成人午夜视频全免费观看高清-秋霞福利视频一区二区三区-国产精品久久久久电影小说-亚洲不卡区三一区三区一区

AWS身份及驗(yàn)證服務(wù)(四)-創(chuàng)新互聯(lián)

IAM

概述

  • 集中管理訪問AWS資源的訪問權(quán)限和用戶身份認(rèn)證
  • 支持聯(lián)合訪問管理,支持LADP第三方服務(wù) (Identity Provider)
  • 是非區(qū)域相關(guān)的服務(wù),全局有效
  • 創(chuàng)建用戶、組和角色以應(yīng)用策略
  • 安全憑證類型包括: 電子郵件和密碼、IAM用戶名和密碼、訪問密匙、多重驗(yàn)證(MFA)、密匙對(duì)
  • 密碼策略管理和KMS加密解密管理
  • 建議始終使用創(chuàng)建和管理IAM賬戶來進(jìn)行操作
  • IAM遵循最低特權(quán)原則,即所有權(quán)限被隱式拒絕,而顯式拒絕擁有高優(yōu)先級(jí)
  • IAM是權(quán)限與實(shí)體進(jìn)行匹配的正式語句
    • 策略可以應(yīng)用于任何實(shí)體,包括用戶、組和角色
    • 策略可以一對(duì)多也可以多對(duì)一

AWS 身份及驗(yàn)證服務(wù)(四)

目前成都創(chuàng)新互聯(lián)公司已為1000多家的企業(yè)提供了網(wǎng)站建設(shè)、域名、網(wǎng)站空間、網(wǎng)站改版維護(hù)、企業(yè)網(wǎng)站設(shè)計(jì)、江川網(wǎng)站維護(hù)等服務(wù),公司將堅(jiān)持客戶導(dǎo)向、應(yīng)用為本的策略,正道將秉承"和諧、參與、激情"的文化,與客戶和合作伙伴齊心協(xié)力一起成長(zhǎng),共同發(fā)展。

委托人

  • 委托人是允許與AWS資源交互的IAM實(shí)體,可以是人或應(yīng)用程序,也可以是臨時(shí)或永久的。

AWS 身份及驗(yàn)證服務(wù)(四)

  • 有三種委托人身份:根用戶、IAM用戶(組)和角色

    • 根用戶
      • 第一次創(chuàng)建AWS時(shí)的登錄主體,可以完全訪問所有賬戶中的AWS資源與服務(wù)
      • 強(qiáng)烈建議不要將根賬戶用于任何的日常任務(wù)或是管理員
      • 必須安全的鎖定根用戶的用戶憑證
      • 根用戶也是Billing Account
      • 等同于Owner ,創(chuàng)建AWS賬戶的實(shí)體和Email地址
    • IAM用戶
      • 可以通過IAM服務(wù)創(chuàng)建持久性身份,可以是個(gè)人或應(yīng)用程序
      • IAM用戶可以隨時(shí)由IAM管理權(quán)限的主體創(chuàng)建
      • 需要提供與AWS交互的方法, 支持AWS控制臺(tái)用戶名密碼、CLI或者SDK等方式管理IAM用戶
      • 可以提供定制的URL用于IAM用戶訪問
      • 應(yīng)該使用最小權(quán)限原則管理IAM用戶
      • 最佳實(shí)踐:創(chuàng)建對(duì)根賬戶擁有管理特權(quán)的獨(dú)立IAM賬戶
    • IAM用戶組
      • 用戶的集合
      • 策略應(yīng)用于整組
      • 一個(gè)用戶可以屬于多個(gè)組
      • 沒有默認(rèn)組
      • 不能嵌套組

AWS 身份及驗(yàn)證服務(wù)(四)

