2022 में IAM (आइडेंटिटी एक्सेस मैनेजमेंट) के लिए एक आवश्यक गाइड

IAM शब्द क्लाउड-देशी परिवेशों में आपके द्वारा सुने जाने वाले सामान्य शब्दों में से एक है। हालाँकि, ऐसी प्रणाली क्या करती है? और यदि आप जानते हैं, तो पूरा उद्देश्य समझने में आपको कितना समय लगा? व्यस्त इंजीनियर को ध्यान में रखते हुए, मैं इस विशाल सॉफ्टवेयर परिवार के पीछे की मुख्य अवधारणाओं को समझाऊंगा।

यहां वर्णित मूल बातें विक्रेता अज्ञेयवादी हैं। हालांकि मेरा अधिकांश अनुभव एडब्ल्यूएस के कार्यान्वयन से निकला है।

IAM . क्या है

IAM,पहचान पहुंच प्रबंधन के लिए खड़ा है। यह संस्थाओं (मनुष्यों, अनुप्रयोगों, आदि) की एक जटिल प्रणाली है जो एक तरफ एक प्रणाली तक पहुंच का अनुरोध करती है। और साथ ही, अनुरोधित पहुंच प्रदान करने या अस्वीकार करने के लिए नियमों का एक जटिल पदानुक्रमित सेट है। इससे पहले कि हम और आगे बढ़ें, नीचे आपके सामने आने वाली मुख्य शर्तें हैं।

• संसाधन : सुरक्षा के लायक कुछ भी। एक भंडारण सेवा एक आभासी मशीन आदि
• नीति : नियमों का एक समूह जो किस संसाधन पर "कौन क्या कर सकता है" तय करता है। और निश्चित रूप से, कौन नहीं कर सकता
• क्रिया : बादल वातावरण के अंदर कोई भी कुछ भी कर सकता है। उदाहरण के लिए, वर्चुअल मशीन बनाना
• उपयोगकर्ता : अच्छा... एक उपयोगकर्ता :)
• समूह : उपयोगकर्ताओं का एक समूह, समान अनुमतियों के साथ, लागू किया गया
• प्रिंसिपल : एक उपयोगकर्ता या एक आवेदन जो एक्सेस का अनुरोध करता है
• भूमिका : एक प्रिंसिपल को सौंपी गई शक्तियों का एक सेट। आमतौर पर सीमित समय के लिए।

यह क्यों उपयोगी है

इसका मुख्य उपयोग प्रमाणीकरण, प्राधिकरण, बारीक पहुंच, शासन के क्षेत्र में घूमता है। आइए जानते हैं क्या हैं वो चीजें:

• प्रमाणीकरण : हमने सत्यापित किया है कि आप कौन हैं
• प्राधिकरण : हम यह पहचानना चाहते हैं कि क्या आप अपने द्वारा मांगी गई कार्रवाई कर सकते हैं। आमतौर पर, प्रमाणीकरण के साथ संयुक्त लेकिन आवश्यक नहीं।
• ग्रैनुलर एक्सेस : संसाधन में होने वाली प्रत्येक क्रिया अनुमति द्वारा नियंत्रित होती है। फ़ायरवॉल नियमों को देखने का मतलब यह नहीं है कि आप उन्हें बदल सकते हैं। इसे रोल-बेस्ड एक्सेस कंट्रोल के साथ लागू किया गया है
• शासन : आपके पर्यावरण के साथ क्या हो रहा है, यह जानने के लिए आप जो कार्रवाई करते हैं। ज्यादातर बजट, अनुपालन, उचित पहुंच के दायरे से।

क्या आप 1-3 लोगों की कंपनी हैं? फिर, एक पूर्ण विकसित IAM समाधान स्थापित करना बहुत अधिक है और इसे बनाए रखना एक बोझ है। लेकिन अगर आप इससे ज्यादा हैं या आप स्केल करने की योजना बना रहे हैं, तो आपको इस पर विचार करना शुरू कर देना चाहिए

एक की कमी से समस्या

मेरा मानना है कि आप IAM समाधान के लाभ देख सकते हैं। आइए देखें कि इसके अभाव में संगठनों को किन सामान्य समस्याओं का सामना करना पड़ता है।

ऑडिट करना और एक्सेस का प्रबंधन करना मुश्किल है

क्या आपने ऐसे मामलों के बारे में सुना है जहां किसी कर्मचारी की पहुंच उनकी अपेक्षा से अधिक थी? और इसके अतिरिक्त, कोई नहीं जानता था? इसे ठीक से सेट-अप IAM समाधान से रोका जा सकता है।

नए भाड़े के खाते स्थापित करना एक दर्द है

ठीक से सेट-अप IAM समाधान के साथ, यह कुछ ही क्लिक की बात है। अर्थात्, उपयोगकर्ताओं को सेट अप करें, उन्हें उन IAM समूहों में जोड़ें जिनका उपयोग उनकी टीमें करती हैं। और यह सबकुछ है।

लेकिन इसके बिना? आपको स्क्रैच से सभी अनुमति सेटिंग्स करने की आवश्यकता है। आपके पास "प्रतिलिपि बनाने" के लिए एक संदर्भ उपयोगकर्ता हो सकता है। लेकिन क्या हमें इस संदर्भ उपयोगकर्ता के पास सभी अनुमतियों की आवश्यकता है? क्या हम कंपनी में 6 महीने से कम उम्र के उपयोगकर्ताओं के लिए विशेष प्रबंधन करना चाहते हैं? क्या संदर्भ उपयोगकर्ता के पास सुपरयूज़र अनुमतियाँ हैं जिन्हें गलती से नए भाड़े को असाइन नहीं किया जाना चाहिए?

