1. AWS 责任共担模型

  • 安全性和合规性是 AWS 和客户的共同责任。这种共担模式可以减轻客户的运营负担,因为 AWS 负责运行、管理和控制从主机操作系统和虚拟层到服务运营所在设施的物理安全性的组件。客户负责管理来宾操作系统(包括更新和安全补丁)、其他相关应用程序软件以及 AWS 提供的安全组防火墙的配置。image.png

image.png

  • AWS 负责“云本身的安全” – AWS 负责保护运行所有 AWS 云服务的基础设施。该基础实施由运行 AWS 云服务的硬件、软件、网络和设备组成。image.png

image.png

  • 客户负责“云内部的安全” – 客户责任由客户所选的 AWS 云服务确定。这决定了客户在履行安全责任时必须完成的配置工作量。
    • 例如,Amazon Elastic Compute Cloud (Amazon EC2) 等服务被归类为基础设施即服务 (IaaS),因此要求客户执行所有必要的安全配置和管理任务。部署 Amazon EC2 实例的客户需要负责来宾操作系统(包括更新和安全补丁)的管理、客户在实例上安装的任何应用程序软件或实用工具,以及每个实例上 AWS 提供的防火墙(称为安全组)的配置。
    • 对于抽象化服务,例如 Amazon S3 和 Amazon DynamoDB,AWS 运营基础设施层、操作系统和平台,而客户通过访问终端节点存储和检索数据。客户负责管理其数据(包括加密选项),对其资产进行分类,以及使用 IAM 工具分配适当的权限。image.png


2. AWS 账户访问管理

2.1 与 AWS 交互方式

image.png

2.2 IAM

  • AWS Identity and Access Management ( IAM ) 是提供用户用来管理用户对 AWS 资源的访问权限及其身份验证的服务。
  • 基本上的特性有:
    • IAM账户使用者可以分为根使用者 (root user) 与一般使用者 (IAM user)。
    • 免费提供的服务。
    • 创建用户、组和角色,并为其附加策略以控制其对 AWS 资源的访问权限。

image.png

2.2.1 身份验证

  • 控制台访问:
    • 使用账户 ID 或别名、IAM 用户名和密码;
    • 如果已启动,则 MFA 会提示输入身份验证代码;
  • 以编程方式访问:
    • 验证访问密钥 ID 和秘密访问密钥;
    • 提供对 API、CLI、软件开发工具包和其他开发工具的访问;

image.png
image.png

2.2.2 创建 IAM 用户

image.png
image.png
image.png
image.pngimage.pngimage.png

2.2.3 IAM 用户管理 - 组

image.png

2.2.4 授权

image.png
image.png
image.png
image.png
image.png
image.png
image.png
image.png
image.png

4. Demo - 授权 EC2 访问 S3

image.pngimage.png
image.png
image.png
image.png
image.png
image.png
image.png
image.png
image.png
image.png
image.png