  • 角色
    • 在特定時(shí)間段內(nèi)向特定角色授予特定權(quán)限
    • 這些角色通過AWS或第三方系統(tǒng)進(jìn)行身份驗(yàn)證
    • 通常會(huì)將某個(gè)用戶或組的權(quán)限關(guān)聯(lián)到角色,以簡(jiǎn)化管理防止配置錯(cuò)誤
    • 當(dāng)一個(gè)角色開始承擔(dān)任務(wù)時(shí),AWS會(huì)提供AWS安全令牌(STS)的臨時(shí)安全令牌似的他可以使用授權(quán)的AWS服務(wù)(STS 有效時(shí)間為15分鐘-36小時(shí))
    • IAM組無法使用角色
    • 每個(gè)賬戶只能創(chuàng)建最多1000個(gè)IAM角色
    • EC2應(yīng)用程序角色
      • 傳統(tǒng)授予應(yīng)用程序權(quán)限會(huì)非常麻煩,需要安全使用某種憑證,并且還需要考慮安全的存儲(chǔ)和訪問這些憑證,
        • 如一個(gè)應(yīng)用程序需要訪問S3時(shí),需要該程序使用IAM用戶的密鑰,而密鑰又云需要存儲(chǔ)在一個(gè)安全的位置被應(yīng)用程序訪問,這樣會(huì)導(dǎo)致憑證輪換等存在很多問題,同時(shí)不利于敏捷開發(fā)。
        • 可以利用IAM 角色功能,當(dāng)該應(yīng)用程序的EC2啟動(dòng)時(shí)利用Config Profile分配該角色,程序利用API訪問S3時(shí)該角色會(huì)獲取一個(gè)臨時(shí)令牌,用AWS工具包將臨時(shí)令牌傳遞給API以允許訪問,這種方法不需要考慮任何密鑰管理和輪換。
      • 在實(shí)例運(yùn)行過程中可以隨時(shí)替換或分離角色
      • 每個(gè)EC2只能分配一個(gè)角色
      • 跨賬戶訪問(Cross Account )
        • 將訪問AWS資源授予其他AWS賬戶中的IAM用戶
        • 通常用于與公司關(guān)聯(lián)的第三方供應(yīng)商或客戶有限制的訪問公司資源
      • 臨時(shí)訪問管理 ( Federation)
        • 對(duì)聯(lián)合身份用戶提供臨時(shí)的訪問權(quán)限
        • 主要用于第三方服務(wù),而組織又不希望為它提供組織內(nèi)長(zhǎng)期憑證(如API管理)

認(rèn)證

用戶名/密碼

  • 人員登錄Console的設(shè)置,可以設(shè)置密碼策略執(zhí)行復(fù)雜性要求和過期
  • 大支持128個(gè)字符
  • 建議設(shè)置密碼策略以確保使用強(qiáng)密碼且經(jīng)常更改
  • IAM賬戶登錄還必須提供賬戶ID或別名(URL包含)

訪問密鑰

  • 密鑰ID AKI(20字符)和訪問密鑰 SAK(40字符)的組合
  • 通過API時(shí)使用密鑰對(duì)REST調(diào)用,且SAK必須簽署所有的API請(qǐng)求
  • 簽名有助于保護(hù)消息完整性,防止在傳輸過程中被篡改,以及防止重播 attack
  • 支持Signature v4, 使用SAK派生進(jìn)行簽名
  • 訪問密鑰需要放在安全的地方而不是嵌入代碼中
  • 每個(gè)IAM用戶最多同時(shí)擁有2個(gè)激活的密鑰
  • 只在區(qū)域內(nèi)有效
  • 密鑰對(duì)

    • 支持RSA 2048 SSH密鑰
    • 首次訪問時(shí)實(shí)例使用顯式的私鑰授予訪問權(quán)限,公鑰放入實(shí)例中,是登錄EC2的選方式
    • 密鑰對(duì)還可用于CloudFront 為私人內(nèi)容創(chuàng)建簽名URL實(shí)現(xiàn)私有分發(fā)
    • 若密鑰對(duì)丟失,不能被重新生成,但是可以進(jìn)行替換
  • 訪問密鑰+會(huì)話令牌 (STS)
    • 在服務(wù)被假定角色使用時(shí),使用的臨時(shí)令牌用于驗(yàn)證訪問密鑰,包括臨時(shí)訪問密鑰對(duì)本身和一個(gè)會(huì)話令牌。
      • 訪問ID
      • 訪問密鑰
      • 安全令牌
      • 超時(shí)時(shí)間
  • 不用為訪問創(chuàng)建專門的IAM賬號(hào)
  • 臨時(shí)認(rèn)證無需進(jìn)行密鑰rotation
  • 配置超時(shí) 15min -36hr ,默認(rèn)12小時(shí)

