Amazon Identity and Access Management 中的故障恢复能力
Amazon全球基础架构围绕Amazon区域和可用区构建。Amazon区域有多个在物理上独立且隔离的可用区,这些可用区通过延迟低、吞吐量高且冗余性高的网络连接在一起。有关 Amazon 区域和可用区的更多信息,请参阅 Amazon 全球基础架构
Amazon Identity and Access Management(IAM)和 Amazon Security Token Service(Amazon STS)是可自我维持、基于区域的服务,可在全球范围内使用。
IAM 是一种非常关键的 Amazon Web Services 服务。在 Amazon 中执行的每项操作必须由 IAM 进行身份验证和授权。IAM 根据存储在 IAM 中的身份和策略检查每个请求,以确定是允许还是拒绝请求。IAM 的设计采用了单独的控制面板和数据面板,这样,即使在意外故障期间,服务也能进行身份验证。授权中使用的 IAM 资源(如角色和策略)存储在控制面板中。IAM 客户可以通过使用 DeletePolicy
和 AttachRolePolicy
等 IAM 操作来更改这些资源的配置。这些配置更改请求将发送到控制面板。所有商业 Amazon Web Services 区域 都有一个 IAM 控制面板,位于美国东部(弗吉尼亚州北部)区域。随后,IAM 系统会在每个已启用的 Amazon Web Services 区域中将配置更改传播到 IAM 数据面板。IAM 数据面板本质上是 IAM 控制面板配置数据的只读副本。每个 Amazon Web Services 区域 都有一个完全独立的 IAM 数据面板实例,该实例对来自同一区域的请求执行身份验证和授权。在每个区域中,IAM 数据面板至少分布在三个可用区中,并且具有足够的容量来容忍可用区丢失而不会对客户造成任何损害。IAM 控制面板和数据面板都是为零停机时间而构建,所有软件更新和扩展操作均以对客户不可见的方式执行。
Amazon STS默认情况下,总是将 请求将转到单个全局端点。但是,您可以选择使用区域 Amazon STS 端点来减少延迟或为应用程序提供额外冗余。要了解更多信息,请参阅 管理 Amazon Web Services 区域中的 Amazon STS。
某些事件可能会中断 Amazon Web Services 区域 之间的网络通信。但是,即使您无法与全局 IAM 端点进行通信,Amazon STS 仍然可以对 IAM 主体进行身份验证,并且 IAM 可以授权您的请求。中断通信的事件的具体详细信息将决定您访问 Amazon 服务的能力。在大多数情况下,您可继续在 Amazon 环境中使用 IAM 凭证。以下情况可能适用于中断通信的事件。
- IAM 用户的访问密钥
-
您可以在具有长期 IAM 用户的访问密钥的区域中无限期地进行身份验证。当您使用 Amazon Command Line Interface 和 API 时,您需要提供您的 Amazon 访问密钥,以便 Amazon 可以在编程请求中验证您的身份。
- 临时凭证
-
您可以使用 Amazon STS 区域性服务端点申请新的临时凭证,凭证至少在 24 小时内有效。以下 API 操作会生成临时凭证。
-
AssumeRole
-
AssumeRoleWithWebIdentity
-
AssumeRoleWithSAML
-
GetFederationToken
-
GetSessionToken
-
- 主体和权限
-
-
您可能无法在 IAM 中添加、修改或删除主体或权限。
-
您的凭证可能无法反映您最近在 IAM 中应用的权限的更改。有关更多信息,请参阅 我所做的更改可能不会立即可见。
-
- Amazon Web Services Management Console
-
-
您可能可以作为 IAM 用户使用区域性登录端点登录 Amazon Web Services Management Console。区域性登录端点具有以下 URL 格式。
https://
{Account ID}
.signin.aws.amazon.com/console?region={Region}
示例:https://111122223333.signin.aws.amazon.com/console?region=us-west-2
-
您可能无法完成 Universal 2nd Factor(U2F)多重身份验证(MFA)。
-
IAM 恢复能力的最佳实践
Amazon 已将恢复能力内置于 Amazon Web Services 区域 和可用区。若您在与您的环境交互的系统中观察到有以下 IAM 最佳实践,您就可以利用这种恢复能力。
-
使用 Amazon STS 区域性服务端点而不是默认的全局端点。
-
检查您的环境中是否存在例行创建或修改 IAM 资源的重要资源的配置,并准备使用现有 IAM 资源的回退解决方案。