Чем можно управлять с категорией в: Водительские права категории «B» дают вам право ездить не только на машине

Настройка категорий в виде Категории—ArcGIS Pro

Доступно с порталом, лицензированным функциональными возможностями Indoors.​

Панель Конфигурация категорий Indoors позволяет интерактивно создавать и управлять категориями ArcGIS Indoors, а также организовывать их в группы. Вы можете создать каталог информации о помещениях для использования в приложениях Indoors.

Конфигурация категорий содержит описание точек и областей интереса. Точкой интереса может быть любая подходящая точка, например, огнетушитель, велосипедная стойка, место для курения, наряд на работу или событие. Областью интереса может быть любой подходящий полигон, например, конференц-зал, лифт или здание. Эти категории настроены на отображение в виде значков на панели Проводник в Indoor Viewer и в мобильных приложениях Indoors. Конфигурация категории не только позволяет использовать ее в качестве категории на панели Проводник в приложениях Indoors, но и предоставляет дополнительные возможности, такие как поиск, маршруты и мои места для этих объектов.

Категории и группы, настроенные на панели Конфигурация категорий Indoors, сохраняются в файлах карт и в проекте ArcGIS Pro. Вы можете опубликовать эти карты внутри и за пределами своей организации. Эти карты могут быть опубликованы в вашей организации в качестве веб и мобильных карт для использования с приложениями Indoors.

Более подробно о категориях и группах категорий

Вид Категории можно использовать для создания и управления категориями Indoors, а также группами категорий, связанными с активной картой.. Он показывает категории и группы категорий в иерархическом порядке.

Надпись	Описание
1	Автономная категория
2	Группа категории
3	Категории

Изменения можно предварительно просмотреть в виде Категории в виде Исследовать панели Настройка категорий Indoors перед публикацией карты, чтобы увидеть, как категории отображаются в Indoor Viewer и мобильных приложениях Indoors.

Активная карта сохраняет конфигурацию категорий. Если вы меняете вид карты, существующая конфигурация категорий загружается в панель Настройка категорий Indoors новой активной карты.

Подсказка:

Сохраняйте изменения чаще. Активный сеанс сохраняет конфигурацию категорий, но закрытие проекта без сохранения результатов приведет к потере конфигурации.

Рекомендуется удалить любые предварительно заданные категории, которые вы не хотите использовать в карте Indoors из категорий по умолчанию. Возможности удалить неиспользуемые или пустые категории или группы категорий в Viewer и мобильных приложениях Indoors в панели Исследовать нет.

Доступ к виду Категории

Завершите следующие шаги, чтобы открыть вид Категории в панели Настройка категорий Indoors:

1. Щёлкните вкладку Вид.
2. В группе Окна щелкните стрелку ниспадающего меню Indoors и выберите Настроить категории Indoors .

   Откроется панель Настройка категорий Indoors, где можно настраивать категории или управлять ими. Видом по умолчанию является вид Категории.

Создание категории

Вы можете создать категорию, щелкнув кнопку Создать категорию Indoors на вкладке Категории панели Настройка категорий Indoors. Откроется мастер Создать категорию Indoors, который проведет вас через рабочий процесс создания категории для точки или области интереса вашей организации. При желании вы можете создать категории по умолчанию из слоя карты с помощью мастера Создать категории Indoors по умолчанию. После создания категории она будет отображена в виде Категории, в соответствии с группой, выбранной в процессе создания, при этом ее место в списке можно изменить, если необходимо. Если Группа категорий задана как Нет, то создастся автономная категория.

Создание группы категорий

Группа категорий — это широкая категория схожих точек и областей интереса, используемых в вашей организации. Это коллекция категорий, сгруппированных для удобства просмотра.

Можно создать группу категорий в виде Категории, выполнив любое действие из следующих:

• Нажмите кнопку Создать группу категорий .

  Indoors Не поддерживает вложенные группы категорий.

• Щелкните правой кнопкой Категории вверху списка и выберите Создать группу категорий.
• Выберите две или более категории, щелкните правой кнопкой и выберите Группировать.

Новые группы появятся в видах Категории и Исследовать в конце списка с именем по умолчанию Новая группа категорий, которое необходимо изменить.

Группы также отображаются на панели Определить мастеров Создать категории Indoors и Создать категории Indoors по умолчанию в раскрывающемся списке Группа категорий, используемом для связывания категорий.

Подсказка:

Планируйте структуру групп категорий таким образом, чтобы каждая группа содержала только категории из одного слоя карты. Включение категорий из нескольких слоев карт в одну группу категорий может повлиять на производительность и удобство поиска и изучения функциональных возможностей приложений Indoors.

Восстановить ссылку слоя на категорию

Категории могут быть извлечены из слоя класса объектов в Информационной модели ArcGIS Indoors или из векторных веб-слоев, опубликованных на портале ArcGIS Enterprise или в организации ArcGIS Online из других бизнес-систем. Они могут представлять наряды на работы, оборудование или другие точки и области интереса в вашей организации. ArcGIS Pro выполняет поиск слоя, представленного каждой категорией карты. При удалении слоя связь слоя с категорией разрывается, что обозначается красным восклицательным знаком.

Если базовый слой недоступен или удален, необходимо восстановить разорванную связь слоя категория. Восклицательный знак исчезает, как только базовый слой восстанавливается. Вы также можете отменить действие, которое привело к удалению слоя, чтобы вернуть его на карту и восстановить ссылку слоя на категорию.

Если исходный слой недоступен, вы можете оставить нарушенную категорию как есть и продолжить настройку остальных категорий и публикацию карты. Категория по-прежнему отображается как нарушенная на панели Конфигурация категорий Indoors, но скрыта на панели Проводник в приложениях Indoors. Если нарушенная категория не нужна, вы можете удалить ее из карты.

1. Щелкните кнопку Восстановить поврежденный источник данных .

   Откроется диалоговое окно Восстановить отключенную категорию.

2. Из списка доступных слоев карты выберите слой, с которым вы хотите связать.
   • При восстановлении одной категории все остальные категории, связанные с исходным слоем, восстанавливаются автоматически.
   • При восстановлении связи слоя с существующей категорией необходимо убедиться, что схема нового слоя совпадает со схемой исходного слоя, чтобы предотвратить ошибки в конфигурациях категорий.

Организовать категории

Категории задают способ взаимодействия пользователей с точечными и полигональными данными в Indoor Viewer и в мобильных приложениях Indoors. Изменения, внесенные в категории в виде Категории, можно предварительно просмотреть в виде Проводник панели Конфигурация категорий Indoors.

Изменение порядка категорий

Вы можете расположить категории или группы категорий на панели Конфигурация категорий Indoors в том порядке, в котором они будут отображаться на панели Проводник в приложениях Indoors.

Категории можно организовать в группы в процессе создания, используя мастер Создать категорию Indoors или Создать категорию Indoors по умолчанию или панель Настройка категорий Indoors после создания. Также можно переместить категории из одной группы в другую в виде Категории. Удаление категории из группы также удалит ее связи в пределах группы, и превратит ее в автономную категорию, если не поместить ее в какую-либо другую группу. Изменение порядка группы категорий приводит к перемещению всех связанных категорий в группе. Также можно реорганизовать категории в группе, чтобы изменить из порядок.