X.509

  • 可用于簽署基于SOAP的請(qǐng)求
  • AWS賬戶可以創(chuàng)建X.509, IAM必須使用第三方軟件才能創(chuàng)建X.509
  • 可作為SSL/TLS服務(wù)器證書, 提交密鑰到CA進(jìn)行證書簽名請(qǐng)求CSR
  • 利用X.509為EC2創(chuàng)建定制的Linux AMI

多因素認(rèn)證

  • MFA是在密碼/密鑰之外為基礎(chǔ)架構(gòu)添加的額外安全層,通常需要從外部設(shè)備輸入一次性密碼OTP
  • 支持硬件和軟件的MFA認(rèn)證
  • 支持為API實(shí)施MFA認(rèn)證
  • MFA可以分配個(gè)任何IAM用戶,尤其建議為根用戶啟用MFA
  • 每個(gè)用戶只能與一個(gè)MFA綁定

聯(lián)合認(rèn)證 (Identity Federation)

  • IAM身份供應(yīng)商IdP可以將IAM和外部身份聯(lián)合起來由外部進(jìn)行認(rèn)證, 并將權(quán)限分配給IAM外進(jìn)行認(rèn)證的用戶。
  • IAM會(huì)返回與角色關(guān)聯(lián)的臨時(shí)令牌進(jìn)行工作,以便驗(yàn)證用與調(diào)用AWS API的身份
    • 公共IdP
      • 采用 OIDC (OpenID Connect)集成
      • 主要是授權(quán)給主要的網(wǎng)絡(luò)IdP認(rèn)證用戶,如Google,F(xiàn)acebook,Amazon等,稱為Web Federation
    • 企業(yè)內(nèi)部身份驗(yàn)證
      • 如企業(yè)自有的AD或LADP身份驗(yàn)證服務(wù),支持SAML 2.0
  • 注意: 默認(rèn)創(chuàng)建IAM用戶是不包含任何密碼和密鑰對(duì),管理員需要手工指定

授權(quán)

  • 指定委托人可以執(zhí)行和不能執(zhí)行操作的權(quán)限 ,通過策略定義。
  • 策略是一個(gè)JSON文件,充分定義了一組權(quán)限的訪問和操作AWS資源
    • Version: 可選項(xiàng),以日期為格式
    • Effect - 允許或拒絕
    • Resource - 適用于特定權(quán)限的AWS基礎(chǔ)架構(gòu)的資源、數(shù)據(jù)主體,利用ARN來唯一指定資源
      • Amazon 資源名稱 = Amazon Resource Name (ARN)
      • 一個(gè)AWS資源的唯一標(biāo)識(shí),當(dāng)在全局環(huán)境中調(diào)用時(shí)指向唯一的一項(xiàng)資源
        • arn:<partition>:<service>:<region>:<account-id>:<resourcetype>:<resource>
        • 例如 arn:aws:rds:eu-west-1:1234567:db:mysql-db
    • Service - 適用的服務(wù)名稱
    • Action - 指定服務(wù)的操作子集
    • Condition - 可選項(xiàng)定義一個(gè)或者多個(gè)限制權(quán)限允許操作的附加條件。

AWS 身份及驗(yàn)證服務(wù)(四)

  • 將策略和委托人聯(lián)系
    • 用戶策略
      • 顯式聲明的策略
      • 策略僅僅存在于所聯(lián)系的用戶中
    • 托管策略
      • 預(yù)置的策略
      • 獨(dú)立于用戶而存在的,策略可以與許多用戶或用戶組關(guān)聯(lián)。
      • 建議使用預(yù)定義的托管策略保證在添加新功能時(shí)用戶依舊保持正確的訪問權(quán)限。
    • 最佳實(shí)踐: 組策略
      • 通過將托管策略關(guān)聯(lián)到一個(gè)用戶組可以大大簡(jiǎn)化對(duì)多用戶的策略管理。同樣也為用戶組策略和用戶組托管管理策略。
  • 用戶權(quán)限
    • 無權(quán)限 - 新用戶創(chuàng)建時(shí)的默認(rèn)權(quán)限
    • 授權(quán)用戶權(quán)限 - 根據(jù)需求對(duì)用戶進(jìn)行授權(quán)
    • 特權(quán)(Power)權(quán)限 - 可以訪問所有AWS 服務(wù),但是無法管理用戶和組
    • 管理員權(quán)限 - 根用戶權(quán)限

其他主要特點(diǎn)

