亚马逊本周在波士顿举行的 AWS re:Inforce 安全会议上强调了身份和访问管理。 在公告中 GuardDuty 恶意软件检测 和 Amazon Detective for Elastic Kubernetes Service (EKS),Amazon Web Services 高管强调了本月早些时候推出的 IAM Roles Anywhere,这使得 AWS身份和访问管理(IAM) 在 AWS 之外的资源上运行。 借助 IAM Roles Anywhere,安全团队可以为本地资源提供临时凭证。
IAM Roles Anywhere 使本地服务器、容器工作负载和应用程序能够将 X.509 证书用于临时 AWS 凭证,这些凭证可以使用相同的 AWS IAM 角色和策略。 “IAM 角色为您的本地服务器、容器、应用程序提供了一种获取临时 AWS 凭证的安全方式,”AWS 平台副总裁 Kurt Kufeld 说。
AWS 身份产品管理总监 Karen Haberkorn 在技术会议上表示,当临时凭证仅用于短期目的时,创建临时凭证是一种理想的选择。
“这扩展了 IAM 角色,因此您可以使用它们和在 AWS 之外运行的工作负载,让您可以在任何运行应用程序的地方利用 AWS 服务的所有功能,”Haberkorn 说。 “它让您可以像现在对在 AWS 中运行的应用程序、在本地、边缘 - 真的在任何地方运行的应用程序一样,管理对 AWS 服务的访问。”
Haberkorn 补充说,由于 IAM Roles Anywhere 使组织能够以相同的方式配置访问权限,因此它减少了培训并提供了更一致的部署流程。 “是的,这意味着一个更安全的环境,”她说。 “它更安全,因为您不再需要管理过去可能用于本地应用程序的任何长期凭证的轮换和安全性。”
新的 IAM 身份中心
亚马逊还宣布已将其 AWS Single Sign-On 产品重命名为“AWS Identity Center”。 首席产品经理 Ron Cully 在 博客文章 本周更名是为了更好地反映其全套功能,并支持近年来已转向 多账户策略. Cully 写道,AWS 还希望“加强其作为管理跨 AWS 账户和应用程序访问的中心位置的推荐角色”。
虽然 AWS 尚未宣布对 AWS Identity Center 进行任何技术更改,但 Cully 表示它已成为“进入 AWS 的大门”。 AWS Identity Center 处理所有身份验证和授权请求,现在每秒处理十亿次 API 调用。
Omdia 负责企业安全管理和安全运营的高级分析师 Curtis Franklin 指出,AWS 在为期 2 天的会议中强调了 IAM。 “AWS 给出的迹象表明,它认为身份是云中安全和隐私的前线,”他说。 “我认为他们将继续引入合作伙伴,以便 AWS 成为有关授权用户是谁以及他们可以拥有哪些特权的单一事实来源。”