1. В виде Категории выберите категорию, которую вы хотите добавить в группу или изменить порядок ее нахождения в списке, или выберите группу категорий, место которой в списке вы хотите изменить.

   Подсказка:

   Чтобы выбрать несколько элементов, при нажатии на категории нажмите Shift или Ctrl.

2. Перетащите выбранную категорию или группу в дереве вида Категории, чтобы изменить порядок.

   Панель указывает, куда можно поместить элемент при перетаскивании.

   Переместите категорию непосредственно в группу категорий, или переместите категорию из группы, чтобы сделать ее автономной. Вы также можете переместить категорию из одной группы в другую для изменения связей другими категориями в группе.

   И категорию и группу категорий можно выбрать одновременно, но если выбраны обе, опция перетаскивания недоступна. Вложенные группы категорий не поддерживаются, в группу можно перемещать только категории.

Переименование категории или группы

Имя категории указывается, когда вы создаете категорию используя мастер Создать категорию Indoors или Создать категорию Indoors по умолчанию. Также можно изменить категорию или имя группы категорий в виде Категории.

Новым группам категорий имя присваивается по умолчанию. Вы можете переименовать их так, чтобы название лучше представляло коллекцию категорий. Это упрощает просмотр каталога категорий Indoors в приложениях Indoors для вашей организации.

Чтобы переименовать категории или группы категорий, выполните следующие действия:

1. Дважды щелкните категорию или группу категории в виде Категории.

   Подсказка:

   Также можно щелкнуть правой кнопкой имя категории или группы категорий и щелкнуть Переименовать, или выбрать элемент и нажать F2 для переименования.

2. Введите новое имя и щёлкните Enter.

   Имя категории и группы категорий должно быть уникальным, чтобы избежать конфликта с существующей категорией.

Копирование категории

Вы можете создать новую категорию, вставив копию существующей категории. Все свойства исходной категории устанавливаются для новой вставленной категории и могут быть изменены по мере необходимости.

Одновременно можно скопировать только одну категорию. Группы категорий не могут быть скопированы.

1. Щелкните категорию правой кнопкой мыши и выберите Копировать.

   Копия категории будет размещена в списке вида Категории, в зависимости от связи ее с исходной категорией в группе категорий.

2. Переименуйте категорию и переместите, если необходимо.

Удаление категории или группы

Любая категория или группа категорий, которую вы добавили в вид Категории может быть удалена из конфигурации карты, щелкните категорию правой кнопкой мыши и выберите Убрать.

Подсказка:

• Чтобы выбрать несколько категорий, при щелчке на категории нажмите Shift или Ctrl.
• Удаление группы категорий приводит к удалению все связанных с ней категорий.

Редактировать категории

Свойства категории задаются при создании или копировании вами категории, но их можно поменять. Вы можете отредактировать эти свойства, щелкнув категорию правой кнопкой мыши и выбрав параметр, который вы хотите изменить.

---

Отзыв по этому разделу?

Категория B — как получить, каким транспортом можно управлять — Автомотошкола77 в ЮЗАО (Зюзино, Черемушки)

Разные типы транспортных средств предполагают получение различных категорий водительских прав. Управление транспортным средством без соответствующей категории запрещено. Например, водить мотоцикл не допускается, если у вас открыта только категория на легковой или грузовой автомобили. Самая популярная на данный момент категория — это категория В. Давайте разберемся, какими транспортными средствами допустимо управлять с этой категорией и как ее получить. 

Каким транспортом можно управлять, имея категорию В?

Так сложилось, что категорию В в основном получают те, кто планирует ездить за рулем легкового автомобиля. Однако, перечень транспортных средств, которыми можно управлять с правами категориями В несколько шире, чем просто “легковые автомобили”. Категория В дает право управлять:

• Автомобилями, масса которых не превышает 3,5 тонн. В эту категорию входят не только всем известные легковушки, но и грузовые ТС, не превышающие разрешенную категорией массу. 

• Автомобилями, где число мест для пассажиров не превышает 8.

  Таким образом, категория В дает право управлять небольшими микроавтобусами. 

• Транспортными средствами, предусмотренными категорией В1. С получением категории В автоматически открывается подкатегория В1, к которой относятся трициклы (трехколесные мотоциклы) и квадрициклы, представляющие собой четырехколесное транспортное средство с автомобильным рулем (не путать с квадроциклами!)

Как получить категорию В?

Открытие водительской категории В предполагает следующие действия:

• получение медицинской справки о допуске к управлению транспортными средствами категории В

• обучение в автошколе по программе соответствующей категории

• сдача экзамена в ГИБДД

Стоит отметить, что приступить к обучению на категорию В допускается с 16 лет, сдать экзамен в ГИБДД можно по достижении возраста 17 лет, однако для получения прав нужно дождаться совершеннолетия — возраста 18 лет.  

Записаться на курс обучения по категории В в Москве можно по номеру телефона +7 (926) 323-1-222 или заполнив анкету на сайте.

 

Категория D — Автобус

ГлавнаяКатегорииКатегория D

Условия получения прав категории «D».

    Права категории «D» дают возможность управлять автомобилями, предназначенными для перевозки пассажиров и имеющими более восьми cидячих мест, помимо сиденья водителя.

ВАЖНО! Чтобы вы могли управлять ТС категории «D», вам должно исполниться 21 год. 

    Курс предназначен для тех, кто уже имеет водительские права категории B или С. Вам будет необходимо пройти курс переподготовки и сдать экзамены в ГИБДД. Слушатели могут пройти этот курс в любом филиале с группами категории В (экзаменационные билеты для категории  D отличаются незначительно) по стандартной программе обучения.

    Увидеть актуальную информацию о ценах на обучение можно в разделе «Цены и условия».

1. Теоретический курс

    Теоретические занятия проводятся в объеме учебных часов, предусмотренных программами переподготовки водителей транспортных средств — 74 академических часа для водителей переподготовки с категории В на категорию D и 70 академических часов для водителей переподготовки с категории С на категорию Д

.

Заниматься теорией вы начинаете с первого дня учебы. 

    Для того, чтобы прослушать лекции — Вы можете выбрать группу с удобным графиком в любом из наших филиалов.

Группы формируются следующим образом:

• Утренние группы — с 9.00 до 12.00
• Вечерние группы — с 19.00 до 22.00
• Группы выходного дня — с 10.00 до 13.00 (обучение проходит в субботу и воскресение)

    На занятиях слушатели проходят подготовку по всем темам, которые включены в билеты экзаменов. 

    Ознакомиться с расписанием ближайших групп можно на странице «Расписание занятий».

2. Практический курс.

    Практические занятия начинаются спустя 2 недели и проходят параллельно с теоретическими по индивидуальному графику, разработанному совместно с Вашим инструктором. Первые 2-3 занятия проводятся на автотренажере, 8-9 занятий на закрытой площадке автошколы, остальные занятия проходят на улицах города.

    Чтобы приступить к практическим занятиям, Вам необходимо пройти медицинскую водительскую комиссию и получить справку.

    Курс практического обучения на категорию D проходит на автобусе ПАЗ320412. 

