Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Это руководство предназначено для организаций, использующих Amazon Web Services (AWS) и желающих выполнить миграцию в Azure или внедрить стратегию многооблачной работы. В этом руководстве сравниваются решения по управлению удостоверениями AWS с аналогичными решениями Azure.
Подсказка
Сведения о расширении идентификатора Microsoft Entra в AWS см. в статье Microsoft Entra identity management and access management for AWS.
Основные службы идентификации
Основные службы удостоверений на обеих платформах формируют основу управления удостоверениями и доступом. К этим службам относятся основные возможности проверки подлинности, авторизации и учета, а также возможность упорядочивать облачные ресурсы в логические структуры. Специалисты AWS могут использовать аналогичные возможности в Azure. Эти возможности могут иметь архитектурные различия в реализации.
| Служба AWS | Служба Azure | Описание |
|---|---|---|
| Центр идентификации AWS Identity and Access Management (IAM) | Идентификатор Microsoft Entra | Централизованная служба управления удостоверениями, которая обеспечивает единый вход, многофакторную проверку подлинности (MFA) и интеграцию с различными приложениями |
| организации AWS | группы управления Azure | Иерархическая структура организации для управления несколькими учетными записями и подписками с помощью унаследованных политик |
| Центр идентификации AWS IAM | Microsoft Entra ID SSO (Единый вход) | Централизованное управление доступом, позволяющее пользователям получать доступ к нескольким приложениям с помощью одного набора учетных данных |
| служба каталогов AWS | доменные службы Microsoft Entra | Управляемые службы каталогов, предоставляющие присоединение к домену, групповую политику, аутентификацию с использованием протокола LDAP и Kerberos и/или NT LAN Manager (NTLM) |
Проверка подлинности и управление доступом
Службы проверки подлинности и контроля доступа на обеих платформах предоставляют основные функции безопасности для проверки удостоверений пользователей и управления доступом к ресурсам. Эти службы обрабатывают MFA, проверки доступа, управление внешними пользователями и разрешения на основе ролей.
| Служба AWS | Служба Azure | Описание |
|---|---|---|
| AWS MFA | Microsoft Entra MFA | Дополнительный уровень безопасности, требующий нескольких форм проверки для входа пользователей |
| Анализатор доступа IAM AWS | Проверки доступа Microsoft Entra | Средства и службы для просмотра разрешений доступа к ресурсам и управления ими |
| Центр идентификации AWS IAM | Microsoft Entra: внешний идентификатор (External ID) | Платформа управления доступом внешних пользователей для безопасной совместной работы между организациями. Эти платформы поддерживают такие протоколы, как язык разметки утверждений безопасности (SAML) и OpenID Connect (OIDC). |
| AWS Resource Access Manager | Управление доступом на основе ролей Microsoft Entra (RBAC) и Azure RBAC | Службы, которые могут совместно использовать облачные ресурсы в организации. AWS обычно использует облачные ресурсы в нескольких учетных записях. Azure RBAC может обеспечить аналогичный общий доступ к ресурсам. |
Управление идентичностями
Чтобы обеспечить безопасность и соответствие требованиям, необходимо управлять удостоверениями и доступом. AWS и Azure предоставляют решения для управления удостоверениями. Организации и группы рабочей нагрузки могут использовать эти решения для управления жизненным циклом удостоверений, проведения проверок доступа и управления привилегированным доступом.
В AWS управление жизненным циклом удостоверений, проверками доступа и привилегированным доступом требуется сочетание нескольких служб.
- AWS IAM обрабатывает безопасный доступ к ресурсам.
- Анализатор доступа IAM помогает определить общие ресурсы.
- Организации AWS обеспечивают централизованное управление несколькими учетными записями.
- Центр удостоверений IAM обеспечивает централизованное управление доступом.
- AWS CloudTrail и AWS Config обеспечивают управление, соответствие и аудит ресурсов AWS.
Эти службы можно адаптировать в соответствии с конкретными потребностями организации, что помогает обеспечить соответствие требованиям и безопасность.
В Azure microsoft Entra ID Management предоставляет интегрированное решение для управления жизненным циклом удостоверений, проверками доступа и привилегированным доступом. Это упрощает эти процессы путем включения автоматизированных рабочих процессов, сертификации доступа и применения политик. Эти возможности обеспечивают единый подход к управлению удостоверениями.
