Resource Center Blog Opensource Partners
Zoeken
Producten
Kennisdatabase
Ondersteuning: downloads
Artikelen
suggested searches
Producten Oplossingen Innovatie Ondersteuning Over
Open
Per type Externe harde schijven Interne harde schijven Externe SSD's Interne SSD's Enterprise harde schijven en SSD's Gegevensopslagsystemen Services voor zakelijke opslag
Per categorie Apparaten voor persoonlijke opslag Opslagapparaten voor gaming Creatieve professional Network-Attached Storage (NAS) Video-analyses Cloud, periferie en datacenter
Op merk LaCie
Per gebruiksscenario Back-up en herstel Big data-analyse (AI/ML) Cloudback-up Gegevensmigratie Gegevensoverdracht High-Performance Computing (HPC) Storage-as-a-Service Video-analyses
Per omgeving Periferie Multicloud Private cloud Openbare cloud
Per partner IBM AWS Commvault Veeam VMware Mijlpaal Equinix EVS NI Alle Seagate Technology-partners weergeven
Per sector Autonome voertuigen Gezondheidszorg Media en entertainment Bewaking en beveiliging Telecommunicatie Geowetenschappen en energie
Lees het artikel
Lees het artikel

Innovaties voor gegevensopslag Mozaic 3+ Platform Harde schijven met multi-actuatortechnologie MACH.2 Seagate Secure
Innovaties voor gegevensbeheer Circularity-programma Community van opensource-ontwikkelaars Composable infrastructuur
Lees het artikel
Lees het artikel

Algemeen Startpagina support Productondersteuning Seagate-softwaredownloads LaCie-softwaredownloads Seagate-productregistratie LaCie-productregistratie
Garantie en gegevensherstel Garantie en vervangingen Data Recovery Services om gegevens te herstellen
Bedrijven Ondersteuning Seagate-systemen Lyve Mobile-ondersteuning Lyve Cloud-ondersteuning
Lees het artikel
Lees het artikel

Ons verhaal Leiderschapsteam Raad van bestuur ESG Trust Center Kwaliteitsgarantie
Sluit u aan bij ons Seagate-team De cultuur van Seagate Diversiteit, gelijkwaardigheid en inclusie Hulpbrongroepen voor werknemers Universitaire programma's
Investeerders
Perscentrum Nieuws Mediapakketten Brand Portal Lacie Brand Portal

Een effectief IAM-beleid schrijven

Een IAM-beleid bepaalt machtigingen die zijn gekoppeld aan objecten in cloudopslag. Inzicht in het schrijven van een effectief beleid kan extra gegevensbescherming bieden.

Inhoudsopgave:

Een effectief IAM-beleid schrijven

Het concept Identity and Access Management (IAM) duikt zeer vaak op in AWS Services als het gaat om beveiliging. Het loont dus zeker de moeite om er het fijne van te weten. IAM kan voor de beginnende gebruiker erg ingewikkeld lijken omdat het uit verschillende componenten bestaat. Het doel van dit artikel is om IAM en de ideeën erachter in meer detail te verkennen en om een effectief IAM-beleid op te stellen.  

Het is belangrijk om te onthouden dat IAM gewoon een service is zoals alle andere services die AWS te bieden heeft. Het helpt wel om ze op een veilige manier samen te brengen.   

Wat is een IAM-beleid?

AWS IAM is een webservice waarmee u de toegang van uw gebruikers tot S3-bronnen veilig kunt beheren. U gebruikt IAM om te beheren wie toegang heeft tot uw AWS-bronnen (authenticatie), tot welke bronnen ze toegang hebben en hoe ze toegang hebben (autorisatie).  

Hoe houdt IAM bronnen veilig?

U beheert de toegang tot bronnen door regels in te stellen en ze te koppelen aan IAM-identiteiten (gebruikers, groepen gebruikers of rollen). Een beleid is een object dat de machtigingen specificeert die aan een identiteit of bron zijn gekoppeld. Het grotere opslagsysteem controleert deze regels wanneer een IAM-principal (gebruiker of rol) een verzoek indient om ze effectief te implementeren. Machtigingen die in het beleid zijn gedefinieerd, bepalen of een verzoek is toegestaan of geweigerd. De meeste beleidsregels zijn JSON-bestanden.  