密鑰輪換

  • 任何憑證的安全風(fēng)險(xiǎn)都會(huì)隨著憑證使用時(shí)長(zhǎng)而增加,所以定期對(duì)密鑰進(jìn)行更換非常必要。
    • 創(chuàng)建新的訪問密鑰
    • 重新配置所有應(yīng)用程序使用新密鑰
    • 禁用老密鑰
    • 驗(yàn)證新密鑰的所有應(yīng)用程序操作
    • 刪除老密鑰

多權(quán)限問題

  • 為了解決委托人在執(zhí)行某個(gè)操作時(shí),可能適用于已經(jīng)配置的多個(gè)權(quán)限。
    • 請(qǐng)求默認(rèn)被拒絕
    • 當(dāng)所有政策中有明確的拒絕,則拒絕
    • 當(dāng)所有政策中有明確的允許而沒有明確的拒絕,則允許
    • 若沒有明確拒絕或允許,則保留默認(rèn)拒絕
    • 策略無法覆蓋角色所默認(rèn)拒絕的任何權(quán)限

AWS Directory Service

AD概念

  • AD包含組織信息、用戶、組、計(jì)算機(jī)和其它資源

MS AD Service

  • 將MS AD作為托管服務(wù)運(yùn)行
  • 在Win2012R2上運(yùn)行
  • AD是跨2個(gè)可用區(qū)部署的高可用域控制器
  • 支持?jǐn)?shù)據(jù)復(fù)制和自動(dòng)每日快照
  • 無需安裝軟件,AWS處理所有的bug和update
  • 不能將現(xiàn)有AD遷移進(jìn)來,只能新建
  • 適用于超過5000人的場(chǎng)景

AD Connector

  • 可以使用AD Connector 連接現(xiàn)有本地AD
  • 通過VPC VirtualPN或者Direct Connect 連接企業(yè)數(shù)據(jù)中心
  • 使用現(xiàn)有憑證訪問AWS 應(yīng)用程序
  • 基于RADIUS 現(xiàn)有 MFA解決方案集成
  • 適用于混合云場(chǎng)景

Simple AD 服務(wù)

  • 使用Samba 4服務(wù)器提供AD服務(wù)
  • 支持常用AD功能,如用戶賬號(hào)和組身份
  • 支持Linux 和 Windows EC2加入域
  • 基于Kerberos的單一登錄(SSO)和組策略
  • 也提供了每日快照和基于時(shí)間點(diǎn)恢復(fù)
  • 提供日志和審計(jì)功能
  • 不支持與MS AD建立信任關(guān)系,不支持MFA、DNS動(dòng)態(tài)更新、LDAP等高級(jí)功能
  • 適用于不超過5000人的簡(jiǎn)單場(chǎng)景

AWS Security Token Service

概念

  • 輕量級(jí)Web服務(wù),獲取臨時(shí)、有限權(quán)限的憑證
  • 身份代理認(rèn)證
    • 利用身份代理服務(wù)創(chuàng)建臨時(shí)憑證,用戶獲得一個(gè)臨時(shí)URL訪問AWS管理控制臺(tái)(單點(diǎn)登錄) ,支持
      • 跨AWS賬戶的IAM用戶組
      • 當(dāng)前賬戶中的IAM用戶
      • 第三方請(qǐng)求
  • 身份代理主要用于:
    • 查詢STS
    • 確定Web請(qǐng)求的用戶
    • 使用AWS憑證向AWS進(jìn)行身份驗(yàn)證
    • 通過AWS STS API頒發(fā)臨時(shí)憑證
  • STS 返回
    • STS返回臨時(shí)安全憑證給應(yīng)用程序,其中包括了:
      • AccessKeyId
      • SecretAccessKey
      • SessionToken和時(shí)限(1到36小時(shí))

AWS 身份及驗(yàn)證服務(wù)(四)

