Najważniejsze wydarzenia z ostatnich premier AWS Identity

27 kwietnia 2021

Poniżej znajdują się najważniejsze informacje na temat AWS Identity od listopada 2020 roku do lutego 2021.

Funkcje wyróżnione w tym artykule pomogą Ci w zarządzaniu i zabezpieczaniu Twojego środowiska Amazon Web Services (AWS). Usługi tożsamości odpowiadają na pytania typu „kto posiada dostęp do czego”. Umożliwiają Ci bezpieczne zarządzanie tożsamościami, zasobami i uprawnieniami na dużą skalę oraz wydajniejszą obsługę Twojego środowiska AWS.

Usługi AWS Identity obejmują AWS Single Sign-On, AWS Directory Service, Amazon Cognito, AWS Identity and Access Management (IAM), AWS Resource Access Manager i AWS Organizations. Jeśli jesteś architektem bezpieczeństwa, będziesz chciał rozważyć nowe funkcje dotyczące uwierzytelniania wieloskładnikowego (MFA) i kontroli dostępu, które mogą poprawić stan zabezpieczeń. Jeśli jesteś administratorem tożsamości, możesz potrzebować łatwiejszego sposobu zarządzania tożsamościami oraz ich dostępem w AWS. Niezależnie od Twojej roli, z pewnością docenisz poprawę widoczności i wydajności w centralnym zarządzaniu i kierowaniu środowiskami AWS. Pora przyjrzeć się najnowszym zmianom i dowiedzieć się, w jaki sposób możesz dzięki nim zyskać!

Uruchamianie zarządzania tożsamością

Usługi zarządzania tożsamością świadczone przez AWS Identity obejmują AWS SSO, AWS Directory Service i Amazon Cognito. Pomagają w migracji istniejących obciążeń do AWS, zapewniając tym samym elastyczne opcje dotyczące tego, gdzie i w jaki sposób zarządzasz tożsamościami swoich pracowników, partnerów i klientów. Podsumowując, wersje omówione w tej sekcji zapewniają więcej opcji dla dostępności, uwierzytelniania i kontroli dostępu.

Microsoft Active Directory od teraz może być zsynchronizowany z AWS SSO

AWS SSO umożliwia centralne zarządzanie dostępem do wielu kont AWS i aplikacji biznesowych, a także zapewnia użytkownikom dostęp w postaci pojedynczego logowania do wszystkich przypisanych im kont i aplikacji z jednego miejsca. AWS SSO synchronizuje użytkowników, grupy i członkostwa w grupach Active Directory oprócz usług Azure AD, Okta, Ping Identity i OneLogin. Od teraz jakiekolwiek zmiany wprowadzone w informacjach o użytkownikach i grupach w Active Directory są automatycznie odzwierciedlane w AWS SSO, zmniejszając Twój wysiłek administracyjny w zarządzaniu tożsamościami w AWS. Zintegrowane aplikacje AWS SSO mogą wykorzystywać dane tożsamości do szczegółowej autoryzacji, współpracy i innych doświadczeń użytkowników w aplikacji.

Więcej opcji dla MFA podczas korzystania z AWS SSO

Od teraz AWS SSO może wymagać MFA dla nowych użytkowników i korzystania z dodatkowych czynników poprzez obsługę WebAuthn, która umożliwia korzystanie ze sprzętowych i biometrycznych urządzeń uwierzytelniających, takich jak YubiKeys i odciski palców. Ta nowa funkcja jest dostępna podczas korzystania z AWS SSO lub Microsoft Active Directory jako Twoje źródło tożsamości.

Instancje Microsoft AD zarządzane przez AWS są teraz dostępne w różnych regionach

Od teraz możesz wdrażać i używać pojedynczego katalogu Microsoft AD zarządzanego przez AWS (Enterprise Edition) w wielu regionach AWS. Ta zmiana sprawia, że globalne wdrażanie i zarządzanie obciążeniami systemów Microsoft Windows i Linux staje się łatwiejsze i bardziej opłacalne.

