Ketahanan di AWS Identity and Access Management - AWS Identity and Access Management
Praktik terbaik untuk ketahanan IAM

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Ketahanan di AWS Identity and Access Management

Infrastruktur AWS global dibangun di sekitar AWS Wilayah dan Zona Ketersediaan. AWS Wilayah memiliki beberapa Availability Zone yang terpisah secara fisik dan terisolasi, yang terhubung dengan latensi rendah, throughput tinggi, dan jaringan yang sangat redundan. Untuk informasi selengkapnya tentang AWS Wilayah dan Availability Zone, lihat Infrastruktur AWS Global.

AWS Identity and Access Management (IAM) dan AWS Security Token Service (AWS STS) adalah layanan mandiri berbasis Wilayah yang tersedia secara global.

IAM adalah hal yang kritis AWS service. Setiap operasi yang dilakukan AWS harus diautentikasi dan disahkan oleh IAM. IAM memeriksa setiap permintaan terhadap identitas dan kebijakan yang disimpan di IAM untuk menentukan apakah permintaan tersebut diizinkan atau ditolak. IAM dirancang dengan bidang kontrol dan bidang data terpisah sehingga layanan mengautentikasi bahkan selama kegagalan yang tidak terduga. Sumber daya IAM yang digunakan dalam otorisasi, seperti peran dan kebijakan, disimpan di bidang kontrol. Pelanggan IAM dapat mengubah konfigurasi sumber daya ini dengan menggunakan operasi IAM seperti DeletePolicy dan. AttachRolePolicy Permintaan perubahan konfigurasi tersebut masuk ke bidang kontrol. Ada satu pesawat kontrol IAM untuk semua komersial Wilayah AWS, yang terletak di Wilayah AS Timur (Virginia N.). Sistem IAM kemudian menyebarkan perubahan konfigurasi ke bidang data IAM di setiap diaktifkan. Wilayah AWS Bidang data IAM pada dasarnya adalah replika hanya-baca dari data konfigurasi bidang kontrol IAM. Masing-masing Wilayah AWS memiliki instance yang sepenuhnya independen dari pesawat data IAM, yang melakukan otentikasi dan otorisasi untuk permintaan dari Wilayah yang sama. Di setiap Wilayah, pesawat data IAM didistribusikan di setidaknya tiga Availability Zone, dan memiliki kapasitas yang cukup untuk mentolerir hilangnya Availability Zone tanpa gangguan pelanggan. Baik kontrol IAM dan pesawat data dibangun untuk nol waktu henti yang direncanakan, dengan semua pembaruan perangkat lunak dan operasi penskalaan dilakukan dengan cara yang tidak terlihat oleh pelanggan.

AWS STS permintaan selalu pergi ke satu titik akhir global secara default. Anda dapat menggunakan AWS STS endpoint Regional untuk mengurangi latensi atau memberikan redundansi tambahan untuk aplikasi Anda. Untuk mempelajari selengkapnya, lihat Mengelola AWS STS dalam Wilayah AWS.

Peristiwa tertentu dapat mengganggu komunikasi antara Wilayah AWS melalui jaringan. Namun, bahkan ketika Anda tidak dapat berkomunikasi dengan endpoint IAM global, masih AWS STS dapat mengautentikasi prinsip-prinsip IAM dan IAM dapat mengotorisasi permintaan Anda. Detail spesifik dari suatu peristiwa yang mengganggu komunikasi akan menentukan kemampuan Anda untuk mengakses AWS layanan. Dalam kebanyakan situasi, Anda dapat terus menggunakan kredensil IAM di lingkungan Anda. AWS Kondisi berikut mungkin berlaku untuk peristiwa yang mengganggu komunikasi.

Kunci akses untuk pengguna IAM

Anda dapat mengautentikasi tanpa batas waktu di Wilayah dengan kunci akses jangka panjang untuk pengguna IAM. Saat Anda menggunakan AWS Command Line Interface dan API, Anda dapat memberikan kunci AWS akses sehingga AWS dapat memverifikasi identitas Anda dalam permintaan terprogram.

penting

Sebagai praktik terbaik, kami menyarankan agar pengguna Anda masuk dengan kredensi sementara, bukan kunci akses jangka panjang.

Kredensial sementara

Anda dapat meminta kredensi sementara baru dengan titik akhir layanan AWS STS Regional setidaknya selama 24 jam. Operasi API berikut menghasilkan kredensil sementara.

  • AssumeRole

  • AssumeRoleWithWebIdentity

  • AssumeRoleWithSAM

  • GetFederationToken

  • GetSessionToken

Prinsipal dan izin

  • Anda mungkin tidak dapat menambahkan, memodifikasi, atau menghapus prinsip atau izin di IAM.

  • Kredensi Anda mungkin tidak mencerminkan perubahan pada izin yang baru saja Anda terapkan di IAM. Untuk informasi selengkapnya, lihat Perubahan yang saya buat tidak selalu langsung terlihat.

AWS Management Console

  • Anda mungkin dapat menggunakan titik akhir masuk Regional untuk masuk ke pengguna IAM AWS Management Console sebagai. Titik akhir masuk regional memiliki format URL berikut.

    https://{Account ID}.signin.aws.amazon.com/console?region={Region}

    Contoh: https://111122223333.signin.aws.amazon.com/console?region=us-west-2

  • Anda mungkin tidak dapat menyelesaikan otentikasi multi-faktor Universal 2nd Factor (U2F) (MFA).

Praktik terbaik untuk ketahanan IAM

AWS telah membangun ketahanan ke dalam Wilayah AWS dan Availability Zones. Ketika Anda mengamati praktik terbaik IAM berikut dalam sistem yang berinteraksi dengan lingkungan Anda, Anda memanfaatkan ketahanan itu.

  1. Gunakan endpoint layanan AWS STS Regional, bukan endpoint global default.

  2. Tinjau konfigurasi lingkungan Anda untuk sumber daya vital yang secara rutin membuat atau memodifikasi sumber daya IAM, dan menyiapkan solusi fallback yang menggunakan sumber daya IAM yang ada.