   По итогам обучения в автошколе проводится внутренний экзамен, который, как и в ГИБДД, состоит из двух частей — теоретической и практической.

3. Сопровождение в ГИБДД.

    После успешного прохождения внутренних экзаменов, автошкола готовит комплект документов, необходимый для допуска к сдаче экзаменов в ГИБДД.

    При желании,  можно получить документы об обучении в нашей автошколе и сдавать экзамен самостоятельно в ГИБДД по месту прописки.

Владельцам электросамокатов предложат выучиться на права

Управлять новомодным транспортом с электромотором должны только лица старше 16 лет при наличии водительского удостоверения категории «М», а кататься на нём — по краю проезжей части дороги или обочине. На тротуар электросамокатам въезд должен быть закрыт. Эти и другие предложения по изменению ПДД планируют обсудить в Общественной палате 19 апреля, рассказал «Парламентской газете» зампред Комиссии Общественной палаты РФ по безопасности и взаимодействию с общественными наблюдательными комиссиями Александр Холодов.

Три в одном не всегда хорошо

С точки зрения правовой неопределённости формально сейчас наездник электросамоката попадает сразу в три категории. Это и пешеход, потому что в ПДД говорится, что человек на самокате приравнивается к пешеходу. С другой стороны, сам электросамокат — это устройство с двумя колёсами и (иногда) приводящееся в движение мускульной силой, что хорошо подходит к категории «велосипед», а также к категории «мопед» — при мощности его двигателя более 250 ватт.

«Эта неопределённость порождает абсурдные ситуации, — говорит Александр Холодов. — Были случаи, когда человек на электросамокате сбивает на тротуаре прохожего, а в ГИБДД оформляли происшествие, как столкновение двух пешеходов».

Первая попытка навести порядок в сфере индивидуального электротранспорта оказалась неудачной. Проект изменений в ПДД, предложенный Минтрансом, обсуждали год, но до сих пор ни к чему не пришли. Разработанные ведомством поправки предполагали ряд ограничений для владельцев средств индивидуальной мобильности (СИМ) — электросамокатов, гироскутеров, моноколёс и даже роликовых коньков.

Согласно документу, дети младше семи лет могли использовать СИМ только в сопровождении взрослых — на тротуарах и пешеходных дорожках. Подросткам до 14 лет разрешалось кататься в этих местах без сопровождения, а тем, кто старше, при отсутствии велодорожек и тротуаров было позволено выезжать на обочину при условии, что мобильное средство обладает тормозами, фонарём и светоотражателями. Кроме того, при совместном движении с пешеходами запрещалось разгоняться быстрее 20 километров в час. Также планировалось ввести специальные дорожные знаки.

Словом, очень много изменений, которые трудно запомнить и ещё сложнее администрировать. Как ранее рассказал «Парламентской газете» член Комитета Госдумы по госстроительству и законодательству Вячеслав Лысаков, заниматься, к примеру, нарушителями скоростного режима на самокатах и сегвеях будет некому. Инспекторов ГИБДД уже и на улицах почти не встретишь, кого тогда ставить на тротуары движение регулировать?

Что предлагают

В Общественной палате подготовили свою черновую редакцию поправок в ПДД и рассчитывают, что эти предложения попадут в итоговую версию многострадального проекта Минтранса.

«На мой взгляд, наша редакция слишком смелая, — отметил Александр Холодов. — Делали с прицелом на будущее, поскольку эта сфера быстро развивается. Мы хотим презентовать проект 19 апреля и получить отзыв от общества».

Во-первых, предлагается определить электросамокаты и велосипеды с электрическим мотором в разряд транспортных средств и приравнять к мопедам.

Фото: АГН Москва

А статус мопеда уже не даст обладателям электросамокатов возможности гонять по тротуарам. Им нужно будет и водительское удостоверение получать категории «М», и кататься только по краю проезжей части и только в трезвом виде.

«Ответственность для нарушителей будет не в пример серьёзнее, в том числе и лишение прав», — пояснил Холодов.

Требования не будут распространяться на средства индивидуальной мобильности с гироскопической стабилизацией. На гироскутерах, сегвеях, моноколёсах и, конечно, на роликах, скейтбордах и обычных самокатах кататься можно будет по-прежнему, без прав.

Второе предложение — упростить процедуру получения водительского удостоверения категории «М».

Где получить права на мопед

Права категории «М» можно получить с 16 лет. Однако ни одна российская автошкола сейчас не учит водителей мопедов. Дело в том, что первичная категория автоматически открывается при получении любой другой категории, в том числе самой распространённой — «В» (легковые автомобили).

Как рассказала «Парламентской газете» председатель правления Национального союза автошкол Елена Зайцева, программы обучения на категорию «М» есть, однако они не востребованы.

Читайте также:

• Минтранс представил поправки о самокатах и гироскутерах в ПДД • Для самокатов могут ввести специальные дорожные знаки

«Молодые люди сразу приходят учиться на категорию «А1» (лёгкий мотоцикл. — Прим.ред.), чтобы, как говорится, два раза не ходить, — пояснила она. — В масштабах страны, наверное, можно по пальцам пересчитать тех, кто приходит учиться водить исключительно мопед. В Москве я, например, ни разу такого не видела».

При этом программа подготовки водителя мопеда мало чем отличается от обучения мотоциклиста. Но для пользователя электросамоката, по мнению экспертов, всё же избыточна.

«Мы представляем, что есть люди, молодёжь, которые не хотят учиться на водителя мотоцикла или легкового автомобиля, потому что не планируют покупать такой транспорт, — пояснил представитель ОП РФ Александр Холодов. — Поэтому мы предлагаем упростить получение прав категории «М».

Минимальный возраст для получения водительских прав в странах мира

https://ria.ru/20201112/vozhdenie-1584276391.html

Минимальный возраст для получения водительских прав в странах мира

Минимальный возраст для получения водительских прав в странах мира — РИА Новости, 12.11.2020

Минимальный возраст для получения водительских прав в странах мира

Минимальный возраст для вождения автомобиля в Австралии составляет 17 лет. Обучение вождению разрешается с 16 лет. РИА Новости, 12.11.2020

2020-11-12T13:27

2020-11-12T13:27

2020-11-12T13:27

справки

/html/head/meta[@name=’og:title’]/@content

/html/head/meta[@name=’og:description’]/@content

https://cdnn21.img.ria.ru/images/07e4/0b/0c/1584269986_0:141:2000:1266_1920x0_80_0_0_3fc07d43a8e779754be8ae1f7d5f10cd.jpg

