Цього тижня під час конференції AWS re:Inforce Security у Бостоні Amazon акцентував увагу на керуванні ідентифікацією та доступом. Серед оголошень для Виявлення шкідливих програм GuardDuty і Amazon Detective for Elastic Kubernetes Service (EKS), керівники Amazon Web Services підкреслили запуск IAM Roles Anywhere на початку цього місяця, що дозволяє AWS Identity and Access Management (IAM) працювати на ресурсах за межами AWS. Завдяки IAM Roles Anywhere групи безпеки можуть надавати тимчасові облікові дані для локальних ресурсів.
IAM Roles Anywhere дозволяє локальним серверам, робочим навантаженням контейнерів і програмам використовувати сертифікати X.509 для тимчасових облікових даних AWS, які можуть використовувати ті самі ролі та політики AWS IAM. «IAM Roles надає безпечний спосіб для ваших локальних серверів, контейнерів, додатків отримати тимчасові облікові дані AWS», — сказав віце-президент AWS з платформ Курт Куфельд.
Створення тимчасових облікових даних є ідеальною альтернативою, коли вони потрібні лише для короткострокових цілей, сказала під час технічної сесії Карен Габеркорн, директор з управління продуктами AWS для ідентифікації.
«Це розширює ролі IAM, тож ви можете використовувати їх і робочі навантаження, що виконуються за межами AWS, що дозволяє використовувати всю потужність служб AWS, де б не запущено ваші програми», — сказав Хаберкорн. «Це дозволяє вам керувати доступом до служб AWS точно так само, як ви це робите сьогодні для програм, які працюють в AWS, для програм, які працюють локально, на межі — насправді будь-де».
Оскільки IAM Roles Anywhere дозволяє організаціям налаштовувати доступ однаково, це зменшує навчання та забезпечує більш послідовний процес розгортання, додав Габеркорн. «І так, це означає більш безпечне середовище», – сказала вона. «Це більш безпечно, оскільки вам більше не потрібно керувати ротацією та безпекою будь-яких довгострокових облікових даних, які ви могли використовувати для локальних програм у минулому».
Новий центр ідентифікації IAM
Amazon також оголосила, що змінила назву своєї пропозиції AWS Single Sign-On на «AWS Identity Center». Головний менеджер із продукції Рон Каллі пояснив у a блог цього тижня, що зміна назви має краще відображати повний набір можливостей і підтримувати клієнтів, які в останні роки перейшли на стратегія кількох акаунтів. AWS також прагне «зміцнити свою рекомендовану роль як центрального місця для керування доступом до облікових записів і додатків AWS», — написав Каллі.
Хоча AWS не оголосила про жодні технічні зміни в AWS Identity Center, Каллі сказав, що він став «вхідними дверима в AWS». AWS Identity Center обробляє всі запити на автентифікацію та авторизацію та тепер обробляє півмільярда викликів API за секунду.
Кертіс Франклін, старший аналітик, який займається управлінням безпекою підприємства та операціями безпеки в Omdia, зазначив, що AWS наголошувала на IAM протягом 2-денної конференції. «AWS показала, що вона вважає ідентифікацію головною лінією безпеки та конфіденційності в хмарі», — сказав він. «Я думаю, що вони збираються продовжувати залучати партнерів, щоб AWS була єдиним джерелом правди про те, хто є авторизованими користувачами та які привілеї вони можуть мати».
