Brainscape's Knowledge GenomeTM

Browse over 1 million classes created by top students, professors, publishers, and experts.


See full index

03) Limits, Facts - DevOps > IAM Identity Center > Flashcards

IAM Identity Center Flashcards

1
Q

IAM Identity Center
Зачем нужен этот сервис?
Что такое SSO?

A

Сервис для управления Single-Sign On (SSO) в AWS Организации

Даёт пользователям возможность использовать одни и те же креды (поэтому называется ”централизованный”) для входа в РАЗНЫЕ AWS аккаунты (и даже в другие системы)

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
2
Q

Identity Provider (Identity Store)
Что это такое?
Какие примеры?

A

User Identities хранятся в каком-то identity store.

IAM Identity Center имеет свой встроенный identity store.

Или это может быть Microsoft AD, Okta, OneLogin (external IdP)

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
3
Q

Permission Set
Что это такое?
Как это получить?
На какую область AWS’а это будет распространяться?

Сколько permission set’ов может быть у User’а?
Как это работает с точки зрения IAM?

A

Permission Set - это набор permission’ов,
которые получит конкретный user
при входе через IAM Identity Center SSO
в конкретном AWS Organization Unit’е.

Таким образом, user с ОДНИМ набором логин-пароль имеет РАЗНЫЕ permission’ы в разных AWS OU

Для каждого Permission Set’а создаётся своя IAM Role в каждом OU.
Когда user совершает SSO login в этот AWS аккаунт, то он assume’ает эту IAM роль.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
4
Q

ABAC?
Что это такое?
Как это реализовано в IAM Identity Center?
Пример

В чём удобство такой системы?

A

Attribute Based Access Control (ABAC) - возможность назначать доступ в IAM Identity Center через атрибуты (через AWS тэги).
Например, title: senior

Или можно тэгать user’ов такими же атрибутам, как и ресурсы.
А затем в Resource-based Policy этих ресурсов требовать наличия такого тэга у user’а.

Удобство в расширяемости
Можно создать нового user’а и дать ему тэг.
Тогда он получит доступ к синему ресурсу.
И при этом НЕ придётся модифицировать никакой Permission Set

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
5
Q

Что такое External IdP?
По какому протоколу происходит интеграция с External IdP?

A

Любой Identity Provider, кроме встроенного в AWS Identity Center: Microsoft AD, Okta, OneLogin (external IdP)
Интеграция с этими External IdP происходит через SAML2.0

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
6
Q

В чём недостаток External IdP?
Как решить эту проблему?

A

SAML2.0 НЕ позволяет запрашивать данные (группы, права доступа) из External Identity Provider’ов

Придётся дублировать соответствующие users и groups (из External IdP) в IAM
То есть подразумевается ручная работа, что НЕ идеально

Решение - SCIM

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
7
Q

SCIM
Что это? Для чего нужно?
Какие есть требования, чтобы использовать SCIM

A

System for Cross-domain Identity Management
Эта система автоматически создаёт (и синхронизирует) пользователей (и их права доступа) из External IdP в IAM
Чтобы НЕ делать это вручную по-старинке

Требование: External IdP должен поддерживать SCIM

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
8
Q

Какие виды MFA можно настроить для пользователей Identity Center?

A
  • Always-on - всегда, когда пользователь входит (log in)
  • Context-aware - только когда пользователь входит (log in) из незнакомой локации/устройства/браузера
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
9
Q

Как интегрировать свой IdP в AWS, если этот IdP вообще НЕ поддерживает SAML2.0?
Например, LDAP

A

Кастомный identity broker в on-premise
и использовать STS, чтобы получать временные креды

How well did you know this?
1
Not at all
2
3
4
5
Perfectly

03) Limits, Facts - DevOps (39 decks)

Brainscape helps you reach your goals faster, through stronger study habits.
© 2024 Bold Learning Solutions. Terms and Conditions