АвстралияМинимальный возраст для вождения автомобиля в Австралии составляет 17 лет. Обучение вождению разрешается с 16 лет.АргентинаМинимальный возраст вождения в Аргентине – 18 лет. Чтобы получить водительские права в Аргентине, необходимо пройти курс теоретического и практического обучения безопасности дорожного движения, а также психофизический тест. Также для получения водительских прав человек должен уметь читать и писать на базовом испанском языке. После курса обучения для получения водительских прав необходимо сдать экзамены по теории и практике вождения.БразилияСогласно Бразильскому дорожному кодексу водительские права можно получить с 18 лет. В Сенате страны находится на рассмотрении законопроект, который вносит поправки в Кодекс дорожного движения Бразилии, разрешающий выдачу разрешения на управление транспортным средством лицам старше 16 лет.ВеликобританияПервые временные водительские права на мопед, мотоцикл и автомобиль можно получить при достижении 15 лет и 9 месяцев. После этого необходимо сдать практический экзамен по вождению, при этом заявитель должен проживать в Англии, Уэльсе или Шотландии не менее 185 дней за последние 12 месяцев до дня его сдачи. Получить полное водительское удостоверение и начать водить машину можно при достижении возраста 17 лет.ГерманияВ Германии можно получить водительское удостоверение категории В (для управления автомобилем весом до 3500 килограмм) с 17 лет, но управлять им можно только в сопровождении уполномоченного лица, которое должно быть не моложе 30 лет и иметь водительские права не менее пяти лет.Водить автомобиль самостоятельно можно только с 18 лет. Водительское удостоверение категории АМ (необходимо для езды на мотороллере, трицикле и квадроцикле) можно получить в 16 лет. Владельцы лицензии этой категории не могут превышать скорость 45 км/ч. Они имеют право на управление мотоциклом с объемом двигателя в 125 кубических сантиметров, также им разрешено передвигаться вместе с мотоциклетной коляской. Мощность двигателя может составлять 11 киловатт.Для получения категории А2 (разрешает управлять мотоциклом с мощностью двигателя до 35 киловатт) нужно быть совершеннолетним. Категория А позволяет управлять всеми мотоциклами. Водитель должен достичь возраста 21 года.Для получения водительских прав на управление грузовиком или автобусом возраст должен быть более 21 года.ИндияВ Индии возраст для получения водительских прав зависит от вида транспортного средства. Сначала необходимо сдать теоретический тест на знание правил дорожного движения, после чего выдается удостоверение ученика, которое является временной лицензией. После этого необходимо сдать практический экзамен по вождению. Для получения прав на вождение мотоциклов без редуктора с объемом двигателя до пятидесяти кубических сантиметров заявитель должен быть не моложе 16 лет и иметь документ, подтверждающий согласие родителя или опекуна. Для получения прав на вождение мотоцикла с коробкой передач или любых автомобилей, кандидат должен достичь возраста 18 лет. В некоторых штатах минимальный возраст составляет 20 лет.КанадаВ Канаде лицензии на вождение автомобиля выдаются властями провинций. Возраст для получения лицензии зависит от провинции, заявители могут получить ее при достижении 16 лет (в штате Альберта – начиная с 14 лет), при наличии документа, подтверждающего согласие родителей. Процесс получения зависит от провинции и водительского опыта, как правило сдается письменный экзамен по правилам дорожного движения, а затем проводятся один или два экзамена по вождению. После этого заявителю выдается лицензия, которая позволяет водить автомобиль только в сопровождении опытного водителя и в определенное время суток. Для приобретения полной лицензии необходимо пройти несколько уровней обучения, сроки ее получения различаются в провинциях и могут составлять до трех лет. Новая Зеландия В Новой Зеландии можно получить первые «ученические» права в 16 лет.В машине начинающего водителя всегда должен находиться более опытный наставник, а на самом транспортном средстве должны быть нанесены опознавательные знаки, которые позволят выделить неопытного водителя на дороге. Начинающий водитель может перевозить пассажиров, но только с согласия опытного водителя, поскольку он будет нести ответственность за жизнь этих людей. Спустя шесть месяцев водитель-«ученик» может заменить свое удостоверение на «ограниченные» права. Они позволят подростку управлять машиной самостоятельно с пяти утра до 10 вечера. В остальное время вождение разрешено при наличии опытного наставника.Если молодой водитель едет без сопровождающего, он не сможет перевозить пассажиров, исключение делается для супругов, детей, родителей и некоторых других родственников. РоссияВ настоящее время согласно пункту 2 статьи 26 Федерального закона «О безопасности дорожного движения» право на управление транспортными средствами категорий «А», «В», «С» (мотоциклы и автомобили) и подкатегорий «В1» (трициклы и квадрициклы), «С1» (автомобили с разрешенной максимальной массой до 7500 кг) предоставляется лицам, достигшим 18 лет; категории «M» (мопеды и легкие квадрициклы) и подкатегории «А1» (мотоциклы с объемом двигателя до 125 куб. см) – лицам, достигшим 16 лет.СШАВ США правила получения водительского удостоверения различаются в зависимости от штата. В большинстве штатов граждане младше 18 лет должны сначала получить удостоверение ученика (минимальный возраст для получения удостоверения ученика – 14-16 лет). В таких американских штатах как Аляска, Арканзас, Айова, Канзас, Северная и Южная Дакота водительское удостоверение можно получить с 14 лет. В штатах Монтана и Айдахо – в 14 с половиной лет, а в Мичигане – в 14 лет и 9 месяцев.В полные 15 лет водительское удостоверение можно получить в таких штатах как Алабама, Колорадо, Флорида, Джорджия, Иллинойс, Индиана, Луизиана, Мэн, Миннесота, Миссисипи, Миссури, Небраска, Нью-Мексико, Северная Каролина, Орегон, Южная Каролина, Теннесси, Техас, Юта, Вермонт, Западная Вирджиния, Вайоминг.В 15 с половиной лет водительское удостоверение можно получить в таких штатах как Аризона, Калифорния, Гавайи, Невада, Нью-Гемпшир, Огайо, Оклахома, Вирджиния.За три месяца до 16-летия водительское удостоверение можно получить в штате Мэриленд.Для водителей-подростков устанавливают ряд ограничений: количество часов, вождение в сопровождении взрослого, вождение в темное время суток, на количество несовершеннолетних пассажиров. В некоторых штатах водители-подростки могут ездить без присмотра в школу. По прошествии определенного срока удостоверение ученика можно сменить на постоянное.ТурцияВ Турции водительское удостоверение на право пользования автомобилем выдается гражданину, достигшему 18 лет. В 16 лет можно получить водительское удостоверение на право управления мопедом и мотоциклом.ФранцияПолучить водительские права во Франции можно при достижении возраста 18 лет, начало обучения вождению возможно в возрасте 15 лет. Согласно законодательству Франции, находиться за рулем автомобиля можно без наличия водительских прав. Для этого используются специальные автомобили, не разгоняющиеся до скорости более 60 км/ч. ЯпонияВ Японии минимальный возраст для получения лицензии на право управления автомобилем составляет 18 лет. В 16 лет можно получить права на управление мотоциклом. Материал подготовлен на основе информации открытых источников

РИА Новости

[email protected]

7 495 645-6601

ФГУП МИА «Россия сегодня»

https://xn--c1acbl2abdlkab1og.xn--p1ai/awards/

2020

РИА Новости

internet-group@rian. ru

7 495 645-6601

ФГУП МИА «Россия сегодня»

https://xn--c1acbl2abdlkab1og.xn--p1ai/awards/

Новости

ru-RU

https://ria.ru/docs/about/copyright.html

https://xn--c1acbl2abdlkab1og.xn--p1ai/

РИА Новости

[email protected]

7 495 645-6601

ФГУП МИА «Россия сегодня»

https://xn--c1acbl2abdlkab1og.xn--p1ai/awards/

https://cdnn21.img.ria.ru/images/07e4/0b/0c/1584269986_194:0:1971:1333_1920x0_80_0_0_ad2cb4ee27db633293b21ecc6920f5a1.jpg

РИА Новости

[email protected]

7 495 645-6601

ФГУП МИА «Россия сегодня»

https://xn--c1acbl2abdlkab1og.xn--p1ai/awards/

РИА Новости

[email protected]

7 495 645-6601

ФГУП МИА «Россия сегодня»

https://xn--c1acbl2abdlkab1og.xn--p1ai/awards/

справки

Австралия

Минимальный возраст для вождения автомобиля в Австралии составляет 17 лет. Обучение вождению разрешается с 16 лет.

