Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Bu kılavuz, Amazon Web Services (AWS) kullanan ve Azure'a geçiş yapmak veya çoklu bulut stratejisini benimsemek isteyen kuruluşlara yöneliktir. Bu kılavuz, AWS kimlik yönetimi çözümlerini benzer Azure çözümleriyle karşılaştırır.
Tavsiye
Microsoft Entra ID'yi AWS'ye genişletme hakkında bilgi için bkz. AWS için Microsoft Entra kimlik yönetimi ve erişim yönetimi.
Temel kimlik hizmetleri
Her iki platformdaki temel kimlik hizmetleri, kimlik ve erişim yönetiminin temelini oluşturur. Bu hizmetler arasında temel kimlik doğrulaması, yetkilendirme ve muhasebe özellikleri ile bulut kaynaklarını mantıksal yapılar halinde düzenleme olanağı yer alır. AWS uzmanları Azure'da benzer özellikleri kullanabilir. Bu özelliklerin uygulamada mimari farklılıkları olabilir.
| AWS hizmeti | Azure hizmeti | Açıklama |
|---|---|---|
| AWS Kimlik ve Erişim Yönetimi (IAM) Kimlik Merkezi | Microsoft Entra ID | Çoklu oturum açma (SSO), çok faktörlü kimlik doğrulaması (MFA) ve çeşitli uygulamalarla tümleştirme sağlayan merkezi kimlik yönetimi hizmeti |
| AWS Kuruluşları | Azure yönetim gruplarını | Devralınan ilkeleri kullanarak birden çok hesabı ve aboneliği yönetmek için hiyerarşik kuruluş yapısı |
| AWS IAM Kimlik Merkezi | Microsoft Entra ID SSO | Kullanıcıların tek bir kimlik bilgisi kümesi kullanarak birden çok uygulamaya erişmesini sağlayan merkezi erişim yönetimi |
| AWS Dizin Hizmeti | Microsoft Entra Domain Services | Etki alanına katılma, grup ilkesi, Basit Dizin Erişim Protokolü (LDAP) ve Kerberos veya NT LAN Manager (NTLM) kimlik doğrulaması sağlayan yönetilen dizin hizmetleri |
Kimlik doğrulaması ve erişim denetimi
Her iki platformdaki kimlik doğrulama ve erişim denetimi hizmetleri, kullanıcı kimliklerini doğrulamak ve kaynak erişimini yönetmek için temel güvenlik özellikleri sağlar. Bu hizmetler MFA, erişim gözden geçirmeleri, dış kullanıcı yönetimi ve rol tabanlı izinleri işler.
| AWS hizmeti | Azure hizmeti | Açıklama |
|---|---|---|
| AWS MFA | Microsoft Entra MFA | Kullanıcı oturum açma işlemleri için birden çok doğrulama biçimi gerektiren ek güvenlik katmanı |
| AWS IAM Access Analyzer | Microsoft Entra erişim incelemeleri | Kaynaklara erişim izinlerini gözden geçirmek ve yönetmek için araçlar ve hizmetler |
| AWS IAM Kimlik Merkezi | Microsoft Entra Harici Kimlik | Kuruluşlar arası işbirliğinin güvenliğini sağlamak için dış kullanıcı erişim yönetimi platformu. Bu platformlar Güvenlik Onaylama İşaretleme Dili (SAML) ve OpenID Connect (OIDC) gibi protokolleri destekler. |
| AWS Resource Access Manager | Microsoft Entra rol tabanlı erişim denetimi (RBAC) ve Azure RBAC | Bir kuruluştaki bulut kaynaklarını paylaşabilen hizmetler. AWS genellikle bulut kaynaklarını birden çok hesapta paylaşır. Azure RBAC benzer kaynak paylaşımına ulaşabilir. |
Kimlik idaresi
Güvenlik ve uyumluluğu korumak için kimlikleri ve erişimi yönetmeniz gerekir. Hem AWS hem de Azure, kimlik idaresi için çözümler sunar. Kuruluşlar ve iş yükü ekipleri kimliklerin yaşam döngüsünü yönetmek, erişim gözden geçirmeleri yapmak ve ayrıcalıklı erişimi denetlemek için bu çözümleri kullanabilir.
