إدارة مستخدم AWS
مقدمة
من أجل الحفاظ على أمان بيئة AWS الخاصة بك مع السماح للمستخدمين باستخدام الموارد بشكل صحيح، يجب عليك التأكد من إنشاء المستخدمين بشكل صحيح مع الأذونات المناسبة. كما يجب عليك أيضًا مراقبة بيئتك لضمان عدم حدوث وصول غير مصرح به وتحديث الحسابات.
احصل على شهادة AWS، مضمونة!
من مهندس الحلول المعتمد إلى مسؤول العمليات السحابية، احصل على شهادة AWS مدعومة بضمان النجاح في الاختبار.
إنشاء حسابات المستخدمين وإدارتها
يسمح لك AWS IAM بإنشاء مستخدمين ومجموعات وأدوار منفصلة للوصول إلى موارد AWS الخاصة بك (راجع إدارة الهوية والوصول إلى AWS لمزيد من المعلومات). يمكن إنشاء حسابات المستخدمين هذه من خلال وحدة تحكم واجهة المستخدم الرسومية أو من خلال واجهة سطر أوامر AWS أو مكالمات واجهة برمجة التطبيقات.
يجب أن تراقب باستمرار وصول المستخدم إلى حساب AWS الخاص بك. باستخدام CloudTrail (انظر أدناه) وطرق التسجيل الأخرى، ستتمكن من تحديد المستخدمين النشطين داخل بيئتك، والخدمات التي يستخدمونها والأذونات التي قد يحتاجونها عند وجود طلبات فاشلة.
من المهم إزالة أي مستخدمين ومفاتيح وصول IAM غير مستخدمين. قد يتم تعطيل الحسابات ومفاتيح الوصول إذا كان المستخدم غير نشط مؤقتًا ولكنه قد يعود. يجب تغيير كلمات المرور ومفاتيح الوصول بشكل متكرر للحد من فرصة حدوث اختراق.
سياسة كلمات المرور
للحفاظ على أمان حسابات مستخدمي AWS، يجب أن يكون لديك سياسة كلمة مرور قوية. تتيح لك AWS التحكم في مدى تعقيد كلمات المرور التي يستخدمها المستخدمون لديك. من خلال وحدة تحكم AWS Console أو CLI أو واجهات برمجة التطبيقات، يمكنك التحكم في:
الحد الأدنى لطول كلمة المرور
أنواع الأحرف المطلوبة (الأحرف الكبيرة والصغيرة والأرقام وغيرها)
إذا كان بإمكان المستخدمين تغيير كلمة المرور الخاصة بهم
إذا انتهت صلاحية كلمات مرور المستخدم
إذا كان يمكن إعادة استخدام كلمات المرور
إذا كان يجب على مستخدم IAM الاتصال بالمسؤول في حال انتهاء صلاحية كلمة المرور الخاصة به
يُرجى ملاحظة أنه إذا كنت تطلب من المستخدمين الاتصال بالمسؤول عند انتهاء صلاحية كلمة المرور الخاصة بهم فيجب أن يكون لديك على الأقل مستخدمان يتمتعان بامتيازات المسؤول. إذا كان هناك حساب مسؤول واحد فقط وانتهت صلاحية كلمة المرور الخاصة به، فلن يتمكن من إعادة تعيين كلمة المرور الخاصة به. كما أن انتهاء صلاحية كلمة المرور لا ينطبق على مفاتيح وصول المستخدم. سيظل المستخدم قادرًا على استخدام أي أذونات واجهة برمجة التطبيقات أو واجهة برمجة التطبيقات التي يمتلك الحساب حق الوصول إليها.
تنطبق سياسات كلمة المرور المذكورة أعلاه على مستخدمي IAM فقط وليس كلمة مرور حساب AWS الجذر. هذا سبب آخر لضرورة وجود كلمة مرور معقدة ومصادقة متعددة العوامل على الحساب الجذر.
مبدأ الامتيازات الأقل
جانب آخر للحفاظ على الأمان داخل أي نظام هو مبدأ الامتيازات الأقل. ينص هذا المبدأ على أن المستخدم يجب أن يكون لديه فقط الأذونات اللازمة لأداء مهامه لا أكثر. يجب منح كل مستخدم أقل عدد ممكن من الأذونات الضرورية لكل مستخدم، ومن ثم منحه صلاحيات إضافية عندما يجد المستخدم بحاجة إليها. هذا أسهل بكثير من منح صلاحيات واسعة النطاق وإزالتها عندما تكتشف أنه لا يحتاج إليها.