IAM-regels bepalen de autorisatie voor acties onafhankelijk van hoe de activiteit wordt uitgevoerd. Als een beleid de GetUser-actie toestaat, kan een gebruiker met dat beleid gebruikersinformatie krijgen via de AWS Management Console, de AWS CLI of de AWS API. Bij het aanmaken van een IAM-gebruiker kunt u opgeven of console- of programmatische toegang is toegestaan. Als consoletoegang is toegestaan, kan de IAM-gebruiker inloggen met zijn gebruikersnaam en wachtwoord. Als daarentegen programmatische toegang is toegestaan, kan de gebruiker met de CLI of API werken met behulp van toegangssleutels.  

Hoe optimaliseert een IAM-beleid de Seagate Lyve Cloud-opslag?

Lyve Cloud dient als een aanvullend element voor de opslag van S3-objecten. Seagate Lyve Cloud voegt beveiliging en bruikbaarheid toe aan langdurige koude opslag en kan met extra services worden gecombineerd om de bescherming met back-ups en gevevensherstel te verbeteren. Gebruik IAM-beleid om beveiligingsmaatregelen en machtigingen aan te passen voor individuele objecten die in Lyve Cloud zijn opgeslagen in private, openbare, hybride en multicloudomgevingen.   

Typen IAM-beleid

Het volgende beleid is beschikbaar in AWS van meest gebruikt tot minst vaak gebruikt. Raadpleeg de secties hieronder voor meer informatie over elke beleidscategorie.  

Op identiteit gebaseerd beleid

U kunt IAM-identiteiten koppelen aan gecontroleerd en inline beleid (gebruikers, groepen waartoe gebruikers behoren of rollen). Machtigingen worden aan een identiteit verleend op basis van op identiteit gebaseerd beleid.  

Op bronnen gebaseerd beleid

U kunt bronnen koppelen aan inline beleid. De meest voorkomende op bronnen gebaseerde beleidsregels zijn degene die aan S3-buckets en IAM-rollen zijn gekoppeld. Machtigingen worden verleend aan de principal die in het beleid is gedefinieerd via op bronnen gebaseerd beleid. Principals kunnen zich in dezelfde of verschillende accounts bevinden als de bron.  

Grenzen van machtigingen

U kunt een beheerd beleid gebruiken om de machtigingen voor een IAM-entiteit (gebruiker of rol) te definiëren. Dit beleid legt de maximale machtigingen vast die op identiteit gebaseerd beleid aan een entiteit kan bieden, maar verstrekt ze niet. Machtigingsgrenzen specificeren niet het maximum aantal machtigingen dat een op bronnen gebaseerd beleid aan een object mag verstrekken.  

SCP's van Organizations

U kunt een Service Control Policy (SCP) van AWS Organizations gebruiken om de maximale machtigingen in te stellen die de accountleden van een organisatie of organisatie-eenheid kunnen hebben. SCP's beperken de rechten die op identiteit gebaseerde of op bronnen gebaseerde regels bieden aan accountentiteiten (gebruikers of rollen), maar verlenen ze niet.  

Toegangscontrolelijsten (Access Control Lists of ACL's)

U kunt ACL's gebruiken om de toegang tot een bron te beperken voor principals in andere accounts. ACL's zijn vergelijkbaar met op bronnen gebaseerd beleid; ze zijn echter de enige vorm van beleid die de JSON-structuur niet gebruikt voor beleidsdocumenten. ACL 's zijn machtigingsregels die meerdere accounts omvatten en machtigingen verlenen aan de opgegeven principal. ACL's kunnen niet worden gebruikt om machtigingen te geven aan entiteiten die lid zijn van hetzelfde account.  

Sessiebeleid

U kunt geavanceerde sessieregels doorgeven wanneer u de AWS CLI of AWS API gebruikt om een rol of federatieve gebruiker aan te nemen. Sessiebeleid beperkt de rechten die aan de sessie worden toegekend door de op identiteit gebaseerde regels van de rol of gebruiker. Dit beleid definieert de machtigingen die zijn gekoppeld aan een nieuw opgerichte sessie, maar verleent deze niet.   

Belangrijke elementen in de structuur van het IAM-beleid

IAM-gebruiker

AWS IAM-gebruikers zijn entiteiten die u maakt om een persoon of applicatie te vertegenwoordigen die met AWS communiceert. AWS-gebruikers bestaan uit een naam en inloggegevens.   

IAM-gebruikers met beheerdersrechten zijn niet hetzelfde als root users (hoofdgebruikers) van een AWS-account. AWS-accounts zijn gekoppeld aan één en slechts één IAM-gebruiker.  

