实例配置文件、服务级保护以及各种检测控制措施，并提供详细的操作步骤和示例。

1. 内联策略与权限边界

内联策略是嵌入在IAM主体或组中的一组权限。与独立于任何主体存在的AWS和客户管理的策略不同，内联策略是主体本身的一部分。当你希望确保策略不会意外附加到错误的主体时，内联策略非常有用。

权限边界允许你限制IAM主体可以被分配的最大权限。这可以防止你因意外附加错误的权限策略而不小心给用户过多的权限。你可以通过选择一个定义主体最大权限的托管策略来为主体设置权限边界。

例如，创建一个允许对EC2服务执行所有操作的策略：

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ec2:*"
            ],
            "Resource": "*"
        }
    ]
}

如果你将 AdministratorAccess 策略（授予对所有AWS服务的完全访问权限）附加到用户，但由于权限边界策略的限制，用户仍然只能执行EC2服务中的操作。

下面是创建具有受限管理权限的IAM用户的操作步骤：
1. 创建一个名为 LimitedAdminPolicyBoundary 的客户管理策略，策略文档内容如下：

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "ec2:*",
            "Resource": "*"
        }
    ]
}

2. 创建一个你选择的名称的IAM用户，例如 LimitedAdmin 。
3. 在IAM控制台中，点击“用户”选项，然后点击你创建的用户名。
4. 在“权限边界”下，点击“设置边界”按钮。
5. 选择 LimitedAdminPolicyBoundary 选项，然后点击“设置边界”按钮。
6. 在“权限策略”下，点击“添加权限”。
7. 点击“直接附加现有策略”按钮。
8. 选择 AdministratorAccess 策略，然后点击“下一步：审核”按钮。
9. 点击“添加权限”按钮。

2. 角色与实例配置文件

角色是没有密码或访问密钥的IAM主体。与其他IAM主体一样，角色可以关联权限策略和权限边界。IAM用户或AWS资源可以承担角色并继承与该角色关联的权限。

角色对于允许在EC2实例上运行的应用程序在不使用访问密钥的情况下访问AWS资源特别有用。例如，如果你运行的应用程序需要访问DynamoDB，可以创建一个包含授予对DynamoDB适当访问权限的权限策略的角色：

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "dynamodb:CreateTable",
                "dynamodb:PutItem",
                "dynamodb:ListTables",
                "dynamodb:DescribeTable",
                "dynamodb:DeleteItem",
                "dynamodb:GetItem",
                "dynamodb:Query",
                "dynamodb:UpdateItem",
                "dynamodb:UpdateTable"
            ],
            "Resource": "*"
        }
    ]
}

角色还包含一个信任策略，用于指定哪些AWS资源可以承担该角色。例如，如果应用程序在EC2实例上运行，信任策略必须授予EC2承担该角色的权限：

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "ec2.amazonaws.com"
            },
            "Action": "sts:AssumeRole"
        }
    ]
}

当你创建一个允许EC2承担的角色时，IAM会自动创建一个与该角色同名的实例配置文件。你可以将该实例配置文件与EC2实例关联，从而授予实例承担该角色的权限。

要查看与角色关联的实例配置文件，可以使用AWS CLI命令：

aws iam list-instance-profiles-for-role --role-name MyAppRole

通过将实例与实例配置文件关联，实例可以使用安全令牌服务获取临时凭证（访问密钥、秘密密钥和会话令牌）。这些临时凭证会存储在实例元数据中，并大约每六小时更新一次。你可以在实例内部通过以下URL查看临时凭证：

http://169.254.169.254/latest/meta-data/iam/security-credentials/MyAppRole

需要注意的是，这些凭证以明文形式显示，因此要非常小心避免泄露。恶意用户或恶意软件可能会利用这些凭证获得未经授权的访问权限。

3. 承担角色

你可以创建一个角色，并允许任何IAM用户承担该角色。承担角色的IAM用户可以与角色在同一个账户中，也可以在不同的账户中。当你承担一个角色时，你只拥有该角色授予的权限，而你登录时所使用的IAM用户的权限不会添加到你承担的角色的权限中。

