03 責任分担セキュリティモデルとawsにおける認証(iam)
•Download as PPTX, PDF•
0 likes•534 views
iam
Report
Share
03 責任分担セキュリティモデルとawsにおける認証(iam)
- 4. 本章の目的 ● AWSセキュリティの責任共有モデルを理解する ● AWSにおける認証(IAM)を理解する ● 実戦: IAM的用户、用户组、规则的做成和简单的策略设定
- 5. 目录 ● 責任共有モデル ● IAM ● 実戦
- 6. 责任共担模式 云服务提供商 (AWS) 实施和操作的安全措施 –“云本身的安全” 客户实施和操作的安全措施,涉及客户内容及使用 AWS 服务的应用程序的安全 –“云内部的安全” https://aws.amazon.com/cn/compliance/shared-responsibility-model/?nc1=h_ls AWS 负责管理云本身的安全。 云内部的安全则由客户负责。客户可 以控制选择实施哪种安全措施来保护 自己的内容、平台、应用程序、系统 和网络,这与他们对现场数据中心内 的应用程序所做的操作并无不同。
- 7. 责任共担模式 • Onpremise:オンプレミスとは、企業などが 情報システムを自社で保有し、自社の設備 において運用することである。 • IaaSは「Infrastructure as a Service」の頭文字 を取った略語で「イァース」と読みます。 • PaaSは「Platform as a Service」の頭文字を取った 略語で「パース」と読みます。 • SaaSとは、「Software as a Service」の頭文字を 取った略語で「サース」と読みます。
- 8. サービス種類と責任範囲 AWSのサービスは、 い る 大きく3種類のサービス種別に分けられており、その種別に応じて責任範囲が異なって 。 ● Infrastructure services(インフラ・サービス):EC2、EBS、Auto Scaling、VPCなど ● Container services(コンテナ・サービス):RDS、EMR、Elastic Beanstalkなど ● Abstracted services(抽象化されたサービス):S3、Glacier、DynamoDB、SQS、 SESなど
- 9. Infrastructure servicesにおける共有責任モデル ● AWS管理 ○ ファシリティ ○ ハードウェアの物理セキュリティ ○ ネットワークインフラ ○ 仮想化基盤 ● EC2を例にした場合のカスタマー責任範囲 ○ AMI ○ OS ○ アプリケーション ○ 送受信されるデータ ○ 保存データ ○ データストア ○ 認証情報 ○ ポリシーや設定
- 10. Container servicesにおける共有責任モデル AWS管理 ● OS ● ネットワーク設定 ● アプリケーション管理 利用者の責任範囲 ● ファイアウォール設定 ● データや通信の暗号化 ● 顧客のデータの管理
- 11. Abstracted servicesにおける共有責任モデル ● AWS管理 ○ ファシリティ ○ ハードウェアの物理セキュリティ ○ ネットワークインフラ ○ 仮想化基盤 ○ 通信やサーバーサイド暗号化の機能的な責任担保 ● 利用者の責任範囲 ○ クライアントサイド暗号化 ○ 顧客のデータの管理
- 12. IAM AWS Identity and Access Management (IAM) 使您能够安全 地控制用户对 Amazon AWS 服务和资源的访问权限。您可 以使用 IAM 创建和管理 AWS 用户和群组,并使用各种权 限来允许或拒绝他们对 AWS 资源的访问。 日常操作尽量不要使用root用户,使用普通用户。 分配各IAM组或用户最小权限。 最严格的IAM策略优先使用,与顺序无关。
- 13. IAM-使用方法 AWS服务访问方法及认证情报 操作方法 认证情报 控制台(浏览器) 用户名/密码 AWS CLI(命令行) 访问密钥(访问密钥 ID 和 秘密访问密钥) AWS SDK(程序) 访问密钥(访问密钥 ID 和 秘密访问密钥)
- 15. 実戦 ● IAM组作成 ● IAM用户作成 ● Role作成 ● 策略設定