على الرغم من أن إنشاء حسابات ذات صلاحية وصول مناسبة في البداية ليست مهمة مستعصية، إلا أنه غالبًا ما تعاني المؤسسات بعد فترة من الوقت من “زحف الأذونات”. هذا هو المكان الذي سيتم فيه منح المستخدمين صلاحية وصول إضافية، ربما لمشروع مؤقت، ولن يتم إزالة هذا الوصول بشكل صحيح من المستخدمين. هذا هو السبب في أهمية التدقيق الدوري لمستويات وصول المستخدمين بشكل دوري للحفاظ على بيئة آمنة.
إنشاء وإدارة أدوار IAM
على غرار مستخدمي IAM، يمكن إنشاء أدوار IAM من خلال وحدة التحكم أو واجهة برمجة التطبيقات أو واجهة برمجة التطبيقات. على عكس المستخدمين، الذين هم حسابات دائمة داخل بيئتك، يمنح الدور صلاحيات مؤقتة لمواردك، ويمكن أن يتولاه أي مستخدم أو مورد يحتاج إلى الوصول (ولديه إذن لتولي الدور). يُستخدم هذا عادةً لمنح صلاحية الوصول للمستخدمين من حسابات AWS الأخرى في بيئتك، أو للسماح لتطبيق جوال بالوصول إلى موارد AWS دون الحاجة إلى تضمين مفتاح وصول في التعليمات البرمجية حيث يمكن أن يتعرض للخطر.
تمامًا كما هو الحال مع المستخدمين، يجب عليك مراقبة الأدوار التي تصل إلى مواردك والتأكد من حصولهم على الأذونات الصحيحة. يجب إزالة الأدوار التي لم تعد قيد الاستخدام، ويجب التحكم في الحد الأقصى لوقت الجلسة المسموح به للدور.
شروط السياسة
بالإضافة إلى تعيين السياسات الخاصة بالموارد التي يمكن لمستخدم أو دور ما الوصول إليها، يسمح لك IAM أيضًا بتعيين الشروط التي يجب استيفاؤها قبل السماح للمستخدم بالوصول. بعض الأمثلة على الشروط المسموح بها ضمن نُهُج IAM هي أن الطلب يجب أن يأتي من مجموعة محددة من عناوين IP، أو أن الطلب مسموح به فقط خلال أوقات محددة. على سبيل المثال، يمكنك السماح للمستخدمين داخل الشبكة المحلية فقط بإنشاء مثيلات EC2 أو إنهائها. يُنصح باستخدام شروط السياسة حيثما أمكن لتقليل الوصول غير المصرح به إلى حسابك أو مواردك.
العمل مع CloudTrail
من أجل مراقبة المستخدمين والأدوار التي تصل إلى موارد AWS الخاصة بك، توفر أمازون خدمة تسمى CloudTrail. تقوم CloudTrail بتسجيل واجهة برمجة التطبيقات ومكالمات وحدة التحكم من المستخدمين لإنشاء سجل للأحداث التي يمكنك البحث في عرضها لتحديد النشاط الذي يحدث على حسابك. يتم تمكين CloudTrail تلقائيًا على حساب AWS الخاص بك وسيحتفظ بسجل للتسعين يومًا الماضية. إذا كنت ترغب في الاحتفاظ بالسجلات لفترة أطول، يمكنك تهيئة CloudTrail لإرسال السجلات إلى دلو S3 محدد.
عند عرض حدثٍ ما في CloudTrail، ستتمكن من رؤية المستخدم أو الدور الذي قام بالطلب، وعنوان IP الذي جاء منه الطلب، ووقت تقديمه وما تم طلبه. هذا مفيد جدًا في مراقبة الأنشطة المشبوهة واستكشاف مشكلات الوصول وإصلاحها.
احصل على شهادة AWS، مضمونة!
من مهندس الحلول المعتمد إلى مسؤول العمليات السحابية، احصل على شهادة AWS الخاصة بك مدعومة بضمان النجاح في الاختبار.
الخاتمة
توفر AWS العديد من الأدوات لضمان أن حسابات المستخدمين لديك آمنة وأن مواردك لا يتم الوصول إليها إلا كما تريد. يعد استخدام IAM مع CloudTrail بداية جيدة لضمان فهمك لكيفية استخدام بيئتك.