浅谈云上攻防系列——云IAM原理&风险以及最佳实践_iam框架访问方式

云上身份和访问管理功能简介

身份和访问管理是什么？关于这个问题，Gartner Information Technology Glossary中给出了关于IAM的定义：“Identity and access management (IAM) is the discipline that enables the right individuals to access the right resources at the right times for the right reasons”。与之类似，云上身份和访问管理服务，则是云厂商提供的一种用于帮助用户安全地控制对云上资源访问的服务。用户可以使用 IAM 来控制身份验证以及授权使用相应的资源。IAM的8大管理维度，可以参见下图：

图1 IAM 8大管理维度

云上身份与访问管理首先在配置阶段注册和授权访问权限，然后在操作阶段识别、验证和权限控制。下图将展示IAM的配置阶段与操作阶段之间的关系，以及身份与访问管理的区别。

图2 身份和访问管理概念图

云厂商为租户提供云上IAM服务用以身份和访问管理，例如：腾讯云 Cloud Access Management服务、亚马逊云 AWSIdentity and Access Management服务等。通过提供账号全生命周期管理、身份管理、认证、权限、审计以及联合身份等基本功能，加强了身份认证体系的安全性。

正确的使用访问管理，可以规避许多云上攻击事件的发生。但是错误的配置以及使用将会导致严重的云上漏洞。Unit 42云威胁报告指出，错误配置的亚马逊云IAM服务角色导致数以千计的云工作负载受损。研究人员成功地使用错误配置的IAM功能在云中横向移动，并最终获得凭据以及重要数据。接下来，我们将介绍云IAM技术体系框架以及工作原理，并从历史案例中刨析云IAM的风险，并寻找最佳解决方案。

云IAM技术体系框架&工作原理

我们首先来谈谈云IAM的技术体系框架。云上身份与访问管理是一个比较复杂的体系架构。用户日常使用云上服务时，往往会接触到到云平台所提供的账号管理功能，角色管理、临时凭据、二次验证等等，这些都是云上身份与访问管理的一部分。但实际上云上身份与访问管理不仅仅包含上述