Аргентина

Минимальный возраст вождения в Аргентине – 18 лет. Чтобы получить водительские права в Аргентине, необходимо пройти курс теоретического и практического обучения безопасности дорожного движения, а также психофизический тест. Также для получения водительских прав человек должен уметь читать и писать на базовом испанском языке. После курса обучения для получения водительских прав необходимо сдать экзамены по теории и практике вождения.

Бразилия

Согласно Бразильскому дорожному кодексу водительские права можно получить с 18 лет. В Сенате страны находится на рассмотрении законопроект, который вносит поправки в Кодекс дорожного движения Бразилии, разрешающий выдачу разрешения на управление транспортным средством лицам старше 16 лет.

Великобритания

Первые временные водительские права на мопед, мотоцикл и автомобиль можно получить при достижении 15 лет и 9 месяцев. После этого необходимо сдать практический экзамен по вождению, при этом заявитель должен проживать в Англии, Уэльсе или Шотландии не менее 185 дней за последние 12 месяцев до дня его сдачи. Получить полное водительское удостоверение и начать водить машину можно при достижении возраста 17 лет.

Германия

В Германии можно получить водительское удостоверение категории В (для управления автомобилем весом до 3500 килограмм) с 17 лет, но управлять им можно только в сопровождении уполномоченного лица, которое должно быть не моложе 30 лет и иметь водительские права не менее пяти лет.

Водить автомобиль самостоятельно можно только с 18 лет.

Водительское удостоверение категории АМ (необходимо для езды на мотороллере, трицикле и квадроцикле) можно получить в 16 лет. Владельцы лицензии этой категории не могут превышать скорость 45 км/ч. Они имеют право на управление мотоциклом с объемом двигателя в 125 кубических сантиметров, также им разрешено передвигаться вместе с мотоциклетной коляской. Мощность двигателя может составлять 11 киловатт.

Для получения категории А2 (разрешает управлять мотоциклом с мощностью двигателя до 35 киловатт) нужно быть совершеннолетним.

Категория А позволяет управлять всеми мотоциклами. Водитель должен достичь возраста 21 года.

Для получения водительских прав на управление грузовиком или автобусом возраст должен быть более 21 года.

Индия

В Индии возраст для получения водительских прав зависит от вида транспортного средства. Сначала необходимо сдать теоретический тест на знание правил дорожного движения, после чего выдается удостоверение ученика, которое является временной лицензией. После этого необходимо сдать практический экзамен по вождению. Для получения прав на вождение мотоциклов без редуктора с объемом двигателя до пятидесяти кубических сантиметров заявитель должен быть не моложе 16 лет и иметь документ, подтверждающий согласие родителя или опекуна. Для получения прав на вождение мотоцикла с коробкой передач или любых автомобилей, кандидат должен достичь возраста 18 лет. В некоторых штатах минимальный возраст составляет 20 лет.

Канада

В Канаде лицензии на вождение автомобиля выдаются властями провинций. Возраст для получения лицензии зависит от провинции, заявители могут получить ее при достижении 16 лет (в штате Альберта – начиная с 14 лет), при наличии документа, подтверждающего согласие родителей. Процесс получения зависит от провинции и водительского опыта, как правило сдается письменный экзамен по правилам дорожного движения, а затем проводятся один или два экзамена по вождению. После этого заявителю выдается лицензия, которая позволяет водить автомобиль только в сопровождении опытного водителя и в определенное время суток. Для приобретения полной лицензии необходимо пройти несколько уровней обучения, сроки ее получения различаются в провинциях и могут составлять до трех лет.

Новая Зеландия

В Новой Зеландии можно получить первые «ученические» права в 16 лет.В машине начинающего водителя всегда должен находиться более опытный наставник, а на самом транспортном средстве должны быть нанесены опознавательные знаки, которые позволят выделить неопытного водителя на дороге. Начинающий водитель может перевозить пассажиров, но только с согласия опытного водителя, поскольку он будет нести ответственность за жизнь этих людей. Спустя шесть месяцев водитель-«ученик» может заменить свое удостоверение на «ограниченные» права. Они позволят подростку управлять машиной самостоятельно с пяти утра до 10 вечера. В остальное время вождение разрешено при наличии опытного наставника.Если молодой водитель едет без сопровождающего, он не сможет перевозить пассажиров, исключение делается для супругов, детей, родителей и некоторых других родственников.

Россия

В настоящее время согласно пункту 2 статьи 26 Федерального закона «О безопасности дорожного движения» право на управление транспортными средствами категорий «А», «В», «С» (мотоциклы и автомобили) и подкатегорий «В1» (трициклы и квадрициклы), «С1» (автомобили с разрешенной максимальной массой до 7500 кг) предоставляется лицам, достигшим 18 лет; категории «M» (мопеды и легкие квадрициклы) и подкатегории «А1» (мотоциклы с объемом двигателя до 125 куб. см) – лицам, достигшим 16 лет.

США

В США правила получения водительского удостоверения различаются в зависимости от штата.

В большинстве штатов граждане младше 18 лет должны сначала получить удостоверение ученика (минимальный возраст для получения удостоверения ученика – 14-16 лет).

В таких американских штатах как Аляска, Арканзас, Айова, Канзас, Северная и Южная Дакота водительское удостоверение можно получить с 14 лет. В штатах Монтана и Айдахо – в 14 с половиной лет, а в Мичигане – в 14 лет и 9 месяцев.

В полные 15 лет водительское удостоверение можно получить в таких штатах как Алабама, Колорадо, Флорида, Джорджия, Иллинойс, Индиана, Луизиана, Мэн, Миннесота, Миссисипи, Миссури, Небраска, Нью-Мексико, Северная Каролина, Орегон, Южная Каролина, Теннесси, Техас, Юта, Вермонт, Западная Вирджиния, Вайоминг.

В 15 с половиной лет водительское удостоверение можно получить в таких штатах как Аризона, Калифорния, Гавайи, Невада, Нью-Гемпшир, Огайо, Оклахома, Вирджиния.

За три месяца до 16-летия водительское удостоверение можно получить в штате Мэриленд.

Для водителей-подростков устанавливают ряд ограничений: количество часов, вождение в сопровождении взрослого, вождение в темное время суток, на количество несовершеннолетних пассажиров. В некоторых штатах водители-подростки могут ездить без присмотра в школу.

По прошествии определенного срока удостоверение ученика можно сменить на постоянное.