ऑफबोर्डिंग लोग

यहां आपको "नए भाड़े के मामले" के समान प्रकृति की समस्याएं हैं। लेकिन आपको उन सभी खातों का पासवर्ड भी बदलना होगा, जिनका उन्होंने संभावित रूप से उपयोग किया था। यह बहुत तेजी से बदसूरत हो सकता है, टीम के अन्य सदस्यों पर इसके दुष्प्रभावों का उल्लेख नहीं करने के लिए।

उदाहरण के लिए, प्रत्येक ऑफबोर्डिंग पर सभी पासवर्ड घटनाओं को अपडेट करना होगा। हर स्क्रिप्ट और एप्लिकेशन में। क्या होगा यदि आपके पास एक टीम है जो प्रति माह 2-3 बार बदलती है? यह कितना उत्पादक होगा?

कमोडिटी पहचान कार्यों में मानवीय हस्तक्षेप की आवश्यकता है

कमोडिटी से मेरा मतलब पासवर्ड रीसेट करने या लॉक किए गए खाते को फिर से सक्षम करने जैसे कार्यों से है। शीर्ष स्तरीय IAM समाधानों के पास बिना किसी परेशानी के ऐसे मुद्दों को तेजी से हल करने का एक तरीका है।

सर्वोत्तम प्रथाएं

नीचे कुछ सर्वोत्तम अभ्यास दिए गए हैं जो मैंने प्राप्त किए हैं। यह पूरी सूची होने से बहुत दूर है, यह केवल मेरा व्यक्तिगत अनुभव है। हालांकि मैंने उन्हें एक से अधिक टीमों में देखा है, इसलिए वे शायद काफी अच्छे हैं।

कोई पूर्ण पहुंच नहीं... कभी भी

वास्तविक दुनिया के परिदृश्य में, आप नहीं चाहते कि प्रत्येक उपयोगकर्ता के पास खाते तक असीमित पहुंच हो। आदर्श रूप से, किसी के पास (खाता स्वामी के अलावा) नहीं होना चाहिए। अगर जैक मॉनिटरिंग लॉग्स पर काम कर रहा है, तो उन्हें उस टूल तक रीड एक्सेस मिलनी चाहिए थी। उन्हें किसी सेवा को पुनरारंभ करने में सक्षम नहीं होना चाहिए। या लेखा टीम को केवल बिलिंग जानकारी देखनी चाहिए।

VM मापनीयता नियम कैसे निर्धारित किए जाते हैं, यह जानने से किसी की मदद नहीं होगी।

समूह बनाम एकाधिक उपयोगकर्ता

जब आपके पास कोई विकल्प हो, तो एकाधिक उपयोगकर्ताओं के लिए एकल समूह को प्राथमिकता दें। समूह प्रशासन को तेजी से आसान बनाते हैं।

भूमिकाएँ बनाम एकाधिक समूह बनाम एक नया उपयोगकर्ता

जब आपके पास विकल्प हो, तो नया उपयोगकर्ता बनाने के बजाय किसी उपयोगकर्ता को भूमिका सौंपना पसंद करें। उदाहरण के लिए, एक व्यवस्थापक उपयोगकर्ता न बनाएं और 10 लोगों के बीच पासवर्ड साझा करें। एक व्यवस्थापक भूमिका बनाएं और इसे सीमित समय के लिए जिसे इसकी आवश्यकता है उसे असाइन करें।

अनुमतियों का बार-बार ऑडिट किया जाना चाहिए

गलतियाँ करना या दुर्भावनापूर्ण कार्य करना आसान है। कम से कम, एक कंपनी को ऑडिट करना चाहिए कि केवल उचित लोगों की ही पहुंच है और यह न्यूनतम स्तर पर है।

संदिग्ध कार्रवाई होने पर आप किसी टीम को ईमेल भी भेज सकते हैं। उदाहरण के लिए, एक नए भाड़े के लिए एक व्यवस्थापक भूमिका असाइन करना।

पहले से सीमा निर्धारित करें

यदि IAM समाधान इसकी अनुमति देता है, तो अपने पारिस्थितिकी तंत्र में सीमाएं जोड़ें। अमेज़ॅन के दस्तावेज़ीकरण से प्रतिलिपि बनाना (मुझे पता है, मैंने विक्रेता-अज्ञेयवादी का वादा किया था :))

एक अनुमति सीमा एक प्रबंधित नीति का उपयोग करने के लिए एक उन्नत सुविधा है जो अधिकतम अनुमतियाँ निर्धारित करती है जो एक पहचान-आधारित नीति एक IAM इकाई को प्रदान कर सकती है। एक इकाई की अनुमति सीमा उसे केवल उन कार्यों को करने की अनुमति देती है जो उसकी पहचान-आधारित नीतियों और उसकी अनुमति सीमाओं दोनों द्वारा अनुमत हैं।

आम आदमी की शर्तों में, आप "अधिकतम" अनुमतियों को परिभाषित कर सकते हैं जिन्हें किसी को भी सौंपा जा सकता है। उदाहरण के लिए, एक उपयोगकर्ता अधिक से अधिक प्रासंगिक टूल से लॉग देखने और सेवा को पुनरारंभ करने में सक्षम होगा। यदि कोई नई वर्चुअल मशीन बनाने के लिए भूमिका प्राप्त करने का प्रयास करता है तो उसे अनुमति नहीं दी जाएगी।

निष्कर्ष

यहां तक पढ़ने के लिए धन्यवाद। मुझे आशा है कि आपको आईएएम प्रौद्योगिकियों के परिचय का आनंद मिला होगा। कोई प्रश्न, कृपया पहुंचें।

यहां भी प्रकाशित: https://perigk.github.io/post/iam-intro-wish-i-had/