以下是创建并承担角色的操作步骤：
1. 以管理员IAM用户身份登录，在IAM控制台左侧菜单中点击“角色”，然后点击“创建角色”按钮。
2. 在“选择受信任的实体类型”下，点击“另一个AWS账户”按钮。
3. 在“账户ID”中输入你的AWS账户号码，点击“下一步：权限”按钮。
4. 选择 AmazonEC2ReadOnlyAccess AWS托管策略，点击“下一步：标签”按钮。
5. 点击“下一步：审核”按钮。
6. 为角色输入一个名称，例如 EC2ReadOnlyRole 。
7. 点击“创建角色”按钮。
8. 在AWS管理控制台顶部的导航栏中，点击你的IAM账户名称，会出现一个下拉菜单。
9. 点击下拉菜单中的“切换角色”链接。
10. 点击“切换角色”按钮。
11. 输入你的12位AWS账户号码或别名以及你在步骤6中创建的角色名称。
12. 点击“切换角色”按钮。角色名称将显示在顶部导航栏中，你现在将以该角色的权限进行操作。
13. 尝试启动一个EC2实例，由于承担的角色没有 RunInstances 权限，操作将失败。
14. 要切换回你的IAM用户，点击右上角显示角色名称和AWS账户号码的菜单，然后点击“返回[你的IAM用户名]”链接。

4. 服务级保护

除了定义基于身份的IAM策略来控制对资源的访问外，一些AWS服务还允许你定义基于资源的策略。例如，S3提供可选的存储桶策略来控制对对象或整个存储桶的访问；密钥管理服务（KMS）要求你定义密钥策略来指定密钥的管理员和用户；SNS主题有资源策略来控制谁可以发布消息或订阅主题，以及他们可以使用哪些传递协议；简单队列服务（SQS）队列也使用基于资源的SQS访问策略来控制谁可以发送和接收消息。

没有AWS凭证的用户往往会使用提供基于资源策略的AWS服务。基于资源的策略提供了仅靠基于身份的策略无法实现的控制。在创建基于资源的策略时，同样应遵循最小权限原则。

5. 检测控制

AWS提供了许多检测控制措施，可以记录AWS环境中发生的事件，并在发生安全事件或潜在威胁时发出警报。

5.1 CloudTrail

CloudTrail可以记录你的AWS账户上的活动。在配置CloudTrail之前，你需要决定日志记录的范围，包括是否记录以下内容：
- 管理事件、数据事件或两者
- 只读事件、只写事件或两者
- 所有资源或仅特定资源
- 所有区域或仅特定区域
- 全局服务

你还需要决定创建多少个跟踪。例如，你可以为只读事件创建一个跟踪，为只写事件创建另一个跟踪，或者为每个区域创建一个单独的跟踪。

CloudTrail将日志存储在S3中，因此你需要设置存储桶策略来控制谁可以读取和删除这些日志。为了增加安全性，在创建跟踪时，启用SSE-KMS加密和日志文件完整性验证。你还可以选择在CloudTrail将日志文件传递到S3存储桶时生成简单通知服务（SNS）通知。需要注意的是，事件发生到CloudTrail创建包含该事件的日志文件之间可能需要长达15分钟的时间。

5.2 CloudWatch Logs

CloudWatch Logs可以聚合来自多个源的日志，方便存储和搜索。CloudWatch可以从各种AWS服务中摄取的日志包括：
- CloudTrail日志：为了方便搜索和查看CloudTrail日志，可以将其流式传输到CloudWatch Logs。
- VPC流日志：包含有关进出VPC的流量信息，不包括DHCP流量或到Amazon DNS服务器的流量。
- RDS日志：RDS可以流式传输数据库引擎的日志，包括MariaDB、MySQL、与MySQL兼容的Aurora和Oracle。
- Route 53 DNS查询：你可以配置Route 53记录托管区域的DNS查询，并将其流式传输到CloudWatch Logs。
- Lambda：你可以在Lambda代码中添加日志记录语句，Lambda会自动将这些日志事件流式传输到以函数名称派生的日志组中。