常見場(chǎng)景

  • 基于SAML的SSO聯(lián)合認(rèn)證
    • STS支持SAML 2.0的開放標(biāo)準(zhǔn)更快更容易實(shí)現(xiàn)聯(lián)合,利用現(xiàn)有身份管理軟件管理AWS的訪問,無需編碼
    • 身份供應(yīng)商idP通過SAML2.0 使用HTTP-POST綁定啟動(dòng)Web SSO,通過新的URL簡(jiǎn)化SSO
    • 需要IAM創(chuàng)建SAML idP作為IAM信任策略的委托人
    • 步驟
      • 用戶在應(yīng)用程序內(nèi)輸入賬號(hào)密碼,應(yīng)用程序?qū)⑵浒l(fā)送給Identity Provider (Identity Broker)
      • Identity Provider (IdP)將用戶名和密碼發(fā)送到企業(yè)的LDAP目錄進(jìn)行驗(yàn)證
      • 驗(yàn)證成功后IdP發(fā)送一個(gè)SAML認(rèn)證響應(yīng)給應(yīng)用程序
      • 應(yīng)用程序使用AssumeRoleWithSAMLRequest API發(fā)送SMAL請(qǐng)求給STS
      • 應(yīng)用程序使用臨時(shí)憑證訪問S3存儲(chǔ)桶

AWS 身份及驗(yàn)證服務(wù)(四)

  • 基于Web的聯(lián)合身份認(rèn)證
    • 使用STS API AssumeRoleWIthWebIdentity
    • 支持Amazon、Google、Facebook的身份認(rèn)證

AWS 身份及驗(yàn)證服務(wù)(四)

  • 跨賬戶訪問
    • 跨賬號(hào)訪問權(quán)限(Cross Account Access),可以在AWS管理控制臺(tái)上輕松地進(jìn)行賬號(hào)(角色)的切換,讓用戶在不同的開發(fā)賬號(hào)(角色)、測(cè)試賬號(hào)(角色)、生產(chǎn)賬號(hào)(角色)中進(jìn)行快捷的切換。
    • 示例 : 讓開發(fā)賬號(hào)擁有一定的訪問權(quán)限,讓其訪問生產(chǎn)賬號(hào)中的S3資源。
      • 生產(chǎn)賬號(hào)中的管理員需要在IAM中創(chuàng)建一個(gè)新的角色UpdateAPP,在角色中定義了策略(Policy),策略具體定義了允許特定的AWS賬號(hào)ID訪問名為productionapp的S3存儲(chǔ)桶
      • 在開發(fā)賬戶中,管理員向開發(fā)人員組的成員授權(quán)切換角色的權(quán)限。向開發(fā)人員組授予針對(duì)UpdateApp角色調(diào)用AWS Security Token Service (AWS STS) AssumeRole API 的權(quán)限。
      • 用戶請(qǐng)求切換角色
      • 可以在AWS控制臺(tái)使用Switch Role的按鈕切換到生產(chǎn)賬號(hào)
      • 或者使用AWS API/CLI,使用AssumeRole函數(shù)獲取UpdateAPP角色的憑證
      • AWS STS返回臨時(shí)憑證
      • 臨時(shí)憑證允許訪問AWS資源,這樣切換后的角色就可以訪問productionapp的存儲(chǔ)桶里的內(nèi)容了。

AWS 身份及驗(yàn)證服務(wù)(四)

AWS KMS (Key Management Service)

概述

  • 托管型加密服務(wù)
  • 采用雙層密鑰結(jié)構(gòu),通過主密鑰對(duì)不同的數(shù)據(jù)密鑰進(jìn)行加密,數(shù)據(jù)密鑰對(duì)應(yīng)用程序進(jìn)行加密
  • 數(shù)據(jù)密鑰是唯一的, 主密鑰不能脫離KMS系統(tǒng)
  • 僅支持對(duì)稱加密。

AWS 身份及驗(yàn)證服務(wù)(四)

CMK

  • KMS使用客戶主密鑰(CMK)來加密和解密數(shù)據(jù)。CMK可以是客戶托管的密鑰也可以使AWS托管的密鑰
  • CMK不能以未加密的狀態(tài)脫離AWS KMS,但是數(shù)據(jù)密鑰可以。
  • 默認(rèn)情況下,啟用KMS集成后,每個(gè)賬戶都會(huì)生成一個(gè)AWS托管的默認(rèn)密鑰,如果沒有特別指定CMK,這個(gè)默認(rèn)密鑰就會(huì)作為CMK對(duì)資源進(jìn)行加密。
  • CMK密鑰長(zhǎng)度為256位,數(shù)據(jù)密鑰為128位或256位
  • CMK的創(chuàng)建需要有相應(yīng)的權(quán)限,并定義IAM中哪些用戶和角色可以管理和使用密鑰,也可以允許其他AWS賬戶使用該密鑰。
  • CMK支持對(duì)大4KB數(shù)據(jù)的加密和解密
  • AWS可以選擇自動(dòng)進(jìn)行每年的CMK輪換
  • CMK刪除可以設(shè)置7-30天的等待期,以確保沒有任何影響
  • 每個(gè)區(qū)域的每個(gè)賬戶最多可以創(chuàng)建1000個(gè)CMK
  • 信封加密

