核心服务
身份认证管理-IAM
- 什么是IAM(identity and Access Management)?
IAM是一种WEB服务,可安全的控制用户,控制哪些人可以用哪种方式访问AWS哪些资源。
也可以使用IAM来调用用户的IP进行开发,IAM和AWS的服务集成在一起使用的,可以提供身份认证完成授权来达到权限控制的目的。
- 功能与特点(function&Feature)
1.账户内共享访问权限:授予其他人管理和使用你的AWS账户资源权限而无需共享密码或者访问密钥。
2.细化权限:可以根据需要为每个用户的职责授予所需的不同权限。
3.对在EC2上运行的应用程序的AWS资源的安全访问:IAM可以帮助提供再EC2实例上运行的应用程序访问其他AWS资源所需的临时凭证。
4.多重验证(MFA multi-factor authentication)
可以向你的账户和各个用户添加的双重身份验证以实现更高安全性,借助MFA,你或者你的用户不仅必须提供使用账户密码或者访问密钥,还需要来自经过特殊配置的设别的代码。
5.联合身份
IAM允许用户通过提供临时凭证,(例如自己公司的旺火过着Google等身份验证)访问AWS资源,而 无需用户拥有AWS账户。
6.安全的身份信息:cloudtrail 可以用于接受日志记录,其中包含有关账户中提出资源请求的人员信息。
7.PCI DSS合规性:IAM支持由商家或者服务商处理,存储和传输信用卡数据,而且已经验证符合支付卡行业(PCI)数据安全标准(DSS)
8.与AWS服务集成:IAM与大部分的AWS服务集成,,以提供为其他的AWS服务提供身份验证与授权服务。
9.最终一致性:与许多其他的AWS服务一样,IAM 通过在亚马逊全球数据中心内的多个服务器之间复制数据,最终保持一致并实现高可用性。对IAM所做的更改最终会保持一致,因此需要一些时间来反映。
10.免费试用:IAM免费提供,比如你咋其他资源上使用IAM控制权限,所收取的费用只是收取其他资源的费用。
11.安全令牌服务(security token service):IAM提供STS,这是AWS账户的附带功能,免费提供,AWS进队使用STS临时安全凭证访问的其他AWS服务收费。
- 基本概念(basic concept)
用户:IAM用户时在aws中创建的实体,使用用户名和密码可以控制登录aws控制台。
组:是IAM用户的集合,可以给用户加入到组,并为组指定权限,从而使其更易于管理。
角色:IAM角色类似于用户,但不是用户,因为不能用来登录。一般被赋予某个资源,使它临时具备某些权限,角色在账户内是部分区域的,并且角色比起使用用户密钥来说更加安全也更容易管理。可以在任何时候将角色赋予EC2实例,并且不需要重启而能够马上生效。
策略与权限:策略与权限允许你定义谁可以访问什么资源,通过策略文档描述具体的权限设置,策略描述的文件为JSON。
- 身份验证(Authentication)
AWS CLI:命令行模式 SDKs:可以调用AWS的IP console :控制台--从安全角度上建议删除根用户密钥,
- 授权(Authorization)
策略可以指定给角色,用户和组。
- 最佳实践(the best practice)
-
删除根用户的访问密钥(access key)
-
为特权用户启用多重身份验证(MFA)
-
授予最少特权
-
使用组为IAM用户分配权限
-
配置密码策略
-
使用角色(role)委派权限
-
设置定期修改密码
-
删除不必要的用户和授权
-
使用策略条件配置额外的安全规则
-
监控AWS账户中活动
弹性云计算EC2-elastic compute cloud
- 什么是EC2?
Amazon EC2是一种Web服务,向用户提供虚拟化服务器(虚拟计算环境),被称为实例。允许用户通过配置自动按需调整计算容量,例如 实例数量,CPU数量,内存带线啊哦,存储大小及网络性能进行弹性缩放。
elastic 是指如果配置正确,可以根据业务需求自动增加或者减少所需的服务器数量,compute 是指计算服务器资源,cloud指的是云托管。
- EC2价格模型
- EC2实例类型
- EC2的启动过程