以下是配置VPC流日志以将流量日志发送到CloudWatch Logs日志组的操作步骤：
1. 在VPC控制台中，选择你要记录流量的VPC，点击“流日志”选项卡。
2. 点击“创建流日志”按钮。
3. 在“目标日志组”字段中，输入你选择的名称，例如 FlowLogs 。
4. 你需要指定一个角色，AWS可以为你创建该角色。点击“设置权限”链接。
5. 会打开一个新的浏览器标签，点击“允许”按钮，AWS将创建一个名为 FlowlogsRole 的角色。
6. 返回带有“创建流日志向导”的上一个标签，选择 FlowlogsRole 。
7. 点击“创建”按钮。
日志开始流入新的日志组可能需要长达10分钟的时间。

5.3 使用Athena搜索日志

AWS使用S3存储各种日志，包括CloudTrail日志、VPC流日志、DNS查询日志和S3服务器访问日志。Athena允许你使用结构化查询语言（SQL）搜索存储在S3中的数据。虽然你可以使用CloudWatch Logs存储和搜索日志，但无法格式化输出以仅显示特定数据。而Amazon Athena可以轻松实现这一点。

你需要使用 CREATE TABLE 数据定义语言（DDL）语句来定义数据的结构。AWS提供了用于创建存储应用程序负载均衡器日志、CloudTrail日志、CloudFront日志和VPC流日志的表的DDL语句。

Athena支持的数据源格式包括：
- 逗号分隔值（CSV）和制表符分隔值（TSV）
- JavaScript对象表示法（JSON），包括CloudTrail日志、VPC流日志和DNS查询日志
- Apache ORC和Parquet，用于处理大型数据集的Apache Hadoop的存储格式

5.4 使用AWS Config审核资源配置

除了监控事件外，你的整体安全策略还应包括监控AWS资源的配置状态。AWS Config可以在你的AWS账户中的资源配置发生更改时发出警报，还可以将资源配置与基线进行比较，并在配置偏离基线时发出警报，这对于验证你是否符合组织和监管要求非常有用。

你可以实施AWS Config规则来将资源配置与所需的基线进行比较。在繁忙的AWS环境中，配置更改频繁发生，确定哪些类型的更改需要进一步调查非常重要。AWS Config规则允许你定义异常或可疑的配置状态，以便你可以专注于分析并在必要时进行补救。

例如， ec2-volume-inuse-check 规则会查找未附加到任何实例的EBS卷。如果创建了一个EBS卷但未将其附加到实例，AWS Config将报告该卷为不符合规定。

AWS Config不仅可以提供资源的当前合规状态，还可以让你查看资源的配置时间线。你可以点击时间线中的任何框来查看触发配置更改的特定API事件、更改前后的配置详细信息以及任何关系更改。

通过合理使用这些工具和功能，你可以有效地管理AWS环境中的身份与访问权限，确保资源的安全性，并及时发现和处理潜在的安全问题。希望本文提供的信息和操作步骤对你有所帮助。

AWS身份与访问管理及安全监控：全面解析与操作指南

5. 检测控制（续）

5.4 使用AWS Config审核资源配置（续）

为了更直观地理解AWS Config的作用，我们来看一个简单的mermaid流程图：

graph LR
    A[资源配置更改] --> B{是否符合规则}
    B -- 是 --> C[合规状态正常]
    B -- 否 --> D[报告为非合规]
    D --> E[查看配置时间线]
    E --> F[分析API事件及配置详情]
    F --> G[采取补救措施]

从这个流程图可以清晰地看到，当资源配置发生更改时，AWS Config会首先检查是否符合设定的规则。如果符合，资源的合规状态正常；如果不符合，则会报告为非合规。此时，我们可以查看配置时间线，分析触发配置更改的API事件、更改前后的配置详情以及关系变化，进而采取相应的补救措施。

例如，对于 ec2-volume-inuse-check 规则，如果一个EBS卷从已附加到实例的状态变为未附加状态，AWS Config会检测到这种变化，并根据规则判断该卷为非合规。我们可以通过查看配置时间线，了解是哪个API操作导致了这种变化，如 DetachVolume 操作，从而更好地管理资源。