AWS'de kimlik yaşam döngüsünü, erişim gözden geçirmelerini ve ayrıcalıklı erişimi yönetmek için çeşitli hizmetlerin bir birleşimi gerekir.
- AWS IAM, kaynaklara güvenli erişimi işler.
- IAM Access Analyzer, paylaşılan kaynakların tanımlanmasına yardımcı olur.
- AWS Kuruluşları, birden çok hesabın merkezi yönetimini sağlar.
- IAM Kimlik Merkezi merkezi erişim yönetimi sağlar.
- AWS CloudTrail ve AWS Config, AWS kaynaklarının idaresini, uyumluluğunu ve denetimini etkinleştirir.
Bu hizmetleri, uyumluluk ve güvenliği sağlamaya yardımcı olan belirli kuruluş gereksinimlerini karşılayacak şekilde uyarlayabilirsiniz.
Azure'da , Microsoft Entra ID İdaresi kimlik yaşam döngüsünü, erişim gözden geçirmelerini ve ayrıcalıklı erişimi yönetmek için tümleşik bir çözüm sağlar. Otomatik iş akışlarını, erişim sertifikalarını ve ilke zorlamayı birleştirerek bu işlemleri basitleştirir. Bu özellikler, kimlik idaresi için birleşik bir yaklaşım sağlar.
Ayrıcalıklı erişim yönetimi
AWS IAM geçici yükseltilmiş erişimi, AWS IAM Kimlik Merkezi aracılığıyla AWS kaynaklarına geçici olarak yükseltilmiş erişim sağlayan bir açık kaynak güvenlik çözümüdür. Bu yaklaşım, kullanıcıların yalnızca sınırlı bir süre ve yetkisiz erişim riskini azaltmak için belirli görevler için yükseltilmiş ayrıcalıklara sahip olmasını sağlar.
Microsoft Entra Privileged Identity Management (PIM), tam zamanında ayrıcalıklı erişim yönetimi sağlar. Kuruluşunuzdaki önemli kaynaklara ve kritik izinlere erişimi yönetmek, denetlemek ve izlemek için PIM kullanırsınız. PIM, ayrıcalıklı rollerin yalnızca gerektiğinde verilmesini ve tam olarak denetlenmesini sağlamak için onay iş akışları aracılığıyla rol etkinleştirme, zamana bağlı erişim ve erişim gözden geçirmeleri gibi özellikler içerir.
| AWS hizmeti | Azure hizmeti | Açıklama |
|---|---|---|
| AWS CloudTrail | Microsoft Entra ayrıcalıklı erişim denetimi | Ayrıcalıklı erişim etkinlikleri için kapsamlı denetim günlüğü |
| AWS IAM ve iş ortağı ürünleri veya özel otomasyon | Microsoft Entra tam zamanında erişim | Zamana bağlı ayrıcalıklı rol etkinleştirme işlemi |
Karma kimlik
Her iki platform da bulut ve şirket içi kaynakları tümleştiren hibrit kimlik senaryolarını yönetmek için çözümler sağlar.
| AWS hizmeti | Azure hizmeti | Açıklama |
|---|---|---|
| AWS Dizin Hizmeti AD Bağlayıcısı | Microsoft Entra Connect | Karma kimlik yönetimi için dizin eşitleme aracı |
| AWS IAM SAML sağlayıcısı | Active Directory Federasyon Hizmetleri | SSO için kimlik federasyon hizmeti |
| AWS Yönetilen Microsoft AD | Microsoft Entra parola karması eşitlemesi | Şirket içi ve bulut örnekleri arasında parola eşitleme |
Uygulama ve API kullanıcı kimlik doğrulaması ve yetkilendirme
Her iki platform da uygulama erişiminin ve API kimlik doğrulamasının güvenliğini sağlamak için kimlik hizmetleri sağlar. Bu hizmetler kimlik tabanlı mekanizmalar aracılığıyla kullanıcı kimlik doğrulaması, uygulama izinleri ve API erişim denetimlerini yönetir. Microsoft kimlik platformu, uygulamalar, API'ler ve hizmetler arasında kimlik doğrulaması ve yetkilendirme için Azure birleşik çerçevesi görevi görür. OAuth 2.0 ve OIDC gibi standartlar uygular. AWS, kimlik paketinin bir parçası olarak Amazon Cognito aracılığıyla benzer özellikler sağlar.
