Do doanh nghiệp quản lý quản lý danh tính và truy cập (IAM) cho phép quản trị viên đám mây định cấu hình tập trung các cài đặt quyền truy cập và bảo mật cho toàn bộ tổ chức. Để tìm hiểu về những điều cơ bản, hãy xem “Cách hoạt động của IAM do doanh nghiệp quản lý".
Nghiên cứu điển hình trong bài đăng trên blog này cho thấy cách triển khai và quản lý một cách dễ dàng và an toàn kỹ thuật độ tin cậy của trang web (SRE) quyền truy cập của nhóm trên toàn doanh nghiệp.
nghiên cứu trường hợp
Một khách hàng ngân hàng lớn có một nhóm kỹ thuật độ tin cậy trang web tập trung (SRE) quản lý hoạt động cho tất cả các nguồn lực trong tổ chức. Khách hàng sử dụng liên đoàn để xác thực người dùng với tài khoản doanh nghiệp IBM Cloud. Tất cả các đội đều sử dụng Kubernetes và Cơ sở dữ liệu đám mây của IBM tài nguyên như là một phần của việc triển khai của họ. Nhóm SRE cần quyền truy cập hoạt động vào các tài nguyên này cho mọi nhóm trong mọi tài khoản thuộc doanh nghiệp Đám mây IBM của công ty.
Khi các nhóm giới thiệu các tài nguyên mới, nhóm SRE cũng quản lý các tài nguyên đó. Việc quản lý thủ công thiết lập quyền truy cập này trên số lượng tài khoản ngày càng tăng sẽ dễ xảy ra lỗi, tốn thời gian và không đáp ứng các biện pháp kiểm soát kiểm tra nhất định vì quản trị viên tài khoản con có thể cập nhật quyền truy cập được chỉ định.
Bằng cách sử dụng các mẫu IAM do doanh nghiệp quản lý để xác định quyền truy cập cho nhóm SRE của họ và gán chúng cho các tài khoản của tổ chức, quy trình của khách hàng đã thay đổi từ nỗ lực liên tục thành hoạt động thiết lập một lần. Giờ đây, quyền truy cập SRE được bao gồm trong cả tài khoản được thiết lập và mới tạo. Ngoài ra, quản trị viên tài khoản con không thể cập nhật quyền truy cập này.
Trong bài đăng này, chúng tôi sẽ cung cấp hướng dẫn từng bước về cách áp dụng giải pháp này trong tổ chức của bạn.
Điều kiện tiên quyết
- Ở trong tài khoản doanh nghiệp gốc.
- Đảm bảo rằng người dùng doanh nghiệp thực hiện tác vụ này có vai trò Quản trị viên mẫu và Quản trị viên phân công mẫu trên các dịch vụ IAM và ít nhất là vai trò Người xem trên dịch vụ Doanh nghiệp. Để biết thêm thông tin, hãy xem “Phân quyền truy cập cho quản lý doanh nghiệp."
- Đảm bảo rằng tài khoản con bật cài đặt IAM do doanh nghiệp quản lý. Để biết thêm thông tin, hãy xem “Chọn tham gia IAM do doanh nghiệp quản lý cho các tài khoản mới và hiện có".
Dung dịch
Trước tiên, hãy tạo mẫu hồ sơ đáng tin cậy cho các thành viên nhóm SRE và thêm các mẫu chính sách truy cập để quản lý tất cả Dịch vụ IBM Cloud Kubernetes cụm và Cơ sở dữ liệu đám mây IBM cho MongoDB các trường hợp trong tài khoản con. Tiếp theo, chỉ định mẫu hồ sơ tin cậy cho nhóm tài khoản chứa (các) tài khoản cần quản lý. Cuối cùng, chúng tôi sẽ cấp các mẫu chính sách truy cập bổ sung cho nhóm SRE bằng cách tạo phiên bản mẫu hồ sơ đáng tin cậy mới với quyền truy cập bổ sung cần thiết và cập nhật các tài khoản chỉ định hiện có.
Để triển khai giải pháp này, chúng ta sẽ thực hiện các bước sau:
- Tạo một mẫu hồ sơ đáng tin cậy.
- Thêm mối quan hệ tin cậy.
- Thêm các mẫu chính sách truy cập.
- Xem xét và cam kết mẫu hồ sơ đáng tin cậy.
- Chỉ định mẫu hồ sơ đáng tin cậy.
Sau đó, chúng tôi sẽ cập nhật bài tập theo các bước sau:
- Tạo một phiên bản mẫu mới.
- Thêm mẫu chính sách truy cập bổ sung.
- Xem xét và cam kết mẫu hồ sơ đáng tin cậy.
- Cập nhật bài tập hiện có lên phiên bản 2.