WorkSpaces od teraz obsługuje karty inteligentne

Od teraz użytkownicy mogą uwierzytelniać się za pomocą ich inteligentnych kart (smart cards) w Amazon WorkSpaces z Active Directory Connector. Umożliwia to klientom, którzy korzystają z inteligentnych kart, np. agencjom federalnym Stanów Zjednoczonych, dostęp do WorkSpaces przy użyciu swoich kart, zamiast wprowadzania nazwy użytkownika i hasła. Ta funkcja obsługuje uwierzytelnianie przed sesją i w sesji. Uwierzytelnianie przed sesją jest aktualnie dostępne jedynie w regionie AWS GovCloud.

Amazon Cognito dołącza do AWS SSO we wspieraniu ABAC dla szczegółowych uprawnień w AWS

Pule tożsamości Amazon Cognito od teraz umożliwiają Ci korzystanie z atrybutów od dostawców tożsamości społecznościowych i korporacyjnych do podejmowania decyzji dotyczących kontroli dostępu i uproszczenia zarządzania uprawnieniami do zasobów AWS. AWS SSO całkiem niedawno wprowadziło obsługę kontroli dostępu opartą na atrybutach ABAC, która umożliwia tworzenie szczegółowych uprawnień za pomocą atrybutów zdefiniowanych w źródle tożsamości AWS SSO, takich jak centrum kosztów i dział. Dowiedz się więcej na temat ABAC z What is ABAC for AWS.

Uruchomia się zarządzanie dostępem

AWS IAM wiąże Twoje tożsamości z zasobami, do których potrzebuje dostępu. IAM zapewnia szczegółowość kontroli dostępu użytkownika do określonych usług i zasobów AWS za pomocą uprawnień, co pomaga wymusić najmniej uprzywilejowaną kontrolę dostępu. IAM pomaga Ci również przeanalizować dostęp w środowisku AWS poprzez identyfikację zasobów, do których można uzyskać dostęp spoza konta.

Coraz więcej usług i zasobów AWS obsługuje teraz tagi i może być użytych dla ABAC

Uprawnienia IAM od teraz pozwalają Ci na używanie tagów w celu zarządzania i zabezpieczania dostępu do większej liczby zasobów, w tym zasad zarządzanych przez klienta, profili instancji, dostawców OpenID Connect, dostawców SAML, certyfikatów serwerów i wirtualnych MFA. Tagi i ABAC są także obsługiwane w zarządzanym przez Amazon Managed Blockchain, Server Quotas i AWS Key Management Service (AWS KMS).

IAM Access Analyzer od teraz obsługuje więcej zasobów, które można sprawdzić pod kątem niezamierzonego dostępu zewnętrznego

IAM Accesss Analyzer od teraz analizuje zasady oparte na zasobach AWS Secrets Manager dla publicznego dostępu do poufnych informacji. To przyczynia się do rosnącej liczby zasobów, które można analizować za pomocą Access Analyzer, w tym zasobników Amazon Simple Storage Service (Amazon S3), ról IAM, kluczy AWS KMS, funkcji i warstw AWS Lambda oraz kolejek AWS Simple Queue Service (Amazon SQS).

Uruchamia się zarządzanie zasobami

AWS RAM jest usługą, która umożliwia łatwiejsze i bezpieczniejsze udostępnianie zasobów AWS dowolnemu kontu AWS lub w ramach Twojej organizacji. Możesz udostępniać zasoby AWS Transit Gateway, podsieci, konfiguracje AWS License Manager i reguły Amazon Route 53 Resolver z pamięcią RAM AWS. Aby uzyskać pełną listę, zobacz zasoby AWS, które można udostępniać.

AWS RAM umożliwia współdzielenie zasobów Network Firewall

AWS Network Firewall jest wysoce dostępną, zarządzaną usługą zapory sieciowej dla Twojej wirtualnej chmury prywatnej (VPC). Możesz centralnie tworzyć i zarządzać zasadami zapory i grupami reguł, a także udostępniać je przez pamięć AWS RAM w Twojej organizacji. W celu uzyskania dodatkowych informacji zapoznaj się z pracą ze współdzielonymi zasadami zapory i grupami reguł w podręczniku programisty AWS Network Firewall.

