Resilienza in AWS Identity and Access Management - AWS Identity and Access Management
Le migliori pratiche per la resilienza IAM

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Resilienza in AWS Identity and Access Management

L'infrastruttura AWS globale è costruita attorno a AWS regioni e zone di disponibilità. AWS Le regioni hanno più zone di disponibilità fisicamente separate e isolate, collegate tramite reti a bassa latenza, ad alto throughput e altamente ridondanti. Per ulteriori informazioni su AWS regioni e zone di disponibilità, consulta Global Infrastructure.AWS

AWS Identity and Access Management (IAM) e AWS Security Token Service (AWS STS) sono servizi autosufficienti, basati sulla regione, disponibili a livello globale.

IAMè fondamentale. AWS servizio Ogni operazione eseguita in AWS deve essere autenticata e autorizzata daIAM. IAMverifica ogni richiesta rispetto alle identità e alle politiche memorizzate IAM per determinare se la richiesta è consentita o rifiutata. IAMè stato progettato con un piano di controllo e un piano dati separati in modo che il servizio si autentichi anche in caso di guasti imprevisti. IAMle risorse utilizzate nelle autorizzazioni, come ruoli e politiche, vengono archiviate nel piano di controllo. IAMi clienti possono modificare la configurazione di queste risorse utilizzando IAM operazioni come DeletePolicy eAttachRolePolicy. Tali richieste di modifica della configurazione pervengono al piano di controllo. Esiste un unico piano IAM di controllo per tutte le attività commerciali Regioni AWS, che si trova nella regione degli Stati Uniti orientali (Virginia settentrionale). Il IAM sistema quindi propaga le modifiche alla configurazione ai piani IAM dati in ogni dispositivo abilitato. Regione AWS Il piano IAM dati è essenzialmente una replica in sola lettura dei dati di configurazione del piano di IAM controllo. Ciascuno Regione AWS ha un'istanza completamente indipendente del piano IAM dati, che esegue l'autenticazione e l'autorizzazione per le richieste provenienti dalla stessa regione. In ogni regione, il piano IAM dati è distribuito su almeno tre zone di disponibilità e ha una capacità sufficiente per tollerare la perdita di una zona di disponibilità senza alcun danno per il cliente. Sia il piano IAM di controllo che quello dati sono stati progettati per azzerare i tempi di inattività pianificati, con tutti gli aggiornamenti software e le operazioni di scalabilità eseguiti in modo invisibile ai clienti.

AWS STS per impostazione predefinita, le richieste vanno sempre a un singolo endpoint globale. Puoi scegliere di utilizzare un endpoint AWS STS regionale per ridurre la latenza o fornire ridondanza aggiuntiva alle applicazioni. Per ulteriori informazioni, consulta Gestisci AWS STS in un Regione AWS.

Alcuni eventi possono interrompere le comunicazioni Regioni AWS attraverso la rete. Tuttavia, anche quando non puoi comunicare con l'IAMendpoint globale, AWS STS puoi comunque autenticare IAM i principali e IAM autorizzare le tue richieste. I dettagli specifici di un evento che interrompe la comunicazione determineranno la capacità dell'utente di accedere ai servizi. AWS Nella maggior parte dei casi, è possibile continuare a utilizzare IAM le credenziali nel proprio AWS ambiente. Le seguenti condizioni possono applicarsi a un evento che interrompe la comunicazione.

Chiavi di accesso per gli IAM utenti

Puoi autenticarti a tempo indeterminato in una regione con chiavi di accesso a lungo termine per gli IAM utenti. Quando si utilizza AWS Command Line Interface andAPIs, è possibile fornire chiavi di AWS accesso in modo AWS da verificare l'identità dell'utente nelle richieste programmatiche.

Importante

Come best practice, consigliamo che i tuoi utenti eseguano l'accesso con le credenziali temporanee al posto delle chiavi di accesso a lungo termine.

Credenziali temporanee

È possibile richiedere nuove credenziali temporanee con l'endpoint di servizio AWS STS regionale per almeno 24 ore. Le seguenti API operazioni generano credenziali temporanee.

  • AssumeRole

  • AssumeRoleWithWebIdentity

  • AssumeRoleWithSAML

  • GetFederationToken

  • GetSessionToken

Principali e autorizzazioni

  • Potrebbe non essere possibile aggiungere, modificare o rimuovere i principali o le autorizzazioni in. IAM

  • Le tue credenziali potrebbero non riflettere le modifiche alle autorizzazioni che hai richiesto di recente. IAM Per ulteriori informazioni, consulta Le modifiche che apporto non sono sempre immediatamente visibili.

AWS Management Console

  • Potresti essere in grado di utilizzare un endpoint di accesso regionale per accedere come utente. AWS Management Console IAM Gli endpoint di accesso regionali hanno il seguente formato. URL

    https://{Account ID}.signin.aws.amazon.com/console?region={Region}

    Esempio: /console https://111122223333.signin.aws.amazon.com? region=us-west-2

  • Potresti non essere in grado di completare l'autenticazione a più fattori Universal 2nd Factor (U2F) (). MFA

Le migliori pratiche per la resilienza IAM

AWS ha integrato la resilienza nelle zone Regioni AWS di disponibilità. Quando si osservano le seguenti IAM best practice nei sistemi che interagiscono con l'ambiente, si trae vantaggio da tale resilienza.

  1. Utilizzate un endpoint di servizio AWS STS regionale anziché l'endpoint globale predefinito.

  2. Esamina la configurazione del tuo ambiente per le risorse vitali che creano o modificano regolarmente IAM risorse e prepara una soluzione di fallback che utilizzi le risorse esistenti. IAM