[[179069]]

我們的企業(yè)希望限制其生成身份和訪問管理策略時所花費的時間。對于這項任務，有什么工具可以幫助自動化完成嗎?

在公有云中記錄資源使用率對于滿足治理和法規(guī)遵從性至關重要。AWS日志可使管理員能夠記錄前搜索最終用戶的行為，以及受到影響資源的詳細信息。

AWS的各種工具都提供了安全日志記錄功能，包括Amazon CloudFront、Amazon CloudWatch、AWS Config和Amazon S3日志請求到存儲桶(storage buckets )。但大部分開發(fā)人員更喜歡使用AWS CloudTrail記錄AWS身份和訪問管理(IAM)活動。 雖然其他AWS IAM工具可以生成訪問策略，但它們有限制。

AWS CloudTrail記錄了所有的IAM和AWS Security Token 服務發(fā)出的API請求，其中包括來自基于Web身份提供商的一些未經(jīng)身份驗證的請求。這使請求可以映射給聯(lián)合用戶。 CloudTrail還會將API請求記錄到其他本地服務——記錄最終用戶或AWS工具生成請的詳細信息。管理員可以快速確定某個請求是使用IAM憑據(jù)、聯(lián)合用戶或角色的臨時憑證，還是通過其他服務。此外，CloudTrail將登錄事件，包括成功和失敗的嘗試，都記錄到AWS管理控制臺、AWS Marketplace和論壇中。

第三方工具可以幫助自動化、簡化常見管理任務。例如，Chalice是一個開源的、基于Python的、無服務器的AWS微框架，它幫助企業(yè)創(chuàng)建和部署基于Amazon API Gateway和AWS Lambda的無服務器應用。微框架是高度可擴展的、易于管理員修改的，軟件組件集合。Chalice有一個命令行界面，開發(fā)人員可以使用它在AWS中創(chuàng)建、查看、部署和管理應用程序。

Chalice還自動創(chuàng)建IAM策略，允許應用程序輕松訪問AWS工具。 然而，Chalice需要高水平的云應用設計技能。實際上，開發(fā)人員可自動生成IAM策略，當使用chalice deploy命令進行包的部署時， 該命令行將部署包發(fā)送到無服務器的云環(huán)境中。這有助于確保適當?shù)脑L問策略管理，同時***限度地減少設置策略所需的時間和精力，并使開發(fā)人員可以專注于其他任務。

第三方IAM工具產(chǎn)生的麻煩

第三方工具，如Skeddly旨在為云自動化。這類工具還為AWS權限生成IAM策略文檔，允許該工具與帳戶中的AWS資源進行交互。

這些AWS IAM工具只是示例， 雖然他們幫助企業(yè)實現(xiàn)了復雜的云目標，但與本地服務相比它們?nèi)匀痪哂芯窒扌浴Ｊ紫龋谌焦ぞ咄ǔＨ狈`活性。 策略是動態(tài)的實體，那么創(chuàng)建、測試和維護它將是個挑戰(zhàn)。與云提供商的本地IAM服務直接 協(xié)作，通常更方便、更可預測;與使用第三方AWS IAM工具自動創(chuàng)建策略相比，它們的測試所帶來的意外后果較少。

此外，第三方IAM工具必須適應公有云服務的演進。例如，每次AWS更新IAM API時，第三方供應商也必須相應地更新其工具。因此，第三方工具可能會落后于IAM開發(fā)，給企業(yè)IT團隊增加不確定性。