स्टार्टअप में AWS IAM permissions को सही तरीके से मैनेज करना - ConsoleMe अपनाने का अनुभव

 (engineering.ab180.co)
31 पॉइंट द्वारा gjen6s 2022-02-08 | 3 टिप्पणियां | WhatsApp पर शेयर करें
  • IAM न्यूनतम-विशेषाधिकार नीति

"IAM policies बनाते समय न्यूनतम privileges देने वाली मानक security सलाह का पालन करें, यानी केवल वही permissions दें जो काम करने के लिए आवश्यक हों"

पहले developers को सभी permissions दी जा रही थीं, लेकिन बाद में न्यूनतम-विशेषाधिकार नीति अपनाने का फैसला किया गया।

  • Jira का उपयोग करके permission request process अपनाने का अनुभव

पहले से मौजूद सभी permissions वापस लेने के बाद, आवश्यक permissions के लिए request करने की process को Jira + Terraform से बनाया गया।

लेकिन नीचे दिए गए चार कारणों से इसे इस्तेमाल करना मुश्किल था:

  1. Terraform apply करने में लगभग 3~5 मिनट लगते थे

  2. IAM policy के बारे में developers की कम समझ के कारण काफी समय लगता था

  3. अतिरिक्त permissions के लिए request बार-बार आती थीं

  4. IAM की अक्सर बदलने वाली प्रकृति के कारण कई बार Github के साथ sync नहीं रहता था

  • IAM permission requests की दुनिया में उम्मीद की एक किरण, ConsoleMe

Netflix द्वारा 2020 में सार्वजनिक किया गया AWS multi-account environment में IAM permission management को आसान बनाने वाला open source project। यह एक web console देता है, जिससे IAM permission requests और Role के लिए temporary permissions का उपयोग किया जा सकता है। User web पर permission editor में स्वतंत्र रूप से बदलाव कर सकता है, और admin के verify करके approve करते ही वह तुरंत apply हो जाता है।

  • SSO(Single sign-on) का उपयोग करके temporary permissions जारी करना

AWS में AWS STS(Secure Token Service) का उपयोग कर IAM Role के लिए temporary permissions लेना, IAM User का उपयोग करने की तुलना में अधिक सुरक्षित तरीका है। ConsoleMe में SSO के जरिए Google account या SSO provider का उपयोग करके IAM Role के लिए temporary permissions लेना आसान बनाया गया है।

  • तो, क्या इसे अपनाने के बाद स्थिति बेहतर हुई?

हाँ। टीम ने 6 महीने तक इसे अपनाकर इस्तेमाल करने के बाद बताया कि ConsoleMe इस्तेमाल करने के बाद security team के लिए permission requests से जुड़ी evidences और logs को मैनेज करना आसान हो गया, और development team के लिए कम से कम 30 मिनट से लेकर अधिकतम एक दिन तक लगने वाली प्रक्रिया बदलकर लगभग 5 मिनट की आसान permission request process बन गई, जिससे सभी संतुष्ट थे।

संबंधित पढ़ाई

3 टिप्पणियां

 
eyelove 2022-02-08

व्यक्तिगत रूप से, इस अच्छे संसाधन के लिए धन्यवाद। :)

हमें भी accounting audit की वजह से security को मज़बूत करना है, इसलिए यह मददगार लगता है
 
kbumsik 2022-02-08

मुझे इस बारे में ज़्यादा जानकारी नहीं है (स्टार्टअप में नया हूँ...) लेकिन लगता है कि security audit के अलावा accounting audit के समय भी IT security की auditing होती है, वाह, यह पहली बार पता चला।

audit की तैयारी के लिए शुभकामनाएँ haha
 
gjen6s 2022-02-08

ज़्यादातर मामलों में अकाउंटिंग ऑडिट ही वह मौका बन जाता है जब लोग सुरक्षा पर ध्यान देने लगते हैं, हाहा

हिम्मत बनाए रखें~