我们的企业希望限制生成身份和访问管理策略所花费的时间。是否有任何工具可以帮助自动执行此任务?在公共云中记录资源使用情况对于满足治理和法规遵从性至关重要。AWS日志使管理员能够记录当前搜索最终用户的行为,以及受影响资源的详细信息。各种AWS工具提供安全日志记录功能,包括AmazonCloudFront、AmazonCloudWatch、AWSConfig和AmazonS3记录对存储桶的请求。但大多数开发人员更喜欢使用AWSCloudTrail来记录AWSIdentityandAccessManagement(IAM)活动。虽然其他AWSIAM工具可以生成访问策略,但它们有局限性。AWSCloudTrail记录由IAM和AWS安全令牌服务发出的所有API请求,包括来自基于Web的身份提供商的一些未经身份验证的请求。这使得请求可以映射到联合用户。CloudTrail还将API请求记录到其他本地服务——记录最终用户或AWS工具生成的请求的详细信息。管理员可以快速确定请求是使用IAM凭证、联合用户或角色的临时凭证,还是通过其他服务。此外,CloudTrail会将登录事件(包括成功和失败的尝试)记录到AWS管理控制台、AWSMarketplace和论坛。第三方工具可以帮助自动化和简化常见的管理任务。例如,Chalice是一个开源的、基于Python的无服务器AWS微框架,可帮助企业创建和部署基于AmazonAPIGateway和AWSLambda的无服务器应用程序。微框架是高度可扩展、易于修改、管理员修改的软件组件集合。Chalice有一个命令行界面,开发人员可以使用它在AWS中创建、查看、部署和管理应用程序。Chalice还会自动创建IAM策略,允许应用程序轻松访问AWS工具。但是,Chalice需要高水平的云应用程序设计技能。事实上,开发人员可以在使用chalicedeploy命令部署包时自动生成IAM策略,该命令将部署包发送到无服务器云环境。这有助于确保正确的访问策略管理,同时最大限度地减少设置策略所需的时间和精力,并使开发人员能够专注于其他任务。第三方IAM工具带来的麻烦Skeddly等第三方工具专为云自动化而设计。此类工具还会为AWS权限生成IAM策略文档,允许该工具与账户中的AWS资源进行交互。这些AWSIAM工具只是示例,虽然它们可以帮助企业实现复杂的云目标,但与本地服务相比它们仍然存在局限性。首先,第三方工具往往缺乏灵活性。策略是动态实体,创建、测试和维护可能具有挑战性。直接使用云提供商的本地IAM服务通常更方便且更可预测;与使用第三方AWSIAM工具自动创建策略相比,他们的测试产生的意外后果更少。此外,第三方IAM工具必须适应公有云服务的演进。例如,AWS每次更新IAMAPI时,第三方供应商都必须相应地更新他们的工具。因此,第三方工具可能落后于IAM开发,给企业IT团队增加了不确定性。