Турция

В Турции водительское удостоверение на право пользования автомобилем выдается гражданину, достигшему 18 лет. В 16 лет можно получить водительское удостоверение на право управления мопедом и мотоциклом.

Франция

Получить водительские права во Франции можно при достижении возраста 18 лет, начало обучения вождению возможно в возрасте 15 лет. Согласно законодательству Франции, находиться за рулем автомобиля можно без наличия водительских прав. Для этого используются специальные автомобили, не разгоняющиеся до скорости более 60 км/ч.

Япония

В Японии минимальный возраст для получения лицензии на право управления автомобилем составляет 18 лет. В 16 лет можно получить права на управление мотоциклом.

Материал подготовлен на основе информации открытых источников

Категории водительских удостоверений | avtoorient.by

Автошкола маршруты ГАИ изучить помогла, необходимые знания и навыки преподаватели и инструкторы вам дали, и теперь вы водитель. Однако не следует забывать, что, согласно ПДД, вы имеете право управлять лишь тем транспортным средством, категория которого отмечена в удостоверении. Иначе будете наказаны штрафом. Поэтому важно знать, на какие категории следует отучиться для получения навыков и заветной корочки:

• А. Разрешает управление мотоциклами с колясками и без них, мотоблоками.
• А1. Позволяет управлять транспортом с малой мощностью и объемом двигателя не выше 125 см³ лицам с 16-летнего возраста.
• В. Выдается на право управления автомашинами с допустимой массой до 3,5 т, с легкими прицепами и мотоколясками.
• ВЕ. Позволяет управлять транспортом В-категории с тяжелыми прицепами.
• С. Позволяют управлять транспортными средствами с допустимой массой от 3,5 т без легких прицепов либо с ними.
• СЕ. Можно управлять автомобилями С-категории с прицепами, вес которых выше 750 кг.
  • С1. Разрешается управлять транспортом с допустимой массой от 3,5 до 7,5 т с прицепами и без них.
  • С1Е. Позволяет управлять автомобильным транспортом С1-категории с тяжелыми прицепами, общий вес которых не превышает массу транспорта без нагрузки.
• D. Разрешает управлять автобусами с легкими прицепами либо без них. Исключение составляют сочлененные автобусы.
• DE. Разрешает управлять сочлененными автобусами и буксировку тяжелых прицепов.
  • D1. Позволяет управлять малыми автобусами до16 мест и с легким прицепом до 750 кг.
  • D1E. Разрешает управлять малыми автобусами с прицепами свыше 750 кг.
• М. Разрешает вождение мопедов.
• Tb. Разрешает управлять троллейбусами.
• Tm. Позволяет управлять трамваями.

Вопрос об открытии в водительском удостоверении новой категории решается легко: следует пройти обучение, после чего сдать экзамен. Сегодня каждая автошкола акции предлагает на обучение, предоставляя выгодные условия по оплате и форме занятий.

Узнайте, какие типы предметов контролируются — Исследование

Технологии двойного использования

Контролируемые технологии, наиболее часто встречающиеся на территории кампуса, являются технологиями «двойного назначения», подпадающими под действие Правил экспортного контроля (EAR). Это предметы или технологии, которые могут использоваться как в гражданских, так и в военных целях (военное использование может быть неочевидным). Товары двойного назначения можно найти в Контрольном списке торговли (CCL). Каждой категории в CCL присваивается классификационный номер экспортного контроля (ECCN).

Список контроля за торговлей — Категории предметов двойного назначения (EAR)
• Ядерные материалы, установки и прочее категории 0
• Материалы, химические вещества, микроорганизмы и токсины категории 1
• Обработка материалов категории 2
• Электроника категории 3
• Компьютеры категории 4
• Категория 5, часть 1: телекоммуникации. Часть 2: информационная безопасность
• Категория 6, лазеры и датчики
• Категория 7, навигация и авионика,
• Категория 8, морские суда
• Двигательные установки, космические аппараты и связанные с ними категории 9

Каждая категория CCL подразделяется на пять (5) групп: (A) оборудование, узлы и компоненты; (B) испытательное, инспекционное и производственное оборудование; (C) Материалы; (D) Программное обеспечение; и (E) Технология.

Военные технологии

Военные технологии регулируются Правилами международной торговли оружием (ITAR) и внесены в Список боеприпасов США (USML).

Список боеприпасов США (ITAR)

• Категория I. Огнестрельное, штурмовое оружие ближнего боя и боевые дробовики
• Категория II — Пушки и вооружение
• Категория III-Боеприпасы / боеприпасы
• Категория IV — Ракеты-носители, управляемые и баллистические ракеты, ракеты, торпеды, бомбы и мины
• Категория V — Взрывчатые вещества и энергетические материалы, ракетное топливо, зажигательные агенты и компоненты
• Категория VI — Боевые надводные суда и специальная военно-морская техника
• Категория VII — Наземные машины
• Категория VIII — Воздушные суда и связанные с ними статьи
• Категория IX — Военное оборудование для обучения и обучения
• Оборудование и укрытия для защиты персонала категории X
• Категория XI — Военная электроника
• Категория XII-Управление огнем, дальномер, оптическое оборудование, оборудование наведения и управления
• Категория XIII-Материалы и прочие изделия
• Категория XIV — Токсикологические агенты, включая химические и биологические агенты, сопутствующее оборудование
• Категория XV-Системы космических аппаратов и связанное с ними оборудование
• Категория XVI — Предметы, связанные с разработкой и испытанием ядерного оружия
• Категория XVII — засекреченные изделия, технические данные и услуги защиты, не пронумерованные иным образом
• Энергетическое оружие категории XVIII
• Категория XIX — Газотурбинные двигатели и связанное с ними оборудование
• Погружные суда категории XX и сопутствующие товары
• Категория XXI — Статьи, технические данные и услуги защиты, не пронумерованные иным образом

Следователи должны знать, что оборудование и технологии, разработанные для военного использования, контролируемые ITAR, потребуют лицензии на экспорт или доступ иностранного государства , даже если они используются в невоенных целях в Соединенном Королевстве.С. лаборатория . Например, контролируемое ИТАР оборудование ночного видения, используемое на территории кампуса для визуализации клеток в инфракрасном свете для биомедицинских исследований, потребует лицензии от Государственного департамента для доступа иностранных граждан (включая студентов и докторантов).

Для получения помощи в определении того, находится ли ваша технология под контролем EAR или ITAR, свяжитесь с менеджером по экспортному контролю по адресу [email protected]. Если у вас есть зарубежное сотрудничество или вы хотели бы привлечь иностранных граждан к проектам с контролируемыми технологиями, вам может потребоваться получить лицензию до начала работы.

Важное примечание о биологических и химических агентах

В отличие от EAR, в котором содержится конкретный список контролируемых биологических объектов, контролируемые ITAR биологические и химические агенты в более широком смысле определяются как «вещества, способные вызывать гибель людей или скота, приводить к ухудшению качества оборудования или повреждать посевы и которые были модифицированы для конкретная цель увеличения таких эффектов ». Медицинские методы восстановления, вакцины, антитоксины, антитела, средства диагностики, программное обеспечение и технические данные, относящиеся к таким агентам, также могут контролироваться.Если вы работаете с агентами, которые соответствуют этому определению, свяжитесь с менеджером по экспортному контролю по адресу [email protected].

