我们的企业希望限制其生成身份和访问管理策略时所花费的时间。对于这项任务，有什么工具可以帮助自动化完成吗?

　　在公有云中记录资源使用率对于满足治理和法规遵从性至关重要。AWS日志可使管理员能够记录前搜索最终用户的行为，以及受到影响资源的详细信息。

　　AWS的各种工具都提供了安全日志记录功能，包括Amazon CloudFront、Amazon CloudWatch、AWS Config和Amazon S3日志请求到存储桶(storage buckets )。但大部分开发人员更喜欢使用AWS CloudTrail记录AWS身份和访问管理(IAM)活动。 虽然其他AWS IAM工具可以生成访问策略，但它们有限制。

　　AWS CloudTrail记录了所有的IAM和AWS Security Token 服务发出的API请求，其中包括来自基于Web身份提供商的一些未经身份验证的请求。这使请求可以映射给联合用户。 CloudTrail还会将API请求记录到其他本地服务——记录最终用户或AWS工具生成请的详细信息。管理员可以快速确定某个请求是使用IAM凭据、联合用户或角色的临时凭证，还是通过其他服务。此外，CloudTrail将登录事件，包括成功和失败的尝试，都记录到AWS管理控制台、AWS Marketplace和论坛中。

　　第三方工具可以帮助自动化、简化常见管理任务。例如，Chalice是一个开源的、基于Python的、无服务器的AWS微框架，它帮助企业创建和部署基于Amazon API Gateway和AWS Lambda的无服务器应用。微框架是高度可扩展的、易于管理员修改的，软件组件集合。Chalice有一个命令行界面，开发人员可以使用它在AWS中创建、查看、部署和管理应用程序。

　　Chalice还自动创建IAM策略，允许应用程序轻松访问AWS工具。 然而，Chalice需要高水平的云应用设计技能。实际上，开发人员可自动生成IAM策略，当使用chalice deploy命令进行包的部署时， 该命令行将部署包发送到无服务器的云环境中。这有助于确保适当的访问策略管理，同时最大限度地减少设置策略所需的时间和精力，并使开发人员可以专注于其他任务。

　　第三方IAM工具产生的麻烦

　　第三方工具，如Skeddly旨在为云自动化。这类工具还为AWS权限生成IAM策略文档，允许该工具与帐户中的AWS资源进行交互。

　　这些AWS IAM工具只是示例， 虽然他们帮助企业实现了复杂的云目标，但与本地服务相比它们仍然具有局限性。首先，第三方工具通常缺乏灵活性。 策略是动态的实体，那么创建、测试和维护它将是个挑战。与云提供商的本地IAM服务直接 协作，通常更方便、更可预测;与使用第三方AWS IAM工具自动创建策略相比，它们的测试所带来的意外后果较少。

　　此外，第三方IAM工具必须适应公有云服务的演进。例如，每次AWS更新IAM API时，第三方供应商也必须相应地更新其工具。因此，第三方工具可能会落后于IAM开发，给企业IT团队增加不确定性。

　　责任编辑：DJ编辑