Tham gia Đăng nhập
Điểm:1
spinkus avatar Server

Vai trò AWS IAM: Thực thể đáng tin cậy chính xác là gì?

lá cờ de
spinkus

Tôi có một vai trò được gắn với LaunchConfiguration cho phiên bản EC2, cung cấp cho phiên bản EC2 quyền riêng tư để thực hiện một số việc nhất định như thực hiện nhật ký Cloudwatch (ngữ cảnh không quan trọng đối với câu hỏi). Trong Cloudformation, Vai trò trông giống như:

    Nhập: 'AWS::IAM::Vai trò'
    Tính chất:
      Giả địnhRolePolicyDocument:
        Phiên bản: '2012-10-17'
        Bản tường trình:
        - Tác dụng: Cho phép
          Hiệu trưởng:
            Dịch vụ: 'ec2.amazonaws.com'
          Hành động: 'sts:AssumeRole'
      Chính sách:...

Nếu tôi xem Vai trò trong bảng điều khiển AWS, trong phần "Mối quan hệ tin cậy", nó báo "Các thực thể đáng tin cậy: (Các) nhà cung cấp danh tính ec2.amazonaws.com":

nhập mô tả hình ảnh ở đây

Tôi giả sử Cloudformation Giả sửRolePolicyDocument.Principal.Service ánh xạ tới "Thực thể đáng tin cậy" trong bảng điều khiển (ngoài ra, đây là một cách kỳ lạ để đặt tên cho mọi thứ, bởi vì tôi đã đọc "Hiệu trưởng" như có một ý nghĩa khác trong IAM, nhưng dù sao thì ...). Tôi đang căng não cố gắng ghép lại những gì đang diễn ra. Câu hỏi của tôi là:

  1. Chính xác thì "thực thể đáng tin cậy" IAM là gì?
  2. Nó là thực thể như thế nào 'ec2.amazonaws.com' "đảm nhận vai"? Khái niệm về dịch vụ 'ec2.amazonaws.com' giả sử cuộn chỉ không nhấp với tôi.
  3. thực thể theo nghĩa nào 'ec2.amazonaws.com' là "cung cấp danh tính"?
  4. Tôi có thể tìm thấy danh sách đầy đủ của những thực thể được gọi là đáng tin cậy này ở đâu?
2342
1 + 0
Điểm:2
Tim avatar Server
lá cờ gp
Tim
  1. Một thực thể đáng tin cậy là dịch vụ nào có thể đảm nhận bất kỳ vai trò nào. Nếu bạn biến EC2 thành thực thể đáng tin cậy thì bạn không thể đảm nhận vai trò sử dụng các quyền, lambda không thể đảm nhận vai trò đó, chỉ một phiên bản EC2. Hầu hết các dịch vụ trong AWS đều được cấp quyền bằng cách đảm nhận các vai trò. Nhiều dịch vụ có thể tự động định cấu hình điều này cho bạn, điều này phổ biến khi mọi người đang tìm hiểu AWS. Khi bạn đang làm việc trong môi trường an toàn, việc thiết lập vai trò và quyền trở nên khá quan trọng. Ví dụ: nếu bạn cấp cho EC2 một vai trò có quyền quản trị viên và ai đó xâm phạm phiên bản, thì họ thực sự có quyền quản trị đối với tài khoản AWS của bạn, đó là lý do bạn cấp ít quyền nhất cho tất cả các tài nguyên/vai trò.
  2. Khi định cấu hình một tài nguyên như phiên bản EC2 hoặc hàm Lambda (v.v.), bạn cho tài nguyên đó biết vai trò cần đảm nhận. Phiên bản EC2/chức năng/v.v. đó sau đó có các quyền được liên kết với vai trò.
  3. Điều này chỉ có nghĩa là một phiên bản EC2 được phép đảm nhận vai trò đó. Khi một phiên bản EC2 khởi động, nó xác định vai trò mà nó muốn đảm nhận. IAM xác thực vai trò được phép đảm nhận vai trò đó và phiên bản được phép bắt đầu.
  4. Có một danh sách các hiệu trưởng dịch vụ AWS đây. Khi bạn nhấn "tạo vai trò" trong bảng điều khiển, bạn sẽ nhận được một danh sách trong các thực thể đáng tin cậy. Khi tôi cần một cái để đưa vào CloudFormation của mình, tôi chỉ cần nhấp vào đó rồi sao chép và dán nó từ json.

AssumeRolePolicyDocument chỉ định ai có thể đảm nhận vai trò này. Tôi nghi ngờ rằng bạn có thể chỉ định nhiều thực thể có thể đảm nhận một vai trò, nhưng trên thực tế, tôi viết một vai trò cho từng dịch vụ.

Bạn có thể nghĩ về vai trò IAM tương tự như vai trò của mọi người. Vai trò "kiến trúc sư cho công ty XYZ" của tôi cho phép tôi vào văn phòng, đăng nhập vào hệ thống, đại loại như vậy.Nếu tôi đảm nhận vai trò như một cảnh sát, tôi có các quyền bổ sung, chẳng hạn như đi vào đồn cảnh sát, bắt giữ người, v.v.

