亚马逊云科技:共建云上安全环境与权限管理
构建云上运行环境,安全是重中之重。亚马逊云科技采用了“责任共担模式”,邀您共同承担构建云上运行环境安全合规的责任。云上安全可二分为“云自身安全”和“云内部安全”。前者由亚马逊云科技负责,后者由您负责。您必须对云上资源进行必要和恰当的配置,使其具备一定的安全性,甚至达到更高的安全标准,从而履行安全责任。
亚马逊云科技提倡的完善架构的多账户云上环境包含六大支柱,其中权限管理是安全性支柱的重要内容之一。亚马逊云科技提供了一系列的服务、工具和方法帮助您有效管理权限:例如通过Amazon Organizations来集中监控和管理账户,通过Amazon IAM来管理账户内的各用户、角色和群组等等。
在多账户的组织层面建立权限防护机制,服务控制策略是其中不可或缺的一环。为弥补此块中国区域的服务差异,之前亚马逊云科技进行了许多有益的尝试,核心思想是利用权限边界,尽可能模拟服务控制政策对账户的权限约束。最新的丙方案(以下称“前方案”)有一些限制和不足之处:例如策略文件大小有限、不支持组织关系继承等。此外前方案在易用性和可视化简洁操作方面,和原生服务亦有一定差距。
适用服务控制策略
新建策略并适用
适用服务控制策略(以下简称“策略”)主要分两步,首先定义策略,其次绑定策略。登陆安全账户参数库控制台,新建标准敏感字串型参数,名称为/前缀/policy/名称,密钥源为alias/前缀/pbm,值为策略文档。注意参数库并不会检查策略语法,您可以在IAM控制台验证策略是否合规。您可以按照原生服务的策略内容进行定义。
定义好策略后,可以绑定并适用策略。登陆管理账户组织控制台,在组织结构中选择组织部门或者账户,选择标签页,新建标签,其键为策略参数名,其值为空,然后保存。
对于成员账户而言,适用策略内容包含账户标签中的所有策略,以及上溯至根的所有组织部门以及组织根标签的所有策略的并集。类似于用作拒绝列表的策略继承。注意,本方案暂不支持严格的用作允许列表的继承。我们在后面章节详细分析。
亚马逊云科技会对适用策略内容进行合并,根据语句标识去重,按策略大小限制创建数个客户托管策略,以便附加到IAM实体和设置权限边界。IAM实体现有的权限边界策略内容会被合并保留,仍然有效。
修改策略内容或删除策略
要修改策略内容,登陆安全账户参数库控制台,找到策略参数,选择编辑进行修改并保存。要删除策略,找到策略参数,选择删除进行删除。建议删除前先解绑该策略,即删除策略在组织结构里对应的所有标签。
增删改策略参数都会触发参数事件并被捕获。对于策略所涉组织部门和账户,都会更新适用策略。
修改或解除绑定策略
要修改绑定,登陆管理账户组织控制台,在组织部门或账户标签页删除并新建标签(因标签不支持修改键)。删除和新建标签可在一步完成。要解除绑定,在组织部门或账户标签页删除标签。
增删标签都会触发接口调用事件并被捕获。对所涉组织部门或账户,会更新适用策略。
在组织结构内移动账户
登陆管理账户组织控制台,选择一个账户,选择移动,选择目的组织部门然后移动账户。移动账户事件会被捕获,对该账户会根据新组织部门更新适用策略。
在账户内新建用户或角色
登陆成员账户IAM控制台,新建用户或者角色。新建事件会被捕获。如果新建IAM实体不在白名单列表中,则会根据所属账户及组织部门更新适用策略。
更新节点适用策略
亚马逊云科技用“节点”代指组织树形结构上的点,包括组织根,组织部门和账户。如果想对某节点的所有子账户,或者某账户更新策略,即重新适用最新策略,您可以在该节点新建或删除任意非策略标签,以触发主函数执行。
以上通过控制台可视化方式进行的操作,都可以通过亚马逊云科技命令行接口,软件开发包等其他方式达到相同的效果。
扫一扫
502
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