Конфиденциальность — Контроль — Apple

Узнайте о настройках и контроле конфиденциальности.

Настройки были тщательно разработаны, чтобы вы могли контролировать свои данные. Вы можете настроить, какая информация будет отправлена, где вы будете делиться ею и когда будет создаваться резервная копия. А начиная с iOS 14.5 и iPadOS 14.5 вы больше контролируете, как приложения используют ваши личные данные для отслеживания вас.

Просмотреть день из жизни ваших данных (PDF)

Конфиденциальность Этикетки питания

На страницах продуктов

в App Store есть раздел, в котором на простой, легко читаемой этикетке представлены отчеты разработчиков о некоторых из их методов обеспечения конфиденциальности. Это показывает, как разработчики собирают и используют ваши данные, включая такую ​​информацию, как ваше местоположение, историю просмотров и контакты. Это часть текущей работы по повышению прозрачности и контроля над вашими данными, и Apple продолжит обновлять эту функцию и работать с разработчиками, чтобы пользователи могли делать осознанный выбор.

Узнать больше о Privacy Nutrition Labels Посмотрите, как приложения от Apple обрабатывают ваши данные

Прозрачность отслеживания приложений

Ваши устройства несут в себе историю вашей жизни. Мы считаем, что у вас должен быть выбор, как приложения отслеживать и передавать ваши данные другим компаниям для рекламы или брокерам данных.

Начиная с iOS 14.5 и iPadOS 14.5, приложения должны запрашивать ваше разрешение, когда они хотят отслеживать вас в приложениях и на веб-сайтах, принадлежащих другим компаниям.Вы сможете изменить свои предпочтения для любого приложения или запретить приложениям запрашивать разрешение полностью в настройках.

Скоро в продаже

Отчет о конфиденциальности приложения

Вы можете сразу увидеть, чем занимались ваши приложения, включив отчет о конфиденциальности приложений. Раздел в Настройках показывает, как часто вы просматривали ваше местоположение, фотографии, камеру, микрофон и контакты в течение последних семи дней. Он также показывает, с какими доменами связались приложения.Вместе с Privacy Nutrition Labels эта функция даст вам более полное представление о том, как приложения, которые вы используете, относятся к вашей конфиденциальности.

Картон прозрачность

iOS и iPadOS уведомляют вас, когда приложение копирует контент с монтажного стола, чтобы вы знали об активности. Разработчики могут разрешить вам вставлять контент из другого приложения, не имея доступа к тому, что вы скопировали, пока вы этого не захотите.

Сторонние приложения и разрешения

Apple обеспечивает прозрачность и контроль над данными, которыми вы делитесь с приложениями.Приложения могут запрашивать доступ к таким вещам, как ваше местоположение, контакты, календари или фотографии. Когда стороннее приложение впервые захочет использовать эти данные, вы получите уведомление с объяснением, чтобы вы могли принять обоснованное решение о предоставлении разрешения. Даже если вы предоставите доступ один раз, вы всегда сможете изменить его позже в настройках. iOS и iPadOS требуют, чтобы разработчики получали ваше разрешение, прежде чем отслеживать вас или ваше устройство в приложениях и на веб-сайтах, принадлежащих другим компаниям, для таргетинга рекламы, для целей измерения рекламы или для передачи ваших данных брокерам данных.

Ни одно приложение не может получить доступ к микрофону или камере без вашего разрешения. В iOS 14 и iPadOS 14 или новее, когда приложение использует микрофон или камеру, ваше устройство отображает индикатор, чтобы вы знали, что они используются — вне зависимости от того, находитесь ли вы в приложении, в другом приложении или на главном экране. Центр управления показывает, когда приложение недавно использовало микрофон или камеру. В iOS и iPadOS доступ к камере отключен для приложения, когда оно работает в фоновом режиме.

Иногда приложениям необходимо знать, какие еще устройства находятся в вашей локальной сети, например, когда вы пытаетесь подключиться к смарт-телевизору или принтеру.Начиная с iOS 14 и iPadOS 14, приложения должны запрашивать ваше разрешение перед сканированием вашей локальной сети.

iOS и iPadOS также сообщают вам, когда приложение обращается к вашему буферу обмена, чтобы вы могли подтвердить, что оно получает доступ только к тем элементам, которые вы ожидаете.

Данные и информация о конфиденциальности

Экраны данных и информации о конфиденциальности позволяют легко понять, как Apple будет использовать вашу личную информацию, прежде чем вы войдете в систему или начнете использовать новые функции.Когда вы видите значок «Данные и конфиденциальность», вы найдете полезную информацию о том, какие личные данные могут быть переданы и как они будут использоваться для улучшения вашего опыта.

Данные о местонахождении

Иногда вашему устройству полезно знать ваше местоположение, например, когда вы назначаете встречи в Календаре или прокладываете маршрут. Службы геолокации на вашем устройстве используют комбинацию GPS, Bluetooth и краудсорсинговых точек доступа Wi-Fi и вышек мобильной связи, чтобы определить, где вы находитесь.Apple дает вам контроль над сбором и использованием этих данных о местоположении на всех ваших устройствах. Начиная с iOS 14, iPadOS 14 и watchOS 7, вы можете выбрать, будут ли приложения иметь доступ к вашему приблизительному местоположению — площади около 10 квадратных миль — а не к вашему точному местоположению. Службы геолокации не включены по умолчанию. Вы можете включить его при первой настройке устройства, и вы всегда можете выключить его, если передумаете.

Просмотреть информационный документ о конфиденциальности служб геолокации (PDF)

Страница данных и конфиденциальности

Чтобы предоставить вам больший контроль над своей личной информацией, мы предоставляем набор специальных инструментов управления конфиденциальностью на вашей странице «Данные и конфиденциальность».Эти инструменты дают вам возможность получить копию ваших данных, запросить исправление ваших данных, деактивировать вашу учетную запись или удалить ее.

Узнайте больше о том, как взять под контроль свои данные Посетите свою страницу данных и конфиденциальности

Аналитика

Если вы выберете эту опцию, ваши устройства iOS и iPadOS смогут собирать аналитические данные о вашем устройстве и любых сопряженных часах Apple Watch и отправлять их в Apple для анализа. Этот анализ помогает Apple улучшать продукты и уменьшать такие проблемы, как сбои приложений.Собранная информация не идентифицирует вас лично и может быть отправлена ​​в Apple только с вашего явного согласия. Аналитика может включать сведения о технических характеристиках оборудования и операционной системы, статистику производительности и данные о том, как вы используете свои устройства и приложения. При сборе личные данные либо вообще не регистрируются, либо удаляются из отчетов перед отправкой в ​​Apple, либо защищаются такими методами, как дифференциальная конфиденциальность.

Информация, которую мы собираем с помощью дифференциальной конфиденциальности, помогает нам улучшать наши услуги без ущерба для личной конфиденциальности.Например, эта технология улучшает предложения QuickType и эмодзи, а также подсказки поиска в заметках.

