最近,Amazon Web Services(AWS)启用了IAM用户和角色标签,以简化IAM资源的管理工作。值得注意的是,这个版本还提供了基于属性的访问控制(ABAC)能力,并将AWS资源与IAM主体动态匹配,以“简化大规模的权限管理”。
最近,Amazon Web Services(AWS)启用了IAM用户和角色标签,以简化IAM资源的管理工作。值得注意的是,这个版本还提供了基于属性的访问控制(ABAC)能力,并将AWS资源与IAM主体动态匹配,以“简化大规模的权限管理”。
AWS身份和访问管理(IAM)是主要的帐户级功能,用来安全地管理对AWS服务和资源的细粒度访问控制。IAM的核心是通过在策略中定义权限并将其附加到适用的主体(IAM用户和角色)来支持基于角色的访问控制(RBAC)。此外,除了支持基于身份和资源的策略之外,IAM还通过可选的条件策略元素和“使用了条件运算符的表达式(等于、小于,等等)”来支持基于属性的访问控制(ABAC),例如IP地址或时间。此外,还可以使用标签动态控制对支持基于标签授权的资源类型(相对较少的)的访问。
IAM产品经理Sulay Shah在一篇介绍性文章中详细地说明了AWS添加的IAM用户和角色标签功能,通过启用委托标记权限和执行标记schema来简化IAM实体的管理。在随后的文章中,Shah接着说明了如何通过两个新的条件上下文键来启用“基于属性的访问控制(ABAC)来大规模简化权限管理”:
- aws:PrincipalTag/
——这个全局条件键将检查附加到发出请求的主体(用户或角色)的标记是否与指定的键名和值匹配。 - iam:ResourceTag/
——这个IAM条件键将检查附加到请求中的目标标识资源(用户或角色)的标记是否与指定的键名和值匹配。
新功能的一个主要使用场景是根据属性动态地授予IAM主体对AWS资源的访问权限。现在可以通过在一个条件中匹配AWS资源标签来实现——在以下的示例中,可以为每个团队的当前和未来实例和成员操作EC2实例,并且可以通过调整“team”标签值将实例和成员移动到另一个团队:
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ec2:RebootInstances",
"ec2:StartInstances",
"ec2:StopInstances"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"ec2:ResourceTag/team": "${aws:PrincipalTag/team}"
}
}
}
]
}
另一个重要的使用场景是允许IAM主体基于属性动态地假设IAM角色。虽然通过AWS Organizations进行多账户使用和基于策略的集中式账户管理变得越来越普遍(之前的报道),但到目前为止,安全地管理底层跨账户IAM角色仍然是一个繁琐的过程。在添加新角色时,需要重复“AssumeRole”语句,并且IAM主体需要被授予访问权限,使用特定角色的ARN作为目标“Resource”。现在可以使用通配符“*”来表示所有的角色,这有利于在条件中对匹配的IAM资源标记进行细粒度访问控制——下面的示例表示只有当角色的“audit”标签值为“true”时才允许主体为每个角色假设一个安全审计:
{
"Version": "2012-10-17",
"Statement": [
{
"Action": "sts:AssumeRole",
"Effect": "Allow",
"Resource": "*",
"Condition": {
"Bool": {
"iam:ResourceTag/audit": "true"
}
}
}
]
}
微软的Azure资源管理器和谷歌的Cloud IAM主要支持RBAC,尽管Cloud IAM在一个私有测试版中(之前的报道)提供了条件。Kubernetes是一个例外,它支持ABAC和RBAC授权模块。不过,一篇介绍Kubernetes对RBAC的支持的文章承认了ABAC功能强大,但“在Kubernetes中的实现却难以管理和理解”,并建议将RBAC作为首选方法。
AWS在最近的相关新闻中表示,他们已经提供了用来查看服务上次访问的数据的API,以便让用户自动执行权限分析,而这个操作在之前需要通过AWS管理控制台进行手动检查。仍然需要专用IAM用户而不是使用基于IAM角色和临时安全凭证的身份联合的场景也将从通过“我的安全凭证”页面进行凭证自我管理的可用性改进中受益。
IAM文档中包含了用户指南,包括IAM工作原理、策略评估逻辑以及AWS服务支持的IAM功能的专门章节,还包括有关IAM最佳实践和AWS标记策略的指导。用户可以通过身份和访问管理论坛寻求支持。IAM是一项帐户级AWS功能,无需额外费用。
查看英文原文:https://www.infoq.com/news/2019/02/iam-tags-attribute-based-access