我們的企業希望限制其生成身份和訪問管理策略時所花費的時間。對于這項任務,有什么工具可以幫助自動化完成嗎?
在公有云中記錄資源使用率對于滿足治理和法規遵從性至關重要。AWS日志可使管理員能夠記錄前搜索最終用戶的行為,以及受到影響資源的詳細信息。
AWS的各種工具都提供了安全日志記錄功能,包括Amazon CloudFront、Amazon CloudWatch、AWS Config和Amazon S3日志請求到存儲桶(storage buckets )。但大部分開發人員更喜歡使用AWS CloudTrail記錄AWS身份和訪問管理(IAM)活動。 雖然其他AWS IAM工具可以生成訪問策略,但它們有限制。
AWS CloudTrail記錄了所有的IAM和AWS Security Token 服務發出的API請求,其中包括來自基于Web身份提供商的一些未經身份驗證的請求。這使請求可以映射給聯合用戶。 CloudTrail還會將API請求記錄到其他本地服務——記錄最終用戶或AWS工具生成請的詳細信息。管理員可以快速確定某個請求是使用IAM憑據、聯合用戶或角色的臨時憑證,還是通過其他服務。此外,CloudTrail將登錄事件,包括成功和失敗的嘗試,都記錄到AWS管理控制臺、AWS Marketplace和論壇中。
第三方工具可以幫助自動化、簡化常見管理任務。例如,Chalice是一個開源的、基于Python的、無服務器的AWS微框架,它幫助企業創建和部署基于Amazon API Gateway和AWS Lambda的無服務器應用。微框架是高度可擴展的、易于管理員修改的,軟件組件集合。Chalice有一個命令行界面,開發人員可以使用它在AWS中創建、查看、部署和管理應用程序。
Chalice還自動創建IAM策略,允許應用程序輕松訪問AWS工具。 然而,Chalice需要高水平的云應用設計技能。實際上,開發人員可自動生成IAM策略,當使用chalice deploy命令進行包的部署時, 該命令行將部署包發送到無服務器的云環境中。這有助于確保適當的訪問策略管理,同時最大限度地減少設置策略所需的時間和精力,并使開發人員可以專注于其他任務。
第三方IAM工具產生的麻煩
第三方工具,如Skeddly旨在為云自動化。這類工具還為AWS權限生成IAM策略文檔,允許該工具與帳戶中的AWS資源進行交互。
這些AWS IAM工具只是示例, 雖然他們幫助企業實現了復雜的云目標,但與本地服務相比它們仍然具有局限性。首先,第三方工具通常缺乏靈活性。 策略是動態的實體,那么創建、測試和維護它將是個挑戰。與云提供商的本地IAM服務直接 協作,通常更方便、更可預測;與使用第三方AWS IAM工具自動創建策略相比,它們的測試所帶來的意外后果較少。
此外,第三方IAM工具必須適應公有云服務的演進。例如,每次AWS更新IAM API時,第三方供應商也必須相應地更新其工具。因此,第三方工具可能會落后于IAM開發,給企業IT團隊增加不確定性。
京公網安備 11010502049343號