5.5 综合利用检测控制措施

在实际的AWS环境中，我们需要综合利用CloudTrail、CloudWatch Logs、Athena和AWS Config等检测控制工具，构建一个全面的安全监控体系。以下是一个简单的表格，展示了这些工具的特点和适用场景：
| 工具名称 | 特点 | 适用场景 |
| ---- | ---- | ---- |
| CloudTrail | 记录AWS账户活动，可设置不同的日志记录范围 | 监控整体的账户操作，追踪事件来源 |
| CloudWatch Logs | 聚合多源日志，方便存储和搜索 | 实时查看和分析特定服务的日志信息 |
| Athena | 使用SQL搜索S3中的日志数据，可格式化输出 | 深入挖掘日志数据，进行复杂的查询和分析 |
| AWS Config | 监控资源配置状态，与基线比较并发出警报 | 确保资源配置符合组织和监管要求，及时发现异常配置 |

通过合理配置和使用这些工具，我们可以实现对AWS环境的全方位监控。例如，我们可以使用CloudTrail记录所有的管理事件和数据事件，将这些日志存储在S3中。然后，使用CloudWatch Logs实时查看和分析特定服务的日志，如VPC流日志，以便及时发现网络异常。同时，利用Athena对存储在S3中的日志进行深入查询，获取更有价值的信息。最后，通过AWS Config监控资源配置，确保所有资源都处于合规状态。

6. 最佳实践总结

在使用AWS的身份与访问管理及安全监控功能时，我们需要遵循一些最佳实践，以确保资源的安全性和合规性。

6.1 最小权限原则

无论是基于身份的IAM策略还是基于资源的策略，都应该遵循最小权限原则。只授予用户或角色完成其工作所需的最少权限，避免过度授权。例如，在创建角色时，仔细评估角色所需的权限，只添加必要的权限策略。对于资源策略，如S3存储桶策略，精确控制对存储桶和对象的访问权限。

6.2 定期审查和更新策略

随着业务的发展和AWS环境的变化，权限策略和资源配置也需要不断调整。定期审查所有的IAM策略、资源策略和AWS Config规则，确保它们仍然符合当前的安全需求和业务要求。例如，当某个项目结束时，及时删除相关的角色和权限策略，避免不必要的权限残留。

6.3 加强日志管理

日志是发现安全问题和合规性问题的重要依据。合理配置CloudTrail、CloudWatch Logs等日志记录工具，确保记录足够的信息。同时，定期备份和存储日志，以便在需要时进行回顾和分析。利用Athena等工具对日志进行深入挖掘，及时发现潜在的安全威胁。

6.4 多因素认证（MFA）

启用多因素认证可以大大提高账户的安全性。对于所有的IAM用户，尤其是具有高权限的用户，建议启用MFA。这样，即使用户的密码泄露，攻击者也无法轻易登录账户。

7. 常见问题解答

在使用AWS身份与访问管理及安全监控功能的过程中，可能会遇到一些常见问题，以下是一些解答：

7.1 为什么我的角色权限没有生效？

• 检查角色的信任策略是否正确配置，确保允许正确的主体承担该角色。
• 确认权限策略是否正确附加到角色，并且权限策略中的操作和资源是否符合预期。
• 检查是否存在权限边界策略限制了角色的权限。

7.2 如何查看CloudTrail日志中的特定事件？

• 可以使用CloudWatch Logs的过滤器来搜索特定的事件。例如，使用过滤器模式 { $.eventName = "特定事件名称" } 来查找特定的事件。
• 也可以使用Athena对存储在S3中的CloudTrail日志进行SQL查询，以获取更精确的结果。

7.3 AWS Config规则是否可以自定义？

是的，除了AWS提供的托管规则外，你还可以创建自定义的AWS Config规则。自定义规则可以根据你的特定业务需求和安全要求来定义，以确保资源配置符合你的期望。

通过遵循上述最佳实践和解决常见问题，你可以更好地利用AWS的身份与访问管理及安全监控功能，保障AWS环境的安全和稳定运行。在不断变化的云环境中，持续学习和优化这些措施是确保资源安全的关键。希望本文能为你在AWS安全管理方面提供有价值的参考和指导。