| AWS hizmeti | Microsoft hizmeti | Açıklama |
|---|---|---|
|
Amazon Cognito AWS Kimlik Doğrulamasını Büyütme AWS Güvenlik Belirteci Hizmeti (STS) |
Microsoft kimlik platformu |
Uygulamalar ve API'ler için kimlik doğrulaması, yetkilendirme ve kullanıcı yönetimi sağlayan kapsamlı kimlik platformu. Her iki seçenek de OAuth 2.0 ve OIDC standartlarını uygular, ancak farklı mimari yaklaşımlara sahiptir. |
Önemli mimari farklılıkları
- AWS yaklaşımı: Birlikte oluşturulan dağıtılmış hizmetler
- Microsoft yaklaşımı: Tümleşik bileşenlere sahip birleşik platform
Geliştirici SDK'sı ve kitaplıkları
| AWS hizmeti | Microsoft hizmeti | Açıklama |
|---|---|---|
| AWS Kimlik Doğrulama kitaplıklarını yükseltin | Microsoft Kimlik Doğrulama Kitaplığı (MSAL) | Kimlik doğrulama akışlarını uygulamak için istemci kitaplıkları. MSAL, birden çok platform ve dilde birleşik bir SDK sağlar. AWS, Amplify aracılığıyla ayrı uygulamalar sağlar. |
| Çeşitli programlama dilleri için AWS SDK'ları | Çeşitli programlama dilleri için MSAL | Kimlik doğrulamasını uygulamak için dile özgü SDK'lar. Microsoft yaklaşımı, programlama dillerinde yüksek düzeyde tutarlılık sağlar. |
OAuth 2.0 akış uygulaması
| AWS hizmeti | Microsoft hizmeti | Açıklama |
|---|---|---|
| Amazon Cognito OAuth 2.0 izinleri | Microsoft kimlik platformu kimlik doğrulama akışları | Yetkilendirme kodu, örtük, istemci kimlik bilgileri ve cihaz kodu gibi standart OAuth 2.0 akışlarını destekleme |
| Cognito kullanıcı havuzları yetkilendirme kod akışı | Microsoft kimlik platformu yetkilendirme kodu akışı | Web uygulamaları için güvenli yeniden yönlendirme tabanlı OAuth akışının uygulanması |
| Cognito kullanıcı havuzları için Kod Değişimi (PKCE) Doğrulama Anahtarı desteği | Microsoft kimlik platformu PKCE desteği | PKCE kullanarak genel istemciler için gelişmiş güvenlik |
| Cognito özel kimlik doğrulama akışları | Microsoft kimlik platformu özel ilkeleri | Kimlik doğrulama dizilerini özelleştirme ancak farklı bir şekilde uygulanma |
Kimlik sağlayıcı entegrasyonu
| AWS hizmeti | Microsoft veya Azure hizmeti | Açıklama |
|---|---|---|
| Cognito kimlik sağlayıcısı federasyonu | Microsoft kimlik platformu dış kimlik sağlayıcıları | OIDC ve SAML protokolleri aracılığıyla sosyal ve kurumsal kimlik sağlayıcıları için destek |
| Cognito kullanıcı havuzlarında sosyal giriş | Microsoft kimlik platformu sosyal kimlik sağlayıcıları | Tüketici kimlik doğrulaması için Google, Facebook ve Apple gibi sağlayıcılarla tümleştirme |
| Cognito SAML federasyonu | Microsoft Entra ID SAML federasyonu | SAML 2.0 aracılığıyla kurumsal kimlik federasyonu |
Belirteç hizmetleri
| AWS hizmeti | Microsoft veya Azure hizmeti | Açıklama |
|---|---|---|
