Az Amazon az identitás- és hozzáférés-kezelést hangsúlyozta az AWS re:Inforce Security konferenciáján Bostonban ezen a héten. A bejelentések között GuardDuty Malware Detection és az Amazon Detective for Elastic Kubernetes Service (EKS), az Amazon Web Services vezetői kiemelték az IAM Roles Anywhere bevezetését a hónap elején, amely lehetővé teszi AWS Identity and Access Management (IAM) hogy az AWS-en kívüli erőforrásokon fusson. Az IAM Roles Anywhere szolgáltatással a biztonsági csapatok ideiglenes hitelesítési adatokat biztosíthatnak a helyszíni erőforrásokhoz.
Az IAM Roles Anywhere lehetővé teszi, hogy a helyszíni kiszolgálók, tárolómunkaterhelések és alkalmazások X.509-tanúsítványokat használjanak az ideiglenes AWS-hitelesítő adatokhoz, amelyek ugyanazokat az AWS IAM-szerepköröket és házirendeket használhatják. „Az IAM Roles biztonságos módot biztosít a helyszíni szerverek, tárolók és alkalmazások számára, hogy ideiglenes AWS-hitelesítő adatokat szerezzenek be” – mondta Kurt Kufeld, az AWS platformokért felelős alelnöke.
Az ideiglenes hitelesítési adatok létrehozása ideális alternatíva, ha csak rövid távú célokra van szükségük – mondta Karen Haberkorn, az AWS személyazonossági termékkezelési igazgatója egy technikai ülésen.
"Ez kiterjeszti az IAM szerepköröket, így használhatja őket és az AWS-n kívül futó munkaterheléseket, ami lehetővé teszi az AWS-szolgáltatások minden erejének kihasználását, bárhol is futnak az alkalmazások" - mondta Haberkorn. „Lehetővé teszi az AWS-szolgáltatásokhoz való hozzáférést pontosan úgy, ahogyan manapság teszi az AWS-ben futó alkalmazásokhoz, az olyan alkalmazásokhoz, amelyek a helyszínen, a széleken futnak – valójában bárhol.”
Mivel az IAM Roles Anywhere lehetővé teszi a szervezetek számára, hogy ugyanúgy konfigurálják a hozzáférést, ez csökkenti a képzést és következetesebb telepítési folyamatot biztosít – tette hozzá Haberkorn. „És igen, ez biztonságosabb környezetet jelent” – mondta. "Biztonságosabb, mert többé nem kell kezelnie a múltban a helyszíni alkalmazásokhoz használt hosszú távú hitelesítő adatok rotációját és biztonságát."
Új IAM Identity Center
Az Amazon azt is bejelentette, hogy átnevezte az AWS Single Sign-On ajánlatát „AWS Identity Center”-re. Ron Cully fő termékmenedzser elmagyarázta a blogbejegyzés Ezen a héten a névváltoztatás célja, hogy jobban tükrözze a szolgáltatás teljes készletét, és támogassa azokat az ügyfeleket, akik az elmúlt években többfiókos stratégia. Az AWS emellett arra törekszik, hogy „megerősítse javasolt szerepét, mint az AWS-fiókok és -alkalmazások hozzáférésének kezelésének központi helye” – írta Cully.
Míg az AWS nem jelentett be semmilyen technikai változtatást az AWS Identity Centerrel kapcsolatban, Cully azt mondta, hogy ez az „AWS bejárati ajtója” lett. Az AWS Identity Center kezeli az összes hitelesítési és engedélyezési kérelmet, és jelenleg félmilliárd API-hívást dolgoz fel másodpercenként.
Curtis Franklin, az Omdia vállalati biztonságkezelésével és biztonsági műveleteivel foglalkozó vezető elemző megjegyezte, hogy az AWS a kétnapos konferencia során az IAM-et hangsúlyozta. "Az AWS jeleket adott arra vonatkozóan, hogy az identitást tekinti a biztonság és az adatvédelem frontvonalának a felhőben" - mondta. "Úgy gondolom, hogy továbbra is bevonják a partnereket, hogy az AWS legyen az igazság egyetlen forrása arról, hogy kik a jogosult felhasználók, és milyen kiváltságokkal rendelkeznek."
