IAM

身份識別與訪問管理(簡稱大4A)

IAM(Identity and Access Management 的縮寫),即“身份識別與訪問管理”,具有單點登錄、強大的認證管理、基於策略的集中式授權和審計、動態授權、企業可管理性等功能。

IAM的定義


網路安全專有名詞,Identity and Access Management 的縮寫,即“身份識別與訪問管理”。
IAM是一套全面的建立和維護數字身份,並提供有效地、安全地IT資源訪問的業務流程和管理手段,從而實現組織信息資產統一的身份認證、授權和身份數據集中管理與審計。
身份和訪問管理是一套業務處理流程,也是一個用於創建和維護和使用數字身份的支持基礎結構。
通俗地講:IAM是讓合適的自然人在恰當的時間通過統一的方式訪問授權的信息資產,提供集中式的數字身份管理、認證、授權、審計的模式和平台。

IAM 功能


IAM 為您提供以下功能:
對您 AWS 賬戶的共享訪問許可權
您可以向其他人員授予管理和使用您 AWS 賬戶中的資源的許可權,而不必共享您的密碼或訪問密鑰。

精細許可權

您可以針對不同資源向不同人員授予不同許可權。例如,您可以允許某些用戶完全訪問 Amazon Elastic Compute Cloud (Amazon EC2)、Amazon Simple Storage Service (Amazon S3)、Amazon DynamoDB、Amazon Redshift 和其他 AWS 服務。對於另一些用戶,您可以允許僅針對某些 S3 存儲桶的只讀訪問許可權,或是僅管理某些 EC2 實例的許可權,或是訪問您的賬單信息但無法訪問任何其他內容的許可權。
對 AWS 資源的安全訪問許可權
您可以使用 IAM 功能安全地為 EC2 實例上運行的應用程序提供憑證。這些憑證為您的應用程序提供許可權以訪問其他 AWS 資源。示例包括 S3 存儲桶和 DynamoDB 表。

多重驗證

您可以向您的賬戶和各個用戶添加雙重身份驗證以實現更高安全性。藉助 MFA,您或您的用戶不僅必須提供使用賬戶所需的密碼或訪問密鑰,還必須提供來自經過特殊配置的設備的代碼。
聯合身份
您可以允許已在其他位置(例如,在您的企業網路中或通過 Internet 身份提供商)獲得密碼的用戶獲取對您 AWS 賬戶的臨時訪問許可權。
實現保證的身份信息
如果您使用AWS CloudTrail,則會收到日誌記錄,其中包括有關對您賬戶中的資源進行請求的人員的信息。這些信息基於 IAM 身份。

合規性

IAM 支持由商家或服務提供商處理、存儲和傳輸信用卡數據,而且已經驗證符合支付卡行業 (PCI) 數據安全標準 (DSS)。有關 PCI DSS 的更多信息,包括如何請求 AWS PCI Compliance Package 的副本,請參閱PCI DSS 第 1 級。
已與很多 AWS 服務集成
有關使用 IAM 的 AWS 服務的列表,請參閱使用 IAM 的 AWS 服務。

最終一致性

與許多其他 AWS 服務一樣,IAM 具有最終一致性。IAM 通過在 Amazon 的全球數據中心中的多個伺服器之間複製數據來實現高可用性。如果成功請求更改某些數據,則更改會提交並安全存儲。不過,更改必須跨 IAM 複製,這需要時間。此類更改包括創建或更新用戶、組、角色或策略。在應用程序的關鍵、高可用性代碼路徑中,我們不建議進行此類 IAM 更改。而應在不常運行的、單獨的初始化或設置常式中進行 IAM 更改。另外,在生產工作流程依賴這些更改之前,請務必驗證更改已傳播。有關更多信息,請參閱我所做的更改並非始終立即可見。

免費使用

AWS Identity and Access Management (IAM) 和 AWS Security Token Service (AWS STS) 是為您的 AWS 賬戶提供的功能,不另行收費。僅當您使用 IAM 用戶或 AWS STS 臨時安全憑證訪問其他 AWS 服務時,才會向您收取費用。有關其他 AWS 產品的定價信息,請參閱Amazon Web Services 定價頁面。

關鍵功能


單點登錄 SSO
通過對跨多種不同Web 應用程序、門戶和安全域的無縫訪問允許單點登錄,還支持對企業應用程序(例如,SAP、Siebel、PeopleSoft 以及Oracle應用程序)的無縫訪問。
強大的認證管理
提供了統一的認證策略,確保Internet 和區域網應用程序中的安全級別都正確。這確保高安全級別的應用程序可受到更強的認證方法保護,而低安全級別應用程序可以只用較簡單的用戶名/密碼方法保護。為許多認證系統(包括密碼、令牌、X.509 證書、智能卡、定製表單和生物識別)及多種認證方法組合提供了訪問管理支持。
集中式授權和審計
將一個企業Web 應用程序中的客戶、合作夥伴和員工的訪問管理都集起來。因此,不需要冗餘、特定於應用程序的安全邏輯。可以按用戶屬性、角色、組和動態組對訪問權進行限制,並按位置和時間確定訪問權。授權可以在文件、頁面或對象級別上進行。此外,受控制的“模擬”(在此情形中,諸如客戶服務代表的某個授權用戶,可以訪問其他用戶可以訪問的資源)也由策略定義。
動態授權
從不同本地或外部源(包括Web服務和資料庫)實時觸發評估數據的安全策略,從而確定進行訪問授權或拒絕訪問。通過環境相關的評估,可獲得更加細化的授權。例如,限制滿足特定條件(最小帳戶餘額)的客戶對特定應用程序(特定銀行服務)的訪問權。授權策略還可以與外部系統(例如,基於風險的安全系統)結合應用。
企業可管理性
提供了企業級系統管理工具,使安全人員可以更有效地監控、管理和維護多種環境(包括管理開發、測試和生產環境)。

與4A的關係


IAM原為北京普安思科技有限公司(PAS)的一款統一賬號管理與訪問控制系統,后經中國移動交流,在原有3A(認證、授權、審計)安全模型上加入了 賬號管理,形成了4A解決方案。目前國內少數幾家有實力實施4A解決方案(IAM)的廠家為神州泰岳亞信、普安思科技、億陽信通。