| AWS STS | Microsoft Entra token hizmeti | Uygulama ve hizmet kimlik doğrulaması için güvenlik belirteçleri verme |
| Cognito belirteci özelleştirme | Microsoft kimlik platformu belirteci yapılandırması | Talepler ve kapsamlar kullanılarak JSON Web Belirteçlerinin özelleştirilmesi |
| Cognito belirteci doğrulama | Microsoft kimlik platformu belirteci doğrulama | Jeton gerçekliğini doğrulamak için kitaplıklar ve hizmetler |
Uygulama kaydı ve güvenlik
| AWS hizmeti | Microsoft veya Azure hizmeti | Açıklama |
|---|---|---|
| Cognito uygulama istemci yapılandırması | Microsoft Entra uygulama kayıtları | Kimlik platformunu kullanarak uygulamaların kaydı ve yapılandırması |
| Uygulamalar için AWS IAM rolleri | Microsoft Entra İş Yükü Kimliği | Uygulama kodu kaynak erişimi için yönetilen kimlikler |
| Cognito kaynak sunucuları | Microsoft kimlik platformu API izinleri | Korumalı kaynakların ve kapsamların yapılandırması |
Geliştirici deneyimi
| AWS hizmeti | Microsoft veya Azure hizmeti | Açıklama |
|---|---|---|
| AWS Amplify CLI | Microsoft kimlik platformu PowerShell CLI | Kimlik yapılandırması için komut satırı araçları |
| AWS Cognito konsolu | Microsoft Entra yönetim merkezi | Kimlik hizmetleri için yönetim arabirimleri |
| Cognito tarafından barındırılan kullanıcı arabirimi | Microsoft kimlik platformu MSAL kullanıcı arabirimi | Kimlik doğrulaması için önceden oluşturulmuş kullanıcı arayüzleri |
| Cognito ile AWS AppSync | MSAL ile Microsoft Graph API | Kimlik doğrulaması ile veri erişim desenleri |
Platforma özgü özellikler
| AWS hizmeti | Microsoft hizmeti | Açıklama |
|---|---|---|
| Cognito kimlik havuzları | Doğrudan eşdeğeri yok | AWS kaynaklarına kimlik federasyonu sağlamak için AWS'ye özgü bir yaklaşım |
| Doğrudan eşdeğeri yok | Azure App Service Easy Auth'un Web Apps özelliği | Kod değişikliği olmayan web uygulamaları için platform düzeyinde kimlik doğrulaması |
| Cognito kullanıcı havuzu Lambda tetikleyicileri | Microsoft kimlik platformu B2C özel ilkeleri | Kimlik doğrulama akışları için genişletilebilirlik mekanizmaları |
| Cognito ile AWS Web Uygulaması Güvenlik Duvarı | Doğrudan eşdeğeri yok | Erişim denetimi için güvenlik ilkeleri |
Katkıda Bulunanlar
Microsoft bu makaleyi korur. Bu makaleyi aşağıdaki katkıda bulunanlar yazdı.
Asıl yazar:
- Jerry Rhoads | Baş İş Ortağı Çözüm Mimarı
Diğer katkıda bulunan:
- Adam Cerini | Yönetmen, İş Ortağı Teknoloji Stratejisti
Nonpublic LinkedIn profillerini görmek için LinkedIn'de oturum açın.
Sonraki adımlar
- Microsoft Entra ID dağıtımınızı planlama
- Microsoft Entra Connect ile karma kimliği yapılandırma
- Microsoft Entra PIM uygulamak
- Microsoft kimlik platformunu kullanarak uygulamaların güvenliğini sağlama