Управление привилегированным доступом
Временный повышенный доступ AWS IAM — это решение для обеспечения безопасности с открытым исходным кодом, которое предоставляет временный повышенный доступ к ресурсам AWS через Центр удостоверений AWS IAM. Этот подход гарантирует, что пользователи имеют только повышенные привилегии в течение ограниченного времени и для конкретных задач, чтобы снизить риск несанкционированного доступа.
Microsoft Entra Privileged Identity Management (PIM) обеспечивает JIT-управление привилегированным доступом. PIM используется для управления, контроля и мониторинга доступа к важным ресурсам и критически важным разрешениям в организации. PIM включает такие функции, как активация ролей с помощью рабочих процессов утверждения, доступ по времени и проверки доступа, чтобы гарантировать, что привилегированные роли предоставляются только при необходимости и полностью проверяются.
| Служба AWS | Служба Azure | Описание |
|---|---|---|
| AWS CloudTrail | Аудит привилегированного доступа Microsoft Entra | Комплексное ведение журнала аудита для действий с привилегированным доступом |
| AWS IAM и партнерские продукты или пользовательская автоматизация | JIT-доступ Microsoft Entra | Процесс активации привилегированных ролей с привязкой к времени |
Гибридная идентичность
Обе платформы предоставляют решения для управления сценариями гибридного удостоверения, которые интегрируют облачные и локальные ресурсы.
| Служба AWS | Служба Azure | Описание |
|---|---|---|
| Соединитель AD службы каталогов AWS | Microsoft Entra Connect | Инструмент синхронизации каталогов для гибридного управления идентификацией |
| Поставщик SAML AWS IAM | федеративные службы Active Directory | Сервис федерации идентификаций для единого входа |
| AWS Managed Microsoft AD | Синхронизация хэша паролей Microsoft Entra | Синхронизация паролей между локальными и облачными экземплярами |
Проверка подлинности и авторизация пользователей приложения и API
Обе платформы предоставляют службы удостоверений для защиты доступа к приложениям и проверки подлинности API. Эти службы управляют проверкой подлинности пользователей, разрешениями приложения и элементами управления доступом API с помощью механизмов на основе удостоверений. Платформа удостоверений Майкрософт служит единой платформой Azure для проверки подлинности и авторизации в приложениях, API и службах. Он реализует такие стандарты, как OAuth 2.0 и OIDC. AWS предоставляет аналогичные возможности через Amazon Cognito в рамках своего набора инструментов идентификации.
| Служба AWS | Служба Майкрософт | Описание |
|---|---|---|
|
Amazon Cognito Проверка подлинности AWS Amplify Служба маркеров безопасности AWS (STS) |
платформа идентификации Майкрософт | Комплексная платформа управления идентификацией, которая обеспечивает аутентификацию, авторизацию и управление пользователями для приложений и API. Оба варианта реализуют стандарты OAuth 2.0 и OIDC, но имеют различные архитектурные подходы. |
Основные отличия архитектуры
- Подход AWS: Распределенные службы, состоящие вместе
- Подход Майкрософт: Единая платформа с интегрированными компонентами
Пакет SDK для разработчиков и библиотеки
| Служба AWS | Служба Майкрософт | Описание |
|---|---|---|
| Библиотеки проверки подлинности AWS Amplify | Библиотека проверки подлинности Майкрософт (MSAL) | Клиентские библиотеки для реализации потоков проверки подлинности. MSAL предоставляет единый пакет SDK для нескольких платформ и языков. AWS предоставляет отдельные реализации с помощью Amplify. |
| Пакеты SDK AWS для нескольких языков программирования | MSAL для нескольких языков программирования | Пакеты SDK для конкретного языка для реализации проверки подлинности. Подход Майкрософт обеспечивает высокий уровень согласованности на разных языках программирования. |
Реализация потока OAuth 2.0
| Служба AWS | Служба Майкрософт | Описание |
|---|---|---|
| Гранты Amazon Cognito OAuth 2.0 | Процессы аутентификации платформы идентификации Microsoft | Поддержка стандартных потоков OAuth 2.0, включая код авторизации, неявные, учетные данные клиента и код устройства |
