Amazon nhấn mạnh quản lý danh tính và quyền truy cập trong hội nghị AWS re: Inforce Security ở Boston tuần này. Trong số các thông báo cho Phát hiện phần mềm độc hại GuardDuty và Amazon Detective for Elastic Kubernetes Service (EKS), các giám đốc điều hành của Amazon Web Services đã nhấn mạnh việc ra mắt IAM Roles Anywhere từ đầu tháng này, cho phép Quản lý truy cập và nhận dạng AWS (IAM) để chạy trên các tài nguyên bên ngoài AWS. Với IAM Roles Anywhere, các nhóm bảo mật có thể cung cấp thông tin đăng nhập tạm thời cho các tài nguyên tại chỗ.
Vai trò IAM ở mọi nơi cho phép các máy chủ tại chỗ, khối lượng công việc trong bộ chứa và ứng dụng sử dụng chứng chỉ X.509 cho thông tin xác thực AWS tạm thời, có thể sử dụng cùng vai trò và chính sách AWS IAM. “Vai trò IAM cung cấp một cách an toàn cho các máy chủ, bộ chứa, ứng dụng tại chỗ của bạn để có được thông tin xác thực AWS tạm thời,” Phó chủ tịch nền tảng AWS Kurt Kufeld cho biết.
Karen Haberkorn, giám đốc quản lý sản phẩm về danh tính của AWS cho biết, tạo thông tin xác thực tạm thời là một giải pháp thay thế lý tưởng khi chúng chỉ cần thiết cho các mục đích ngắn hạn.
Haberkorn cho biết: “Điều này mở rộng các Vai trò IAM để bạn có thể sử dụng chúng và khối lượng công việc chạy bên ngoài AWS, cho phép bạn khai thác toàn bộ sức mạnh của dịch vụ AWS ở bất kỳ nơi nào ứng dụng của bạn đang chạy”. “Nó cho phép bạn quản lý quyền truy cập vào các dịch vụ AWS giống hệt như cách bạn đang làm hiện nay đối với các ứng dụng chạy trong AWS, đối với các ứng dụng chạy tại cơ sở, ở biên — thực sự là ở mọi nơi.”
Haberkorn cho biết thêm vì IAM Roles Anywhere cho phép các tổ chức định cấu hình quyền truy cập theo cùng một cách, nên điều này giúp giảm bớt việc đào tạo và cung cấp quy trình triển khai nhất quán hơn. “Và vâng, nó có nghĩa là một môi trường an toàn hơn,” cô nói. “Nó an toàn hơn vì bạn không còn phải quản lý việc luân chuyển và tính bảo mật của bất kỳ thông tin xác thực dài hạn nào mà trước đây bạn có thể đã sử dụng cho các ứng dụng tại chỗ.”
Trung tâm nhận dạng IAM mới
Amazon cũng thông báo rằng họ đã đổi tên dịch vụ Đăng nhập một lần AWS của mình thành “Trung tâm nhận dạng AWS”. Giám đốc sản phẩm chính Ron Cully giải thích trong một blog đăng bài tuần này, việc thay đổi tên là để phản ánh tốt hơn toàn bộ khả năng của nó và để hỗ trợ những khách hàng trong những năm gần đây đã chuyển sang chiến lược nhiều tài khoản. AWS cũng đang tìm cách “củng cố vai trò được đề xuất của mình là nơi trung tâm để quản lý quyền truy cập trên các tài khoản và ứng dụng AWS,” Cully viết.
Mặc dù AWS chưa công bố bất kỳ thay đổi kỹ thuật nào đối với Trung tâm nhận dạng AWS nhưng Cully nói rằng nó đã nổi lên như “cánh cửa dẫn vào AWS”. Trung tâm nhận dạng AWS xử lý tất cả các yêu cầu xác thực và ủy quyền, đồng thời hiện xử lý nửa tỷ lệnh gọi API mỗi giây.
Curtis Franklin, nhà phân tích cấp cao phụ trách các hoạt động bảo mật và quản lý bảo mật doanh nghiệp tại Omdia, lưu ý rằng AWS đã nhấn mạnh IAM trong suốt hội nghị kéo dài 2 ngày. Ông nói: “AWS đã đưa ra những dấu hiệu cho thấy họ coi danh tính là tiền tuyến cho vấn đề bảo mật và quyền riêng tư trên đám mây. “Tôi nghĩ họ sẽ tiếp tục thu hút các đối tác để AWS trở thành nguồn thông tin chính xác duy nhất về ai là người dùng được ủy quyền và họ có thể có những đặc quyền gì.”
