AWS Identity and Access Management 中的恢復能力 - AWS Identity and Access Management

AWS Identity and Access Management 中的恢復能力

AWS 全球基礎設施是以 AWS 區域與可用區域為中心建置的。AWS區域擁有多個分開且隔離的實際可用區域,並以低延遲、高輸送量和高度備援聯網相互連結。如需有關 AWS 區域與可用區域的詳細資訊,請參閱 AWS 全球基礎設施。。

AWS Identity and Access Management (IAM) 和 AWS Security Token Service (AWS STS) 是自我維持的、基於區域的服務,可在全球範圍內使用。

IAM 是非常重要的 AWS 服務。在 AWS 中執行的每個操作必須經過 IAM 驗證和授權。IAM 會根據 IAM 中儲存的身分和政策檢查每個請求,以判斷是否允許或拒絕請求。IAM 設計有一個單獨的控制平面資料平面,以便服務即使在意外故障期間也會進行驗證。授權中使用的 IAM 資源 (例如角色和政策) 會儲存在控制平面中。IAM 客戶可以使用諸如 DeletePolicyAttachRolePolicy 等 IAM 操作來變更這些資源的組態。這些組態變更請求會移至控制平面。所有商用 AWS 區域 都有一個 IAM 控制平面,它位於美國東部 (維吉尼亞北部) 區域。然後,IAM 系統會將組態變更傳播至每個已啟用 AWS 區域 的 IAM 資料平面。IAM 資料平面基本上是 IAM 控制平面組態資料的唯讀複本。每個 AWS 區域 都具有完全獨立的 IAM 資料平面執行個體,可對來自同一區域的請求執行驗證和授權。在每個區域中,IAM 資料平面至少分佈在三個可用區域,並具有足夠的容量來容忍可用區域的損失,而不會造成任何客戶損失。IAM 控制平面和資料平面都是針對零計劃停機而構建,以客戶看不到的方式執行所有軟體更新和擴展操作。

根據預設,AWS STS 請求總是會移至單一全域端點。您可以使用區域 AWS STS 端點來降低延遲,或是為應用程式提供額外的備援。如需進一步了解,請參閱 在 AWS STS 區域中管理 AWS

某些事件可能會中斷網路上 AWS 區域 之間的通訊。不過,即使您無法與全域 IAM 端點通訊,AWS STS 仍然可以驗證 IAM 主體,並且 IAM 可以授權您的請求。中斷通訊的事件的具體細節將決定您是否能夠存取 AWS 服務。在大部分情況下,您可以繼續在 AWS 環境中使用 IAM 憑證。下列情況可能適用於中斷通訊的事件。

IAM 使用者的存取金鑰

使用長期 IAM 使用者存取金鑰,您可以在區域中無限期地進行驗證。當您使用 AWS Command Line Interface 和 API 時,可以提供 AWS 存取金鑰,以便 AWS 在程序化請求中驗證您的身份。

重要

作為最佳實務,我們建議您的使用者使用暫時性憑證而非長期存取金鑰進行登入。

暫時性憑證

您可以在至少 24 小時內使用 AWS STS Regional 服務端點請求新的暫時性憑證。下列 API 操作會產生暫時性憑證。

  • AssumeRole

  • AssumeRoleWithWebIdentity

  • AssumeRoleWithSAML

  • GetFederationToken

  • GetSessionToken

主體和許可
AWS Management Console
  • 您可能可以使用區域登入端點以 IAM 使用者身分登入 AWS Management Console。區域登入端點具有下列 URL 格式。

    https://{Account ID}.signin.aws.amazon.com/console?region={Region}

    範例:https://111122223333.signin.aws.amazon.com/console?region=us-west-2

  • 您可能無法完成 Universal 2nd Factor (U2F) 多重要素驗證 (MFA)。

IAM 彈性的最佳實務

AWS 已經在 AWS 區域 和可用區域中構建了彈性。當您在與環境互動的系統中觀察下列 IAM 最佳實務時,可以充分利用該彈性。

  1. 使用 AWS STS Regional 服務端點而非預設的全域端點。

  2. 檢閱環境的組態,尋找定期建立或修改 IAM 資源的重要資源,並準備使用現有 IAM 資源的備用解決方案。