| Поток кода авторизации пулов пользователей Cognito | Поток кода авторизации платформы управления идентичностью Майкрософт | Реализация потока OAuth на основе безопасного перенаправления для веб-приложений |
| Поддержка обмена кодами с использованием ключа подтверждения (PKCE) в пулах пользователей Cognito | Поддержка PKCE платформы идентификации Microsoft | Улучшенная безопасность для общедоступных клиентов с помощью PKCE |
| Потоки пользовательской проверки подлинности Cognito | Пользовательские политики платформы удостоверений Майкрософт | Настройка последовательностей проверки подлинности, но с другой реализацией |
Интеграция поставщика удостоверений
| Служба AWS | Служба Microsoft или Azure | Описание |
|---|---|---|
| Федерация поставщика удостоверений Cognito | Внешние поставщики удостоверений платформы управления удостоверениями Microsoft | Поддержка социальных и корпоративных провайдеров удостоверений через протоколы OIDC и SAML |
| Социальный вход через пулы пользователей Cognito | Поставщики социальных удостоверений платформы Microsoft | Интеграция с поставщиками, такими как Google, Facebook и Apple для проверки подлинности потребителей |
| Федерация Cognito SAML | Федерация идентификаторов Microsoft Entra ID с SAML | Федерация удостоверений предприятия с помощью SAML 2.0 |
Службы токенов
| Служба AWS | Служба Microsoft или Azure | Описание |
|---|---|---|
| AWS STS | Служба токенов Microsoft Entra | Выдача маркеров безопасности для проверки подлинности приложений и служб |
| Настройка маркера Cognito | Конфигурация токенов на платформе идентификации Microsoft | Настройка веб-маркеров JSON с помощью утверждений и областей |
| Проверка маркера Cognito | Проверка токена платформы удостоверений Майкрософт | Библиотеки и сервисы для проверки подлинности токенов |
Регистрация и безопасность приложений
| Служба AWS | Служба Microsoft или Azure | Описание |
|---|---|---|
| Конфигурация клиента приложения Cognito | Регистрация приложений Microsoft Entra | Регистрация и настройка приложений с помощью платформы удостоверений |
| Роли AWS IAM для приложений | Идентификатор рабочей нагрузки Microsoft Entra | Управляемые удостоверения для доступа к ресурсам кода приложения |
| Серверы ресурсов Cognito | Разрешения API платформы удостоверений Майкрософт | Настройка защищенных ресурсов и областей |
Опыт разработчика
| Служба AWS | Служба Microsoft или Azure | Описание |
|---|---|---|
| ИНТЕРФЕЙС командной строки AWS Amplify | Платформа удостоверений Microsoft PowerShell CLI | Средства командной строки для настройки идентификаций |
| Консоль AWS Cognito | Центр администрирования Microsoft Entra | Интерфейсы управления для служб удостоверений |
| Пользовательский интерфейс Cognito на платформе | MSAL пользовательский интерфейс платформы удостоверений Microsoft | Предварительно созданные пользовательские интерфейсы для проверки подлинности |
| AWS AppSync с Cognito | API Microsoft Graph с MSAL | Шаблоны доступа к данным с проверкой подлинности |
Функции, связанные с платформой
| Служба AWS | Служба Майкрософт | Описание |
|---|---|---|
| Пулы удостоверений Cognito | Нет прямого эквивалента | Подход, зависящий от AWS, для федеративных удостоверений к ресурсам AWS |
| Нет прямого эквивалента | Функция веб-приложений Службы приложений Azure Easy Auth | Проверка подлинности на уровне платформы для веб-приложений без изменений кода |
| Триггеры Лямбда-пула пользователей Cognito | Пользовательские политики платформы удостоверений Майкрософт B2C | Механизмы расширяемости для потоков проверки подлинности |
| Брандмауэр веб-приложений AWS с помощью Cognito | Нет прямого эквивалента | Политики безопасности для управления доступом |
Соавторы
Корпорация Майкрософт поддерживает эту статью. Следующие авторы написали эту статью.
Основной автор:
- Джерри Родс | Ведущий архитектор партнерских решений
Другой участник:
- Адам Серини | Директор, Стратег технологий партнеров
Чтобы просмотреть неопубликованные профили LinkedIn, войдите в LinkedIn.
Следующие шаги
- Планирование развертывания идентификатора Microsoft Entra
- Настройка гибридного удостоверения с помощью Microsoft Entra Connect
- Внедрение Microsoft Entra PIM
- Защита приложений с помощью платформы удостоверений Майкрософт