Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Résilience dans AWS Identity and Access Management
L'infrastructure AWS mondiale est construite autour des AWS régions et des zones de disponibilité. AWS Les régions disposent de plusieurs zones de disponibilité physiquement séparées et isolées, connectées par un réseau à faible latence, à haut débit et hautement redondant. Pour plus d'informations sur AWS les régions et les zones de disponibilité, consultez la section Infrastructure AWS mondiale
AWS Identity and Access Management (IAM) et AWS Security Token Service (AWS STS) sont des services régionaux autonomes disponibles dans le monde entier.
IAMest critique Service AWS. Chaque opération effectuée AWS doit être authentifiée et autorisée parIAM. IAMvérifie chaque demande par rapport aux identités et aux politiques enregistrées IAM pour déterminer si la demande est autorisée ou refusée. IAMa été conçu avec un plan de contrôle et un plan de données séparés afin que le service s'authentifie même en cas de panne imprévue. IAMles ressources utilisées dans les autorisations, telles que les rôles et les politiques, sont stockées dans le plan de contrôle. IAMles clients peuvent modifier la configuration de ces ressources en utilisant IAM des opérations telles que DeletePolicy etAttachRolePolicy. Ces demandes de modification de configuration sont envoyées au plan de contrôle. Il existe un seul avion IAM de contrôle pour tous les Régions AWS vols commerciaux, situé dans la région de l'est des États-Unis (Virginie du Nord). Le IAM système propage ensuite les modifications de configuration sur les plans de IAM données pour chaque activation Région AWS. Le plan de IAM données est essentiellement une réplique en lecture seule des données de configuration du plan de IAM contrôle. Chacun Région AWS dispose d'une instance totalement indépendante du plan de IAM données, qui effectue l'authentification et l'autorisation pour les demandes provenant de la même région. Dans chaque région, le plan de IAM données est réparti sur au moins trois zones de disponibilité et dispose d'une capacité suffisante pour tolérer la perte d'une zone de disponibilité sans porter préjudice au client. Les plans IAM de contrôle et de données ont été conçus pour éviter toute interruption planifiée, toutes les mises à jour logicielles et les opérations de mise à l'échelle étant effectuées de manière invisible pour les clients.
AWS STS les demandes sont toujours dirigées vers un seul point de terminaison global par défaut. Vous pouvez utiliser un point de terminaison AWS STS régional pour réduire la latence ou fournir une redondance supplémentaire pour vos applications. Pour en savoir plus, consultez Gérer AWS STS dans un Région AWS.
Certains événements peuvent interrompre la communication Régions AWS entre les réseaux. Cependant, même lorsque vous ne pouvez pas communiquer avec le point de IAM terminaison global, vous AWS STS pouvez toujours authentifier IAM les principaux et IAM autoriser vos demandes. Les détails spécifiques d'un événement qui interrompt la communication détermineront votre capacité à accéder aux AWS services. Dans la plupart des cas, vous pouvez continuer à utiliser les IAM informations d'identification dans votre AWS environnement. Les conditions suivantes peuvent s'appliquer à un événement qui interrompt la communication.
- Clés d'accès pour IAM les utilisateurs
-
Vous pouvez vous authentifier indéfiniment dans une région avec des clés d'accès à long terme pour les IAM utilisateurs. Lorsque vous utilisez le AWS Command Line Interface etAPIs, vous pouvez fournir des clés AWS d'accès afin AWS de vérifier votre identité dans les demandes programmatiques.
Important
Selon les bonnes pratiques, nous recommandons à vos utilisateurs de se connecter avec des informations d'identification temporaires plutôt qu'avec des clés d'accès longue durée.
- Informations d’identification temporaires
-
Vous pouvez demander de nouvelles informations d'identification temporaires auprès du point de terminaison du service AWS STS régional pendant au moins 24 heures. Les API opérations suivantes génèrent des informations d'identification temporaires.
-
AssumeRole
-
AssumeRoleWithWebIdentity
-
AssumeRoleWithSAML
-
GetFederationToken
-
GetSessionToken
-
- Principaux et autorisations
-
-
Il se peut que vous ne puissiez pas ajouter, modifier ou supprimer des principes ou des autorisations dansIAM.
-
Vos informations d'identification ne reflètent peut-être pas les modifications apportées aux autorisations que vous avez récemment demandéesIAM. Pour de plus amples informations, veuillez consulter Les modifications que j'apporte ne sont pas toujours visibles immédiatement.
-
- AWS Management Console
-
-
Vous pouvez peut-être utiliser un point de connexion régional pour vous connecter au en AWS Management Console tant qu'IAMutilisateur. Les points de terminaison de connexion régionaux ont le format suivantURL.
https://{Account ID}.signin.aws.amazon.com/console?region={Region}Exemple : https://111122223333.signin.aws.amazon.com /console ? région=us-ouest-2
-
Il se peut que vous ne puissiez pas effectuer l'authentification multifactorielle universelle à second facteur (U2F) (). MFA
-
Bonnes pratiques en matière de IAM résilience
AWS a intégré la résilience dans Régions AWS les zones de disponibilité. Lorsque vous observez les IAM meilleures pratiques suivantes dans les systèmes qui interagissent avec votre environnement, vous tirez parti de cette résilience.
-
Utilisez un point de terminaison de service AWS STS régional au lieu du point de terminaison global par défaut.
-
Passez en revue la configuration de votre environnement pour détecter les ressources vitales qui créent ou modifient régulièrement IAM des ressources, et préparez une solution de secours utilisant les IAM ressources existantes.
