Upload
cloud-aws
View
45
Download
1
Embed Size (px)
Citation preview
Community - Cloud AWS su Google+
Cloud AWS
Amazon Web Services
cloud-aws.com
Amazon IAM
Hangout 16 del 23.06.2014
● Davide Riboldi● Massimo Della Rovere
Oggi vedremo il servizio di Amazon IAM per il controllo e la gestione delle autorizzazioni su risorse AWS
CLOUD AWS
#cloudaws
Amazon IAM - Introduzione
Cloud AWS
● Il servizio degli Amazon Web Services chiamato IAM (Identity and Access Management) permette di gestire la sicurezza che riguarda il controllo e l’utilizzo delle risorse e dei servizi AWS.
● Usando IAM è possibile gestire gruppi, utenti e ruoli per concedere o negare l’utilizzo dei servizi legati ad un account. Con questo servizio possiamo evitare di utilizzare le credenziali del nostro account principale e creare un numero di utenti con delle autorizzazioni specifiche per servizi o gruppi di servizi.
Amazon IAM - Funzionalità
Cloud AWS
● La maggior parte delle funzionalità messe a disposizione da Amazon IAM sono gestibili tramite management console che potete vedere nella demo online che presenteremo a seguire.
● Le prime azioni che normalmente vengono eseguite sono la creazione di gruppi, utenti e ruoli, come potrete vedere tutte queste operazioni saranno eseguite a livello globale e quindi non è necessario selezionare nessuna regione geografica.
Amazon IAM - Componenti generali
Cloud AWS
● I gruppi servono per indicare delle autorizzazioni generali su cui poi aggiungere tutti gli utenti che desideriamo senza dover specificare le regole.
● gli utenti possono essere creati con delle proprie regole di autorizzazione ed eventualmente essere inseriti nei gruppi precedentemente creati.
● con i ruoli è possibile definire delle entità specifiche che possiamo assegnare ad esempio a server EC2 o applicazioni o anche ad utenti di altri account.
Amazon IAM - Altre funzionalità
Cloud AWS
● Altre funzionalità che possiamo gestire da console sono l’attivazione MFA per eseguire il login con doppia autenticazione e password a tempo.
● Cambiare le policy di password con dei criteri personalizzati a livello di organizzazione e ottenere un indirizzo URL che dovremmo usare per far eseguire il login ai nostri utenti.
● Il login tradizionale su Amazon potrà essere usato solo per l’account root e il nuovo URL per gli utenti IAM, sulla schermata di esempio trovate questo campo indicato come IAM Sign-in URL.
Amazon IAM - Migrazione
Cloud AWS
● Se la propria organizzazione già utilizza gli Amazon Web Services, la migrazione verso Amazon IAM può risultare facile o molto impegnativa, tutto dipende da come vengono allocate attualmente le risorse AWS. Ecco i tre possibili scenari:
○ Un solo account AWS.○ Più account AWS ed ognuno rappresenta una
divisione nell’organizzazione.○ Più account AWS ed ognuno non rappresenta
una divisione nell’organizzazione.
Amazon IAM - Terminologia
Cloud AWS
● Account: se usate già AWS avrete già acquisito familiarità con gli account AWS e le loro caratteristiche. Con IAM, un account AWS rimane sostanzialmente lo stesso, tranne per il fatto che un account può ora gestire sotto di lui degli utenti.
● Un account è la prima entità che si crea quando si iniziano ad utilizzare i servizi ed è il proprietario di tutte le risorse create sotto di lui a cui vengono addebitata tutte le attività che le risorse generano.
Amazon IAM - Terminologia
Cloud AWS
● Ruolo: è una serie di autorizzazioni che un’altra entità assume per effettuare delle chiamate per accedere alle risorse AWS.
● Risorse: una risorsa è un’entità di un servizio AWS con il quale un utente può interagire, come ad esempio un Bucket S3, una coda SQS e così via.
● Autorizzazioni: permette di consentire o negare ad una entità, come ad esempio un utente, un gruppo o un ruolo, un qualche tipo di accesso ad una risorsa.
Amazon IAM - I migliori 10 consigli
Cloud AWS
● Mettere al sicuro le credenziali dell’account AWS.● Creare singoli utenti IAM. ● Utilizzate i gruppi per assegnare i permessi. ● Concedere i privilegi minimi. ● Configurare un criterio di password. ● Abilitare MFA per gli utenti privilegiati. ● Utilizzare i ruoli per applicazioni su EC2. ● Delegare utilizzando i ruoli invece delle credenziali. ● Ruotare periodicamente le credenziali. ● Utilizzare le condizioni per aumentare la sicurezza.
Amazon IAM - Simulazione dei permessi
Cloud AWS
● Tramite la management console possiamo simulare i permessi e gli utenti che abbiamo definito nel nostro ambiente IAM senza dover effettuare delle prove sull’ambiente reale e utilizzare delle risorse.
● Per provare il simulatore basta andare suhttps://policysim.aws.amazon.com/home/index.jspinserire l’utente, il servizio e l’azione e premere il tasto chiamato “Run Simulation”. Direttamente sulla console avrete i risultati della prova di accesso.
Amazon IAM - Ringraziamenti & Video
Cloud AWS
Cloud Computing
Amazon Web Service 1
AmazonSNS
AmazonMFA
AmazonCloudFront
AmazonFree Trial
AmazonS3
AmazonGlacier
Amazon Web Service 2
ElasticTranscoder
Storagegateway
AmazonSES
AmazonCloudTrial
AmazonCloudWatch
AmazonSQS