0 + 6
spinkus avatar
lá cờ de
spinkus
Điều đó giúp rất nhiều cảm ơn. Q3 vẫn còn là một bí ẩn đối với tôi.Thực thể dịch vụ ec2.amazonaws.com cung cấp id phiên bản? Hay chỉ là id trong trường hợp này nằm trong lĩnh vực của ec2, giống như sở cảnh sát cung cấp danh tính của các sĩ quan của họ? Tôi hiểu tương tự như cảnh sát, lính cứu hỏa, kiến ​​trúc sư, nhưng tôi nghĩ nhiều hơn rằng đó là phiên bản ec2/cảnh sát *chính nó* của tôi đảm nhận vai trò chứ không phải dịch vụ ec2/sở cảnh sát. Tôi chỉ không thể nắm bắt được khái niệm về cảnh sát đảm nhận một vai trò: /.
0
Hồi đáp
Tim avatar
lá cờ gp
Tim
Tương tự như vậy, người đó đảm nhận vai trò của cảnh sát, sở cảnh sát không đảm nhận vai trò này. Trong AWS, phiên bản EC2 đảm nhận vai trò, không phải dịch vụ EC2. Trong các thực thể đáng tin cậy, bạn đang nói với AWS rằng các phiên bản/chức năng/vv riêng lẻ trong một dịch vụ có thể đảm nhận một vai trò, chứ không phải bản thân dịch vụ đó có thể đảm nhận một vai trò nào đó.
0
Hồi đáp
Tim avatar
lá cờ gp
Tim
Tôi đã mất khá nhiều thời gian để thực sự tìm hiểu về IAM, nó khá phức tạp. Sau khi đạt được chứng chỉ chuyên nghiệp và liên kết AWS, tôi đã có một ý tưởng khá hay, nhưng chỉ sau khi tôi học chuyên ngành bảo mật và sau đó tích cực sử dụng IAM hàng ngày như một phần công việc của mình thì tôi mới thực sự hiểu hết về nó. Ngay cả bây giờ, thỉnh thoảng tôi vẫn gặp sự cố với các tương tác giữa chính sách IAM, SCP và chính sách tài nguyên dịch vụ. Đề xuất bạn thực hiện một số khóa đào tạo về AWS, khóa đào tạo chuyên môn về bảo mật của Cloud Guru bao gồm rất tốt điều này nhưng hãy bắt đầu với cộng tác viên kiến ​​trúc.
0
Hồi đáp
spinkus avatar
lá cờ de
spinkus
"... bạn đang nói với AWS rằng các phiên bản/chức năng/v.v. riêng lẻ trong một dịch vụ có thể đảm nhận một vai trò nào đó, chứ không phải bản thân dịch vụ đó có thể đảm nhận một vai trò nào đó." OK, đó là cách tôi thấy bằng trực giác, nhưng Bảng điều khiển IAM cho biết "Các thực thể đáng tin cậy sau đây có thể đảm nhận vai trò này" sau đó liệt kê một dịch vụ. Và đôi khi tôi nhận thấy "thực thể đáng tin cậy" *là* thực sự là một người dùng (đối với các vai trò truy cập tài khoản của nhiều tổ chức).
0
Hồi đáp
spinkus avatar
lá cờ de
spinkus
Hóa ra tôi cũng mất khá nhiều thời gian. Tôi đã nghĩ rằng ít nhiều tôi đã nhận được nó, nhưng sau đó tôi càng tìm kiếm thì nó càng sụp đổ :). Tôi sẽ đến đó. Cám ơn.
0
Hồi đáp
Tim avatar
lá cờ gp
Tim
Từ ngữ của bảng điều khiển không hoàn toàn chính xác, đó là người dùng/phiên bản EC2/chức năng lambda/v.v. có thể đảm nhận vai trò. Chúng tôi sử dụng rộng rãi các vai trò tài khoản chéo trong một số Tổ chức AWS nơi chúng tôi có xác thực người dùng IAM.(Phần tiếp theo này nâng cao hơn) Trong các tổ chức khác được liên kết với nhà cung cấp danh tính bên ngoài như AD, chúng tôi sử dụng AWS SSO để tạo các vai trò trong từng tài khoản mà người dùng có thể đảm nhận.
1
Hồi đáp
glitchwizard avatar
lá cờ br
glitchwizard
Điều này rất hữu ích, cảm ơn bạn. Tôi đã cố gắng tìm ra cách xác định các vai trò không hoạt động và điều này đã giúp tôi hiểu khá rõ về nó. Chúng tôi có các vai trò cũ, nhưng không nhất thiết phải hoàn toàn không còn tồn tại, chẳng hạn như chúng có thể được sử dụng vài năm một lần, do đó, việc xác định chúng chỉ với 400 ngày được theo dõi theo mặc định là không hữu ích vì chúng có thể được sử dụng sau mỗi 700 ngày hoặc lâu hơn. Điều này giúp tôi xác định dịch vụ nào có thể đảm nhận vai trò dựa trên các thực thể đáng tin cậy của chúng.
0
Hồi đáp
lá cờ VietNam
Phan Văn Trường
Câu hỏi này là trong các ngôn ngữ khác:

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.