驗證存取的運作方式 - AWS 驗證存取

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

驗證存取的運作方式

AWS驗證存取會評估使用者的每個應用程式要求,並根據下列項目允許存取

  • 您選擇的信任提供商(來自AWS或第三方)發送的信任數據。

  • 您在已驗證存取權中建立的存取原則。

當使用者嘗試存取應用程式時,「已驗證存取」會從信任提供者取得其資料,並根據您為應用程式設定的原則對其進行評估。只有當使用者符合您指定的安全性需求時,「已驗證存取」才會授與所要求應用程式 預設會拒絕所有應用程式要求,直到定義原則為止。

此外,「驗證存取」會記錄每次存取嘗試,協助您快速回應安全事件和稽核要求。

驗證存取權的關鍵元件

下圖提供已驗證存取權的高階概觀。使用者傳送存取應用程式的要求。「已驗證存取」會根據群組和任何應用程式特定端點原則的存取原則來評估要求。如果允許存取,則會透過端點將要求傳送至應用程式。

使用已驗證存取來驗證使用者的應用程式要求。
  • 驗證存取執行個體 — 執行個體會評估應用程式要求,並僅在符合安全性需求時授予存取權。

  • 已驗證存取端點 — 每個端點代表一個應用程式。您可以建立負載平衡器端點或網路介面端點。

  • 已驗證存取群組 — 已驗證存取端點的集合。建議您針對具有類似安全性需求的應用程式將端點分組,以簡化原則管理。例如,您可以將所有銷售應用程式的端點群組在一起。

  • 存取原則 — 一組使用者定義的規則,可決定是否允許或拒絕存取應用程式。您可以指定各種因素的組合,包括使用者身分識別和裝置安全性狀態。您可以為每個「已驗證存取」群組建立群組存取原則,該群組中的所有端點都會繼承該群組。您可以選擇性地建立應用程式特定策略,並將其附加到特定端點。

  • 信任提供者 — 管理使用者身分識別或裝置安全性狀態的服務。「驗證存取」適用於AWS和第三方信任提供者。您必須將至少一個信任提供者附加至每個已驗證存取執行個體。您可以將單一身分信任提供者和多個裝置信任提供者附加至每個已驗證存取執行個體。

  • 信任資料 — 您的信任提供者傳送至已驗證存取權的使用者或裝置的安全性相關資料。也稱為使用者宣告信任內容。例如,使用者的電子郵件地址或裝置的作業系統版本。「驗證存取」會在收到每個存取應用程式的要求時,根據您的存取原則評估此資料。