IAM-identiteit

Bronobjecten die worden gebruikt om IAM-bronnen te identificeren en te groeperen. Beleid kan worden gekoppeld aan IAM-identiteiten. Dit omvat gebruikers, groepen en rollen.  

IAM-bron

Het bevat objecten zoals gebruikers, groepen, rollen, beleid en identiteitsproviders. Met IAM kunt u bronnen toevoegen, bewerken en verwijderen zoals andere AWS Services.  

IAM-entiteit

AWS gebruikt IAM-bronobjecten voor authenticatie. Hiertoe behoren IAM-gebruikers en -rollen. 

Principal (opdrachtgever)

Een applicatie of gebruiker die de hoofdgebruiker van het AWS-account, een IAM-gebruiker of een IAM-rol gebruikt om in te loggen bij AWS. Dit omvat zowel federatieve gebruikers als veronderstelde rollen.  

Rol

In AWS zijn rollen vergelijkbaar met gebruikers, omdat het identiteitsobjecten zijn waarvan het machtigingsbeleid bepaalt wat de identiteit kan doen. Een rol is echter niet gekoppeld aan inloggegevens (wachtwoorden of toegangssleutels). Een individuele rol is bedoeld om te worden overgenomen door iedereen die deze nodig heeft, in plaats van te worden geassocieerd met slechts één persoon.   

Een effectief IAM-beleid schrijven

U kunt een door de klant beheerd beleid opstellen met behulp van een van de volgende technieken in de AWS Management Console:  

  • JSON: plak en wijzig een voorbeeld van een op identiteit gebaseerd beleid dat is gepubliceerd.  
  • Visuele editor: ;gebruik de visuele editor om vanaf nul een nieuw beleid te maken. U hoeft de JSON-syntaxis niet te leren als u de visuele editor gebruikt.  
  • Importeren: importeer en wijzig een beheerd beleid vanuit uw account. U kunt een eerder ontwikkeld door AWS beheerd beleid of een door de klant beheerd beleid importeren.  

AWS-accounts hebben een beperking op het aantal en de hoeveelheid IAM-bronnen. Meer informatie is beschikbaar bij IAM- en AWS STS-quota.  

IAM Policy Generator: kan ik dit proces automatiseren?

De AWS Policy Generator is een hulpmiddel voor het ontwikkelen van regels die de toegang tot AWS-producten en -bronnen bepalen. 

De onlangs uitgebrachte AWS Policy Generator stroomlijnt het proces van het ontwikkelen van beleidsdocumenten voor objectopslagdoeleinden. Kies eerst het type beleid dat u wilt opstellen.  

Stap 1: selecteer het type beleid

Machtigingen worden opgenomen in een beleid. U kunt de volgende soorten beleid opstellen: IAM Policy, S3 Bucket Policy, SNS Topic Policy, VPC Endpoint Policy en SQS Queue Policy.  

Stap 2: statement(s) toevoegen

Een statement (verklaring) is een beknopt overzicht van één machtiging. Bekijk de volgende uitleg van de onderdelen die in statements kunnen worden gebruikt.  

Stap 3: beleid genereren

Nadat u statements hebt toegevoegd, kunt u een beleid genereren. Een beleid is een document (in de taal van het toegangsbeleid) dat een of meer statements bevat.  

Het multicloud-maturiteitsrapport

Ontdek hoe uw bedrijf kan gedijen in de multicloud
Over Seagate Ons verhaal  ESG  Trust Center  Kwaliteitsgarantie 
Ondersteuning  Productondersteuning  Seagate-softwaredownloads  LaCie-softwaredownloads  Seagate-productregistratie  LaCie-productregistratie  Garantie en vervangingen  Seagate-systemen  Neem contact met ons op 
Perscentrum  Nieuws  Mediapakketten  Brand Portal  LaCie Brand Portal 
Investeerders 
Partners  Indirecte partners en wederverkopers  Seagate Training Portal  Seagate Direct en leveranciers  Seagate Technology Alliance Program 
Vacatures  De cultuur van Seagate  Diversiteit, gelijkwaardigheid en inclusie  Universitaire programma's 
facebook.svg linkedin.svg youtube.svg twitter.svg instagram.svg
©2024 Seagate Technology LLC Juridisch Privacy Openbaarmaking van kwetsbaarheden Cookie Settings
Sitemap