了解 Azure 中与 AWS 相比的标识和访问管理
标识和访问管理(IAM)是权限、流程和系统的框架,可确保安全主体能够正确访问组织资源。 IAM 涉及管理用户标识,并基于预定义的角色和权限控制他们对系统和数据的访问。
在全球服装零售商中,与竞争对手的合并提供在 Azure 和 Amazon Web Services(AWS)上实现的系统。 你计划将某些 AWS 资源迁移到 Azure。 但是,在执行此作之前,需要了解用户如何进行身份验证和授权访问资源,以便迁移不会导致意外数据泄露。
在本单元中,你将了解如何在 Azure 中管理标识和访问,并将其与 AWS 体验中可能熟悉的方法进行比较。
标识和访问管理 (IAM)
IAM 包括用户身份验证、授权和帐户预配。 使用 IAM 确保安全主体可以执行作并仅访问其角色所需的信息。 通过实施 IAM,组织可以增强安全性、简化合规性和提高运营效率。
AWS 和 Azure 都提供控制对资源的访问的机制,同时鼓励最低特权原则。 但是,两个平台如何实现标识和访问存在差异。 AWS 提供以用户为中心的安全性方法。 Azure 是一种基于角色的模型。
在了解访问控制的详细信息之前,让我们先比较每个平台使用的术语:
| 天蓝色 | AWS | 评论 |
|---|---|---|
| Azure 订阅 | AWS 帐户 | Azure 订阅是计费和配额边界。 组织的规模和复杂性决定了订阅的数量。 |
| Microsoft Entra ID | AWS IAM 标识中心 | Microsoft Entra ID 管理用户、组和其他安全主体的目录。 |
| 资源组 | 无 AWS 等效项 | Azure 资源是在资源组中创建的。 可以将资源组中的所有资源作为单个单元进行管理。 |
| Azure 管理组 | AWS 组织单位 | Azure 不等效于 AWS 组织中用作父级的“master”或“管理帐户”。 |
| Azure 订阅管理员 | AWS 帐户根用户 | 这些帐户可以完全控制 Azure 订阅或 AWS 帐户。 |
| Microsoft Entra 用户 | AWS IAM 用户 | 每个 IAM 用户仅与一个 AWS 帐户相关联。 在 Azure 中,用户可以为其订阅管理员分配对多个订阅的访问权限。 |
| 类似于 RBAC 角色定义和角色分配的组合 | AWS IAM 策略 | 这些对象用于确定安全主体可在 Azure 或 AWS 中执行的作。 |
AWS 中的 IAM
在 AWS 中,IAM 以用户为中心的策略实现。 可将每个策略应用于用户、组或角色。
用户标识存储在单个 AWS 帐户中,不能用于访问其他帐户。 对每个用户可以访问的资源的控制是精细的。
Azure 中的 IAM
在 Azure 中,IAM 以角色为中心,使用这些工具实现:
Microsoft Entra ID
Microsoft Entra ID 是基于云的标识和访问管理服务。 该服务设计为标识(包括用户、组和服务主体)的中央存储。 Microsoft Entra ID 类似于 AWS AIM 标识中心。
AWS 以用户为中心的。 每个 AWS 帐户都有单独的 IAM 存储,每个 IAM 用户仅与一个 AWS 帐户相关联。 相比之下,可以在 Microsoft Entra ID 中创建的用户授予对多个 Azure 订阅的访问权限。
Role-Based 访问控制(RBAC)
Azure RBAC 基于 Azure 资源管理器构建,可为 Azure 中的资源提供访问管理。 RBAC 是一种授权系统,通过向安全主体分配角色来授予访问权限。 安全主体可以是用户、组或应用程序。 如以下部分所述,在不同的范围内分配 RBAC 角色。
相比之下,AWS IAM 会创建具有使用策略授予或拒绝 AWS 资源访问权限的 AWS 用户和组。 策略是可以分配给用户、组或角色的 JSON 文件。
有关 RBAC 的详细信息,请参阅 使用 Azure 基于角色的访问控制(Azure RBAC)保护 Azure 资源。
分层范围
在 Azure 中,可以在不同的范围内分配权限,以便更轻松地管理大型环境。 范围级别包括:
- 管理组
- 订阅
- 资源组
- 资源
对于具有许多 Azure 订阅的组织,管理组可以更轻松地管理多个订阅的访问、策略和合规性。 通过继承应用到所有关联订阅的治理条件。 有关详细信息,请参阅 什么是 Azure 管理组?。