Các bước tạo và gán mẫu
1. Truy cập Quản lý > Quyền truy cập (IAM). Trong phần Doanh nghiệp, nhấp vào Templates > Hồ sơ đáng tin cậy > Tạo. Nhấp chuột Tạo để tạo mẫu hồ sơ đáng tin cậy cho nhóm SRE:
2. Thêm mối quan hệ tin cậy để tự động thêm nhóm SRE vào hồ sơ đáng tin cậy dựa trên Nhà cung cấp danh tính (IdP) của bạn:
Điều này sẽ dựa trên các xác nhận quyền sở hữu mà IdP của bạn có:
3. Tới Truy Cập tab để tạo chính sách truy cập:
Vai trò quản trị viên đối với Dịch vụ Kubernetes trên nền tảng đám mây của IBM:
Vai trò quản trị viên của Cơ sở dữ liệu đám mây IBM cho MongoDB:
4. Xem xét và cam kết các mẫu chính sách và hồ sơ đáng tin cậy. Việc cam kết các mẫu sẽ ngăn chúng bị thay đổi:
5. Chỉ định mẫu hồ sơ đáng tin cậy cho nhóm tài khoản. Bằng cách chọn toàn bộ nhóm tài khoản, hệ thống sẽ tự động gán mẫu cho các tài khoản mới khi chúng được thêm vào hoặc chuyển đến:
Sau khi hoàn thành nhiệm vụ, các thành viên của nhóm SRE có thể đăng nhập vào các tài khoản trong nhóm tài khoản và có quyền truy cập cần thiết để thực hiện nhiệm vụ của mình.
Khi khối lượng công việc trên đám mây và nhóm của bạn tăng lên, bạn có thể cần cho phép nhóm SRE quản lý các tài nguyên khác. Trong ví dụ sau, chúng tôi cấp cho nhóm SRE quyền truy cập để quản lý Đám mây của IBM ngoài quyền truy cập hiện có của họ.
Các bước để cập nhật mẫu và bài tập
1. Trước tiên, vì cần cập nhật mẫu được chỉ định nên chúng tôi cần tạo phiên bản mới của mẫu nhóm SRE:
2. Vì muốn mở rộng quyền truy cập của nhóm SRE nên chúng tôi sẽ tạo một mẫu chính sách mới có quyền truy cập vào tài nguyên Cloudant:
3. Cam kết mẫu hồ sơ đáng tin cậy và mẫu chính sách:
4. Bây giờ, chúng ta cần cập nhật bài tập từ phiên bản 1 lên phiên bản 2. Đầu tiên, chuyển sang mẫu phiên bản 1:
Trong tạp chí bài tập tab, cập nhật bài tập:
Sau khi hoàn thành nhiệm vụ, nhóm SRE giờ đây sẽ có thể quản lý các tài nguyên IBM Cloudant bên cạnh Dịch vụ Kubernetes đám mây của IBM và Cơ sở dữ liệu đám mây IBM để truy cập MongoDB.
Kết luận
Quản lý quyền truy cập và danh tính do doanh nghiệp quản lý (IAM) là một giải pháp mạnh mẽ giúp đơn giản hóa và tập trung quyền truy cập và cấu hình bảo mật. Trong bài viết này, chúng tôi đã khám phá cách phương pháp này có thể thay đổi cuộc chơi trong việc quản lý quyền truy cập vào tài nguyên trên số lượng tài khoản ngày càng tăng.
Những thách thức mà khách hàng ngân hàng phải đối mặt trong việc quản lý quyền truy cập cho nhóm SRE của họ trên nhiều tài khoản rất phức tạp và tốn thời gian. Tuy nhiên, bằng cách tận dụng các mẫu IAM do doanh nghiệp quản lý, họ đã biến nỗ lực đang diễn ra thành hoạt động thiết lập một lần. Việc cung cấp quyền truy cập được sắp xếp hợp lý và tính bảo mật nâng cao này bằng cách đảm bảo rằng việc kiểm soát quyền truy cập vẫn nhất quán và được thực thi trên các tài khoản.
Các mẫu giao diện khác
Bên dưới bao gồm các bước tương đương cần thiết để hoàn thành trường hợp sử dụng này bằng giao diện dòng lệnh và Terraform:
Sẵn sàng để đơn giản hóa việc quản lý truy cập? Tìm hiểu thêm về IAM do doanh nghiệp quản lý
Thêm từ đám mây
Bản tin IBM
Nhận các bản tin và cập nhật chủ đề của chúng tôi nhằm cung cấp thông tin chi tiết và lãnh đạo tư tưởng mới nhất về các xu hướng mới nổi.
Đăng ký ngay Thêm bản tin
- Phân phối nội dung và PR được hỗ trợ bởi SEO. Được khuếch đại ngay hôm nay.
- PlatoData.Network Vertical Generative Ai. Trao quyền cho chính mình. Truy cập Tại đây.
- PlatoAiStream. Thông minh Web3. Kiến thức khuếch đại. Truy cập Tại đây.
- Trung tâmESG. Than đá, công nghệ sạch, Năng lượng, Môi trường Hệ mặt trời, Quản lý chất thải. Truy cập Tại đây.
- PlatoSức khỏe. Tình báo thử nghiệm lâm sàng và công nghệ sinh học. Truy cập Tại đây.
- nguồn: https://www.ibm.com/blog/enterprise-managed-iam-an-sre-team-case-study/