AWS Firewall Manager 中的 Identity and Access Management - AWS WAF、AWS Firewall Manager 與 AWS Shield Advanced

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

AWS Firewall Manager 中的 Identity and Access Management

存取 AWS Firewall Manager 需要登入資料。這些登入資料必須具備許可,才能存取 AWS Firewall Manager 資源,如政策。下列各節將詳細說明如何使用AWS Identity and Access Management(IAM)和 Firewall Manager,協助安全存取您的資源。

Authentication

您可以使用下列身分類型來存取 AWS:

  • AWS 帳戶 根使用者 – 當您首次建立 AWS 帳戶 時,您會先有單一的登入身分,可以完整存取帳戶中所有 AWS 服務與資源。此身分稱為 AWS 帳戶 根使用者,使用建立帳戶時所使用的電子郵件地址和密碼即可登入並存取。強烈建議您不要以根使用者處理日常作業,即使是管理作業。反之,請遵循僅以根使用者建立您第一個 IAM 使用者的最佳實務。接著請妥善鎖定根使用者登入資料,只用來執行少數的帳戶與服務管理作業。

  • IAM 使用者— 一個IAM 使用者是您AWS帳戶擁有特定的自訂許可 (例如,在 Firewall Manager 中建立規則的許可)。您可以使用 IAM 使用者名稱和密碼登入安全 AWS 網頁,例如,AWS Management ConsoleAWS 開發論壇AWS Support 中心

     

    除了使用者名稱和密碼之外,您也可以為每個使用者產生存取金鑰。您可以使用這些金鑰,以程式設計的方式存取 AWS 服務,無論是透過其中一個開發套件或使用 AWS Command Line Interface (CLI)。此開發套件和 CLI 工具使用存取金鑰,以加密方式簽署您的請求。如果您不使用 AWS 工具,您必須自行簽署請求。Firewall Manager 支援Signature 第 4 版,這是用來驗證傳入 API 請求的協定。如需驗證請求的詳細資訊,請參閱簽署第 4 版簽署程序中的AWS一般參考

     

  • IAM 角色 - IAM 角色是您可以在帳戶中建立的另一種 IAM 身分,具有特定的許可。IAM 角色類似於 IAM 使用者,因為同樣是 AWS 身分,也有許可政策可決定該身分在 AWS 中可執行和不可執行的操作。但是,角色的目的是讓需要它的任何人可代入,而不是單獨地與某個人員關聯。此外,角色沒有與之關聯的標準長期憑證,例如密碼或存取金鑰。反之,當您擔任角色時,其會為您的角色工作階段提供臨時安全性登入資料。使用臨時登入資料的 IAM 角色在下列情況中非常有用:

     

    • 聯合身分使用者存取 – 並非建立 IAM 使用者,而是使用來自 AWS Directory Service、您的企業使用者目錄或 Web 身分供應商現有的使用者身分。這些稱為聯合身分使用者。透過身分供應商來請求存取時,AWS 會指派角色給聯合身分使用者。如需聯合身份使用者的詳細資訊,請參閱 IAM 使用者指南中的聯合身份使用者和角色

       

    • AWS 服務存取 – 服務角色是服務擔任的 IAM 角色,可代您執行動作。IAM 管理員可以從 IAM 內建立、修改和刪除服務角色。如需詳細資訊,請參閱 IAM 使用者指南中的建立角色以委派許可給 AWS 服務

       

    • 在 Amazon EC2 上執行的應用程式 - 針對在 EC2 執行個體上執行並提出 AWS CLI 和 AWS API 請求的應用程式,您可以使用 IAM 角色來管理臨時登入資料。這是在 EC2 執行個體內存放存取金鑰的較好方式。若要指派 AWS 角色給 EC2 執行個體並提供其所有應用程式使用,您可以建立連接到執行個體的執行個體描述檔。執行個體描述檔包含該角色,並且可讓 EC2 執行個體上執行的程式取得臨時登入資料。如需詳細資訊,請參閱 IAM 使用者指南中的利用 IAM 角色來授予許可給 Amazon EC2 執行個體上執行的應用程式

存取控制

您可以透過有效登入資料來驗證請求,但還需具備許可才能建立或存取 AWS Firewall Manager 資源。例如,您必須具有許可才能建立 Firewall Manager政策

以下章節說明如何管理 AWS Firewall Manager 的許可。我們建議您先閱讀概觀。