Uruchamianie zarządzania

Usługi zarządzania tożsamością i nadzorem dają Ci możliwość delegowania zadań administracyjnych i automatyzacji funkcji, takich jak tworzenie kont, w celu zarządzania dużymi, wielokontowymi środowiskami AWS. Wraz z AWS możesz także poprawić bezpieczeństwo i wdrażanie wymagań dotyczących zgodności, konsekwentnie wymuszając, kto może tworzyć typy zasobów i gdzie.

Usługi AWS z nowym lub zwiększonym wsparciem dla organizacji AWS

AWS CloudFormation StackSets od teraz obsługuje wyznaczanie konta członka AWS jako delegowanego administratora do tworzenia i zarządzania zestawami stosów dla całej organizacji. AWS CloudFormation StackSets rozszerza funkcjonalność stosów, umożliwiając tworzenie, aktualizowanie lub usuwanie stosów na wielu kontach i regionach za pomocą jednej operacji.

AWS Personal Health Dashboard obsługuje teraz agregację zdarzeń w całej organizacji. Z poziomu jednego pulpitu masz pełny wgląd w zdarzenia dotyczące zdrowia, takie jak zdarzenia związane z konserwacją, luki w zabezpieczeniach i degradację usług AWS mających wpływ na jakiekolwiek konto w Twojej organizacji AWS.

AWS Audit Manager jest nową usługą zintegrowaną z Organizacjami i pomaga Ci w ciągłym audytowaniu korzystania z AWS w celu uproszczenia oceny ryzyka i zgodności z przepisami i dobrze znanymi standardami.

AWS Backup od teraz obsługuje kopie zapasowe dla wielu kont, oprócz zarządzania między kontami. Możesz wdrożyć plan tworzenia kopii zapasowych dla całej organizacji z konta zarządzania w organizacji, zapewniając tworzenie kopii zapasowych na wszystkich kontach i zmniejszając tym samym nakład pracy związany z zarządzaniem oddzielnymi kopami zapasowymi dla każdego konta.

Amazon S3 Storage Lens zapewnia teraz w całej organizacji wgląd w przechowywanie obiektów. Dzięki najnowszym aktualizacjom możesz teraz rozumieć, analizować i optymalizować pamięć masową dla całej organizacji, określonych kont, Regionów, zasobników lub prefiksów, nawet jeśli obejmuje ona setki kont w wielu Regionach.

W końcu możesz używać Trusted Advisor w celu generowania raportów ze szczegółowymi wynikami kontroli na wielu kontach w Twojej organizacji i używać AWS Management Console, aby wyświetlić ogólne podsumowanie stanu kontroli.

Service Quotas obsługują teraz ABAC dla limitów

Dzięki zaktualizowanej obsłudze tagowania i kontroli dostępu opartej na atrybutach tagi mogą być teraz stosowane do przydziałów, umożliwiając łatwą identyfikację, klasyfikację lub kategoryzację zastosowanych limitów w Twoim koncie AWS. Zastosowane limity lub limity dla konkretnego konta to zastąpienia, które są specyficzne dla Twojego konta i zostały Ci przyznane w przeszłości. Dodatkowo możesz używać tych tagów dla ABAC. Na przykład można zezwolić tylko administratorowi na żądanie zwiększenia przydziałów produkcyjnych lub przydziałów z wysokimi kosztami oznaczonymi innym miejscem postawania kosztów.

źródło: AWS

 

Case Studies
Referencje

Firma Hostersi pozwoliła nam osadzić ogólne zagadnienia programu Well Architected Framework w kontekście naszej firmy. Oszczędziło nam to wiele czasu i pozwoliło znaleźć lepiej dopasowane rozwiązania do specyfiki naszego biznesu. WAF był świetnym katalizatorem do wprowadzenie szeregu zmian w obszarze niezawodności, szybkości i bezpieczeństwa edrone. 

Piotr Stachowicz
CTO
W skrócie o nas
Specjalizujemy się w dostarczaniu rozwiązań IT w obszarach projektowania infrastruktury serwerowej, wdrażania chmury obliczeniowej, opieki administracyjnej i bezpieczeństwa danych.