    • CMK加密數(shù)據(jù)密鑰加密后,會(huì)返回明文和加密版本
    • 明文版本用于對(duì)數(shù)據(jù)加密,完成后應(yīng)立即從內(nèi)存中刪除
    • 加密版本可與加密數(shù)據(jù)一起存放
    • 加密上下文
      • 所有加密操作都支持附加上下文信息的可選Key/value對(duì)
      • 加密和解密操作必須先確定上下文相同,否則無法解密
      • 上下文可用細(xì)粒度授權(quán)和額外審計(jì)

安全實(shí)踐

  • 為密鑰創(chuàng)建唯一的別名和描述
  • 定義哪些IAM用戶和角色可以管理密鑰
  • 選擇讓KMS每年輪換密鑰
  • 臨時(shí)禁用和啟用密鑰
  • 檢查和審核CloudTrail日志中密鑰的使用情況
  • KMS只能在生成的區(qū)域使用,無法傳輸?shù)搅硪粎^(qū)域

KMS+HSA

  • AWS KMS提供簡(jiǎn)單的Web接口RESTful API,用戶訪問彈性、多租戶的強(qiáng)化安全設(shè)備(HSA)
  • 使用CMK構(gòu)建基于HSA的加密上下文,僅可在HSA上訪問,用于常駐HSA的加密操作
  • KMS是一項(xiàng)分級(jí)服務(wù),由面向Web的KMS主機(jī)和一個(gè)HSA梯隊(duì)組成
  • 客戶對(duì)KMS所有請(qǐng)求通過SSL發(fā)出,在KMS主機(jī)上中止
  • KMS主機(jī)使用協(xié)議和程序通過HSA完成相關(guān)的加密解密操作。

AWS 身份及驗(yàn)證服務(wù)(四)

KMS加密EBS卷

AWS 身份及驗(yàn)證服務(wù)(四)

AWS CloudHSM

  • 在AWS云中部署專用的硬件安全模塊,使用SafeNet Inc 的 Luna SA7000 HSM設(shè)備
  • 提供防篡改的硬件模塊內(nèi)的安全密鑰加密和存儲(chǔ),且不會(huì)將其暴露在設(shè)備的加密邊界外
  • CloudHSM主要針對(duì)專用的VPC中,為單租戶提供HSM服務(wù),支持對(duì)稱和非對(duì)稱加密

    • 使用 AWS CloudHSM 服務(wù)時(shí),您需要?jiǎng)?chuàng)建 CloudHSM 集群。
    • 集群可以包含多個(gè) HSM 實(shí)例,這些實(shí)例分布在一個(gè)區(qū)域的多個(gè)可用區(qū)中。
    • 集群中的 HSM 實(shí)例會(huì)自動(dòng)同步并進(jìn)行負(fù)載均衡。
    • 您可獲得對(duì)集群中每個(gè) HSM 實(shí)例的專用單租戶訪問權(quán)限。
    • 每個(gè) HSM 實(shí)例在 Amazon Virtual Private Cloud (VPC) 中都顯示為網(wǎng)絡(luò)資源。向集群中添加 HSM 或?qū)⑵鋸闹袆h除只需調(diào)用 AWS CloudHSM API(或在命令行上使用 AWS CLI)即可完成。
    • 創(chuàng)建和初始化 CloudHSM 集群后,您可以在 EC2 實(shí)例上配置一個(gè)客戶端,以允許您的應(yīng)用程序通過經(jīng)過身份驗(yàn)證的安全網(wǎng)絡(luò)連接使用該集群。
    • Amazon 管理員可監(jiān)控 HSM 的運(yùn)行狀況,但無權(quán)配置、管理和使用它們。
    • 您的應(yīng)用程序?qū)?biāo)準(zhǔn)的加密 API 與應(yīng)用程序?qū)嵗习惭b的 HSM 客戶端軟件配合使用,以向 HSM 發(fā)送加密請(qǐng)求??蛻舳塑浖删S護(hù)通向集群中所有 HSM 的安全通道,并在此通道上發(fā)送請(qǐng)求,而 HSM 執(zhí)行相關(guān)操作并通過該安全通道返回結(jié)果。然后,客戶端通過加密 API 將結(jié)果返回到應(yīng)用程序。
  • 建議配置高可用的HSM服務(wù)

