Identity and Access Management

IAM , IdM , IdAM - Identity and Access Management

Управление учётными данными (англ. Identity management, сокр. IdM, иногда IDM, IdAM или IAM) — комплекс подходов, практик, технологий и специальных программных средств для управления учётными данными пользователей, системами контроля и управления доступом (СКУД), с целью повышения безопасности и производительности информационных систем при одновременном снижении затрат, оптимизации времени простоя и сокращения количества повторяющихся задач.

В нем рассматривается необходимость обеспечения надлежащего доступа к ресурсам во все более разнородных технологических средах и удовлетворения все более строгих требований к соблюдению требований.

Термины «управление идентификацией» (IdM) и «управление идентификацией и доступом» (IAM) используются взаимозаменяемо в области управления доступом к идентификациям.

Системы управления идентификацией, продукты, приложения и платформы управляют идентифицирующими и вспомогательными данными о сущностях, которые включают физических лиц, компьютерное оборудование и программные приложения.

IdM охватывает такие вопросы, как то, как пользователи получают удостоверение, роли и, иногда, разрешения, которые предоставляет удостоверение, защита этого удостоверения и технологии, поддерживающие эту защиту (например, сетевые протоколы, цифровые сертификаты, пароли и т. д.).

wiki

AWS

IAM-это служба, ответственная за отслеживание идентификационных данных и доступа в системе.

Он осуществляется на AWS с помощью службы с одноимённым названием IAM . Управление доступом осуществляется с помощью политик IAM, которые устанавливают границы доступа для агентов в AWS.

Существует три основных компонента политики IAM:

• Принципал (PRINCIPAL) указывает, КОМУ предоставляются разрешения.
• Действие (ACTION), указывает, ЧТО конкретно выполняется
• Ресурс (RESOURCE) указывает, к КАКИМ конкретно свойствам осуществляется доступ

Во фразе «Васе Пупкину не разрешили сделать POST запрос к БД на us-west-2:ABC… »

Вася Пупкин - это принципал.

POST запрос - это действие

База данных на us-west-2 - это ресурс.

Применение модели нулевого доверия к IAM означает принятие принципа наименьших привилегий . Это означает, что каждый агент должен иметь только минимальные разрешения, необходимые для выполнения своей функции.

В IAM политики могут быть применены к AWS принципалу (principal) или AWS ресурсу (resource).

Политики, связанные с принципалом, называются политиками на основе идентификации (identity-based policies).

Политики, связанные с ресурсом, называются политиками на основе ресурсов resource based-policies.

Обратите внимание, что только некоторые службы (например, S3, KMS, SES) имеют ресурсные политики.

Наличие у субъекта разрешения на выполнение действия для конкретного ресурса зависит от того, позволяет ли ему это делать политика идентификации субъекта и не запрещает ли ему это делать политика ресурса (если она существует).

Обратите внимание, что это значительное упрощение модели разрешений IAM. Существует множество дополнительных типов политик, влияющих на возможность предоставления доступа. Они могут включать границы разрешений, политики управления службами организации, списки управления доступом и политики сеансов. Эти дополнительные типы политики выходят за рамки данного курса. Более подробную информацию о них можно найти в разделе дальнейшего чтения этого модуля.

Резюме

• Политики IAM объявляют границы доступа для сущностей в AWS
• Политика IAM состоит из принципалов, действий и ресурсов
• Политики IAM могут использоваться для обеспечения соблюдения принципа наименьших привилегий
• IAM имеет много типов политик - два примера: на основе идентификации и на основе ресурсов
• IAM оценивает доступ на основе оценки всех типов политик, применимых к данному ресурсу