AWS Identity and Access Management 中的恢復能力
AWS 全球基礎設施是以 AWS 區域與可用區域為中心建置的。AWS區域擁有多個分開且隔離的實際可用區域,並以低延遲、高輸送量和高度備援聯網相互連結。如需 AWS 區域與可用區域的相關資訊,請參閱 AWS 全球基礎設施
AWS Identity and Access Management (IAM) 和 AWS Security Token Service (AWS STS) 是自我維持的、基於區域的服務,可在全球範圍內使用。
IAM 是非常重要的 AWS 服務。在 AWS 中執行的每個操作必須經過 IAM 驗證和授權。IAM 會根據 IAM 中儲存的身分和政策檢查每個請求,以判斷是否允許或拒絕請求。IAM 設計有一個單獨的控制平面和資料平面,以便服務即使在意外故障期間也會進行驗證。授權中使用的 IAM 資源 (例如角色和政策) 會儲存在控制平面中。IAM 客戶可以使用諸如 DeletePolicy 和 AttachRolePolicy 等 IAM 操作來變更這些資源的組態。這些組態變更請求會移至控制平面。所有商用 AWS 區域 會具有一個 IAM 控制平面,它位於美國東部 (維吉尼亞北部) 區域。然後,IAM 系統會將組態變更傳播至每個已啟用 AWS 區域 的 IAM 資料平面。IAM 資料平面基本上是 IAM 控制平面組態資料的唯讀複本。每個 AWS 區域 都具有完全獨立的 IAM 資料平面執行個體,可對來自同一區域的請求執行驗證和授權。在每個區域中,IAM 資料平面至少分佈在三個可用區域,並具有足夠的容量來容忍可用區域的損失,而不會造成任何客戶損失。IAM 控制平面和資料平面都是針對零計劃停機而構建,以客戶看不到的方式執行所有軟體更新和擴展操作。
根據預設,AWS STS 請求總是會移至單一全域端點。您可以使用區域 AWS STS 端點來降低延遲,或是為應用程式提供額外的備援。如需進一步了解,請參閱 在 AWS STS 中管理 AWS 區域。
某些事件可能會中斷網路上 AWS 區域 之間的通訊。不過,即使您無法與全域 IAM 端點通訊,AWS STS 仍然可以驗證 IAM 主體,並且 IAM 可以授權您的請求。中斷通訊的事件的具體細節將決定您是否能夠存取 AWS 服務。在大部分情況下,您可以繼續在 AWS 環境中使用 IAM 憑證。下列情況可能適用於中斷通訊的事件。
- IAM 使用者的存取金鑰
-
使用長期 IAM 使用者存取金鑰,您可以在區域中無限期地進行驗證。當您使用 AWS Command Line Interface 和 API 時,可以提供 AWS 存取金鑰,以便 AWS 在程式設計請求中驗證您的身分。
- 臨時憑證
-
您可以向 AWS STS 區域服務端點請求新的暫時性憑證,為期至少 24 小時。下列 API 操作會產生暫時性憑證。
-
AssumeRole
-
AssumeRoleWithWebIdentity
-
AssumeRoleWithSAML
-
GetFederationToken
-
GetSessionToken
-
- 主體和許可
-
-
您可能無法在 IAM 中新增、修改或移除主體或許可。
-
您的憑證可能不會反映您最近在 IAM 中套用的許可變更。如需詳細資訊,請參閱我所做的變更不一定都會立刻生效。
-
- AWS Management Console
-
-
您可能可以使用區域登入端點以 IAM 使用者身分登入 AWS Management Console。區域登入端點具有下列 URL 格式。
https://{Account ID}.signin.aws.amazon.com/console?region={Region}範例:https://111122223333.signin.aws.amazon.com/console?region=us-west-2
-
您可能無法完成 Universal 2nd Factor (U2F) 多重要素驗證 (MFA)。
-
IAM 彈性的最佳實務
AWS 已經在 AWS 區域 和可用區域中構建了彈性。當您在與環境互動的系統中觀察下列 IAM 最佳實務時,可以充分利用該彈性。
-
使用 AWS STS 區域服務端點而非預設的全域端點。
-
檢閱環境的組態,尋找定期建立或修改 IAM 資源的重要資源,並準備使用現有 IAM 資源的備用解決方案。