AWS 身份及驗(yàn)證服務(wù)(四)

Amazon Cognito 服務(wù)

  • Cognito為移動(dòng)和基于Web應(yīng)用的程序提供身份和同步服務(wù)
  • 與公共的IdP合作,如Google、Facebook和Amazon
    • 利用SDK訪問IdP,并利用它進(jìn)行身份識(shí)別和授權(quán)
    • IdP認(rèn)證成功后會(huì)回傳一個(gè)OAuth或OpenID Connect給Cognito,Cognito會(huì)給用戶返回一個(gè)新的Cognito ID以及一組臨時(shí)AWS憑證
    • Cognito 作為代理,需要?jiǎng)?chuàng)建一個(gè)身份池,用于AWS賬戶中特定的用戶信息存儲(chǔ),即角色和權(quán)限
    • Cognito會(huì)有限的創(chuàng)建新角色對(duì)AWS資源進(jìn)行訪問,而最終用戶實(shí)際只能訪問到Cognito Sync服務(wù)和Mobile Analytics服務(wù)
  • Cognito利用客戶端SDK管理本地的SQLite存儲(chǔ)作為讀寫緩存,并異步同步到云端,
    • 用戶即使處于脫機(jī)狀態(tài)依舊可以繼續(xù)進(jìn)行數(shù)據(jù)交互,但數(shù)據(jù)可能過時(shí)
    • 但多賬戶同步時(shí)必須得到Cognito的驗(yàn)證
    • Cognito身份只會(huì)同步和存儲(chǔ)角色授權(quán)的自己的數(shù)據(jù),且數(shù)據(jù)傳輸使用HTTPS加密

AWS 身份及驗(yàn)證服務(wù)(四)

歡迎大家掃碼關(guān)注,獲取更多信息

AWS 身份及驗(yàn)證服務(wù)(四)

另外有需要云服務(wù)器可以了解下創(chuàng)新互聯(lián)cdcxhl.cn,海內(nèi)外云服務(wù)器15元起步,三天無理由+7*72小時(shí)售后在線,公司持有idc許可證,提供“云服務(wù)器、裸金屬服務(wù)器、高防服務(wù)器、香港服務(wù)器、美國(guó)服務(wù)器、虛擬主機(jī)、免備案服務(wù)器”等云主機(jī)租用服務(wù)以及企業(yè)上云的綜合解決方案,具有“安全穩(wěn)定、簡(jiǎn)單易用、服務(wù)可用性高、性價(jià)比高”等特點(diǎn)與優(yōu)勢(shì),專為企業(yè)上云打造定制,能夠滿足用戶豐富、多元化的應(yīng)用場(chǎng)景需求。

文章名稱:AWS身份及驗(yàn)證服務(wù)(四)-創(chuàng)新互聯(lián)
標(biāo)題網(wǎng)址:http://jinyejixie.com/article40/csdoho.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián),為您提供網(wǎng)站維護(hù)、靜態(tài)網(wǎng)站、網(wǎng)站排名品牌網(wǎng)站設(shè)計(jì)、微信公眾號(hào)、App設(shè)計(jì)

廣告

聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請(qǐng)盡快告知,我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng),如需處理請(qǐng)聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時(shí)需注明來源: 創(chuàng)新互聯(lián)

h5響應(yīng)式網(wǎng)站建設(shè)
定远县| 大同县| 广宗县| 江陵县| 东莞市| 淮安市| 皮山县| 平原县| 广西| 什邡市| 滨州市| 锡林郭勒盟| 中超| 醴陵市| 肇源县| 大竹县| 泰顺县| 清镇市| 大同县| 郑州市| 镇雄县| 黔南| 克东县| 都兰县| 井陉县| 铁岭县| 定南县| 宁海县| 多伦县| 繁峙县| 安泽县| 白银市| 平原县| 五峰| 伊宁市| 平顶山市| 乐至县| 吕梁市| 临海市| 潼关县| 团风县|