确保公有云安全：AWS IAM足够吗？

我们公司希望限制其生成身份和访问管理策略的时间。有什么工具可以帮助自动化完成这项任务吗？

在公共云中记录资源利用率对于满足治理和法律法规的遵从性至关重要。AWS日志允许管理员记录前搜索最终用户的行为和受影响资源的详细信息。

AWS包括安全日志记录在内的各种工具Amazon CloudFront、Amazon CloudWatch、AWS Config和Amazon S3日志要求存储桶(storage buckets )。但大多数开发人员更喜欢使用。AWS CloudTrail记录AWS身份及访问管理(IAM)活动。 别的AWS IAM该工具可以生成访问策略，但它们是有限的。

AWS CloudTrail记录一切IAM和AWS Security Token 服务发布API请求来自基于的Web身份提供商的一些未经身份验证的请求。这使请求可以映射给联合用户。 CloudTrail还会将API请求记录在其他本地服务——记录最终用户或AWS工具生成请求的详细信息。管理员可以快速确定使用请求IAM通过其他服务提供证据、联合用户或角色的临时证明。CloudTrail记录登录事件，包括成功和失败的尝试AWS管理控制台，AWS Marketplace和论坛中。

第三方工具有助于自动化和简化常见的管理任务。Chalice是于开源Python没有服务器AWS基于微框架，帮助企业创建和部署Amazon API Gateway和AWS Lambda无服务器应用。微框架高度可扩展，易于管理员修改，软件组件 *** 。Chalice开发人员可以使用命令行界面AWS创建、查看、部署和管理应用程序。

Chalice还自动创建IAM该策略允许应用程序轻松访问AWS工具。Chalice需要高水平的云应用设计技能。事实上，开发人员可以自动生成IAM当使用策略时chalice deploy当命令部署包时， 命令行将部署包发送到无服务器的云环境中。这有助于确保适当的访问策略管理***尽量减少制定策略所需的时间和精力，使开发人员能够专注于其他任务。

第三方IAM工具造成的麻烦

例如，第三方工具Skeddly目的是云自动化。这种工具也是为了AWS权限生成IAM战略文档允许工具和帐户中的战略文档AWS交互资源。

这些AWS IAM工具只是一个例子。虽然它们帮助企业实现了复杂的云目标，但它们仍然比当地服务有局限性。首先，第三方工具通常缺乏灵活性。 战略是一个动态的实体，因此创建、测试和维护它将是一个挑战。与云供应商的本地IAM直接服务 合作通常更方便、更可预测；使用第三方AWS IAM与工具自动创建策略相比，其测试的意外后果较少。

另外，第三方IAM工具必须适应公共云服务的演变。例如，每次AWS更新IAM API第三方供应商也必须相应更新其工具。因此，第三方工具可能落后于IAM为企业开发IT团队增加了不确定性。