Ketahanan di AWS Identity and Access Management - AWS Identity and Access Management
Praktik terbaik untuk IAM ketahanan

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Ketahanan di AWS Identity and Access Management

Infrastruktur AWS global dibangun di sekitar AWS Wilayah dan Zona Ketersediaan. AWS Wilayah memiliki beberapa Availability Zone yang terpisah secara fisik dan terisolasi, yang terhubung dengan latensi rendah, throughput tinggi, dan jaringan yang sangat redundan. Untuk informasi selengkapnya tentang AWS Wilayah dan Availability Zone, lihat Infrastruktur AWS Global.

AWS Identity and Access Management (IAM) dan AWS Security Token Service (AWS STS) adalah layanan mandiri berbasis Wilayah yang tersedia secara global.

IAMadalah kritis Layanan AWS. Setiap operasi yang dilakukan AWS harus diautentikasi dan disahkan olehIAM. IAMmemeriksa setiap permintaan terhadap identitas dan kebijakan yang disimpan IAM untuk menentukan apakah permintaan diizinkan atau ditolak. IAMdirancang dengan bidang kontrol dan bidang data terpisah sehingga layanan mengautentikasi bahkan selama kegagalan yang tidak terduga. IAMsumber daya yang digunakan dalam otorisasi, seperti peran dan kebijakan, disimpan di bidang kontrol. IAMpelanggan dapat mengubah konfigurasi sumber daya ini dengan menggunakan IAM operasi seperti DeletePolicy danAttachRolePolicy. Permintaan perubahan konfigurasi tersebut masuk ke bidang kontrol. Ada satu pesawat IAM kontrol untuk semua komersial Wilayah AWS, yang terletak di Wilayah AS Timur (Virginia N.). IAMSistem kemudian menyebarkan perubahan konfigurasi ke bidang IAM data di setiap diaktifkan Wilayah AWS. Bidang IAM data pada dasarnya adalah replika read-only dari data konfigurasi bidang IAM kontrol. Masing-masing Wilayah AWS memiliki instance yang sepenuhnya independen dari bidang IAM data, yang melakukan otentikasi dan otorisasi untuk permintaan dari Wilayah yang sama. Di setiap Wilayah, pesawat IAM data didistribusikan di setidaknya tiga Availability Zone, dan memiliki kapasitas yang cukup untuk mentolerir hilangnya Availability Zone tanpa gangguan pelanggan. Baik pesawat IAM kontrol dan data dibangun untuk nol waktu henti yang direncanakan, dengan semua pembaruan perangkat lunak dan operasi penskalaan dilakukan dengan cara yang tidak terlihat oleh pelanggan.

AWS STS permintaan selalu pergi ke satu titik akhir global secara default. Anda dapat menggunakan AWS STS endpoint Regional untuk mengurangi latensi atau memberikan redundansi tambahan untuk aplikasi Anda. Untuk mempelajari selengkapnya, lihat Kelola AWS STS dalam sebuah Wilayah AWS.

Peristiwa tertentu dapat mengganggu komunikasi antara Wilayah AWS melalui jaringan. Namun, bahkan ketika Anda tidak dapat berkomunikasi dengan IAM titik akhir global, masih AWS STS dapat mengautentikasi IAM prinsipal dan IAM dapat mengotorisasi permintaan Anda. Detail spesifik dari suatu peristiwa yang mengganggu komunikasi akan menentukan kemampuan Anda untuk mengakses AWS layanan. Dalam kebanyakan situasi, Anda dapat terus menggunakan IAM kredensil di lingkungan Anda AWS . Kondisi berikut mungkin berlaku untuk peristiwa yang mengganggu komunikasi.

Kunci akses untuk IAM pengguna

Anda dapat mengautentikasi tanpa batas waktu di Wilayah dengan kunci akses jangka panjang untuk IAM pengguna. Saat Anda menggunakan AWS Command Line Interface danAPIs, Anda dapat memberikan kunci AWS akses sehingga AWS dapat memverifikasi identitas Anda dalam permintaan terprogram.

penting

Sebagai praktik terbaik, kami menyarankan agar pengguna Anda masuk dengan kredensi sementara, bukan kunci akses jangka panjang.

Kredensial sementara

Anda dapat meminta kredensi sementara baru dengan titik akhir layanan AWS STS Regional setidaknya selama 24 jam. APIOperasi berikut menghasilkan kredensil sementara.

  • AssumeRole

  • AssumeRoleWithWebIdentity

  • AssumeRoleWithSAML

  • GetFederationToken

  • GetSessionToken

Prinsipal dan izin

  • Anda mungkin tidak dapat menambahkan, memodifikasi, atau menghapus prinsip atau izin di. IAM

  • Kredensi Anda mungkin tidak mencerminkan perubahan pada izin yang baru saja Anda terapkan. IAM Untuk informasi selengkapnya, lihat Perubahan yang saya buat tidak selalu langsung terlihat.

AWS Management Console

  • Anda mungkin dapat menggunakan titik akhir masuk Regional untuk masuk ke AWS Management Console sebagai IAM pengguna. Titik akhir masuk regional memiliki format berikutURL.

    https://{Account ID}.signin.aws.amazon.com/console?region={Region}

    Contoh: https://111122223333.signin.aws.amazon.com /console? wilayah=us-barat-2

  • Anda mungkin tidak dapat menyelesaikan otentikasi multi-faktor Universal 2nd Factor (U2F) (). MFA

Praktik terbaik untuk IAM ketahanan

AWS telah membangun ketahanan ke dalam Wilayah AWS dan Availability Zones. Ketika Anda mengamati praktik IAM terbaik berikut dalam sistem yang berinteraksi dengan lingkungan Anda, Anda memanfaatkan ketahanan itu.

  1. Gunakan endpoint layanan AWS STS Regional, bukan endpoint global default.

  2. Tinjau konfigurasi lingkungan Anda untuk sumber daya vital yang secara rutin membuat atau memodifikasi IAM sumber daya, dan menyiapkan solusi fallback yang menggunakan sumber daya yang ada. IAM