Мы определяем часто используемые типы данных в приложении Health и веб-доменах Safari, которые вызывают проблемы с производительностью. Эта информация позволяет нам работать с разработчиками, чтобы улучшить ваш опыт, не раскрывая ничего о вашем индивидуальном поведении.

Если вы даете явное согласие на совместное использование iCloud Analytics, Apple может улучшить Siri и другие интеллектуальные функции, проанализировав, как вы используете данные iCloud из своей учетной записи, например, текстовые фрагменты из сообщений электронной почты.Анализ происходит только после того, как данные прошли методы повышения конфиденциальности, такие как дифференциальная конфиденциальность, чтобы их нельзя было связать с вами или вашей учетной записью.

Реклама

Apple стремится предоставлять рекламу таким образом, чтобы уважать вашу конфиденциальность. Рекламы Apple могут появляться в App Store, Apple News и Stocks. Рекламная платформа Apple не отслеживает вас, не покупает и не передает вашу личную информацию другим компаниям.Ваши транзакции Apple Pay, данные приложения Health и данные приложения HomeKit не используются рекламной платформой Apple для показа рекламы. Ваша история поиска и загрузки в App Store может быть использована для показа вам релевантной рекламы. В приложениях Apple News и Stocks реклама показывается частично на основе того, что вы читаете или читаете. Сюда входят темы и категории историй, которые вы читаете, и публикации, на которые вы подписаны, на которые вы подписаны или из которых разрешены уведомления. Истории, которые вы читаете, не используются для показа вам целевой рекламы за пределами этих приложений.Вы можете просмотреть информацию, которую Apple использует для показа вам релевантной рекламы, в настройках. Вы также можете отключить персонализированную рекламу в любое время в настройках, чтобы больше не получать таргетированную рекламу в App Store, Apple News и Stocks. Отключение персонализированной рекламы ограничит возможность Apple показывать вам релевантную рекламу, но не может уменьшить количество получаемой рекламы. На рекламной платформе Apple не показывается реклама детям младше 13 лет и управляемым идентификаторам Apple ID. Кроме того, у Apple есть строгие правила для приложений в категории Kids в App Store, в том числе запрещающие приложениям в этой категории включать стороннюю аналитику или стороннюю рекламу.

Иерархия элементов управления | NIOSH

Обзор

Контроль воздействия профессиональных опасностей — основной метод защиты рабочих. Традиционно иерархия средств контроля использовалась как средство определения того, как реализовать осуществимые и эффективные решения контроля.

Одно представление этой иерархии выглядит следующим образом:

Идея, лежащая в основе этой иерархии, заключается в том, что методы управления в верхней части рисунка потенциально более эффективны и защитны, чем методы в нижней части.Следование этой иерархии обычно ведет к внедрению более безопасных систем, в которых риск заболевания или травмы существенно снижен.

NIOSH возглавляет национальную инициативу под названием «Профилактика через дизайн» (PtD), направленную на предотвращение или сокращение производственных травм, заболеваний и смертельных исходов за счет включения мер профилактики во все проекты, влияющие на рабочих. Иерархия элементов управления — это стратегия PtD. Чтобы узнать больше, посетите веб-сайт PtD.

Устранение и замена

Устранение и замена, будучи наиболее эффективными в снижении опасностей, также, как правило, являются наиболее сложными для реализации в существующем процессе.Если процесс все еще находится на стадии проектирования или разработки, устранение и замена опасностей могут быть недорогими и простыми в реализации. Для существующего процесса могут потребоваться серьезные изменения в оборудовании и процедурах для устранения или замены опасности.

Средства инженерного контроля

Технические средства контроля предпочтительнее административных и индивидуальных средств защиты (СИЗ) для контроля существующего воздействия на рабочих на рабочем месте, поскольку они предназначены для устранения опасности в источнике до того, как она вступит в контакт с рабочим.Хорошо спроектированные технические средства управления могут быть очень эффективными в защите рабочих и обычно не зависят от взаимодействия рабочих для обеспечения такого высокого уровня защиты. Первоначальная стоимость инженерного контроля может быть выше, чем стоимость административного контроля или СИЗ, но в долгосрочной перспективе эксплуатационные расходы часто ниже, а в некоторых случаях могут обеспечить экономию затрат в других областях процесса.

Для получения описаний технологий инженерного контроля, исследованных NIOSH, а также информации о деталях контроля и их эффективности, посетите нашу базу данных инженерного контроля.Технические средства контроля, содержащиеся в базе данных, полезны для пользователей, которым нужны контрольные решения для уменьшения или устранения воздействия на рабочих.

Административный контроль и СИЗ

Административный контроль и СИЗ часто используются с существующими процессами, где риски не очень хорошо контролируются. Административный контроль и программы СИЗ могут быть относительно недорогими в создании, но в долгосрочной перспективе могут оказаться очень дорогостоящими для поддержания. Эти методы защиты рабочих также оказались менее эффективными, чем другие меры, и требуют значительных усилий со стороны пострадавших рабочих.

Закон о контролируемых веществах

Закон о контролируемых веществах (CSA) помещает все вещества, которые каким-либо образом регулировались существующим федеральным законом, в один из пяти списков. Это размещение основано на медицинском использовании вещества, возможности злоупотребления и безопасности или зависимости. Дополнительную информацию можно найти в Разделе 21 Закона США о контролируемых веществах (USC).

Список контролируемых веществ в алфавитном порядке

КОНТРОЛЬ НАРКОТИКОВ ИЛИ ДРУГИХ ВЕЩЕСТВ ПО ФОРМАЛЬНОМУ РАСПИСАНИЮ

CSA также предоставляет механизм для веществ, которые должны контролироваться (добавляться в расписания или перемещаться между ними) или отменяться (сниматься с контроля).Порядок этих действий описан в статье 201 Закона (21U.S.C. §811).
Действия по добавлению, удалению или изменению списка лекарств или других веществ могут быть инициированы Управлением по борьбе с наркотиками (DEA), Министерством здравоохранения и социальных служб (HHS) или по ходатайству любой заинтересованной стороны, включая:

• Производитель препарата
• Медицинское общество или ассоциация
• Аптечное объединение
• Группа общественных интересов, связанная со злоупотреблением наркотиками
• Государственное или местное государственное учреждение
• Физическое лицо-гражданин

При определении того, в какой график следует поместить лекарство или другое вещество, или следует ли отменить контроль или изменить график приема вещества, необходимо учитывать определенные факторы.Эти факторы перечислены в Разделе 201 (c), [21 U.S.C. § 811 (c)] CSA следующим образом:

(1) Фактический или относительный потенциал злоупотребления.
(2) Научные доказательства его фармакологического эффекта, если таковые известны.
(3) Состояние современных научных знаний о лекарстве или другом веществе.
(4) Его история и текущая картина злоупотреблений.
(5) Масштабы, продолжительность и значимость злоупотреблений.
(6) Какой риск для здоровья населения существует?
(7) Его психическая или физиологическая зависимость.
(8) Является ли вещество непосредственным прекурсором вещества, уже контролируемого в соответствии с данным подразделом.

Дополнительная информация о процессе планирования лекарств

Часто задаваемые вопросы об управлении идентификацией и доступом (IAM) AWS

Общие

Вопрос: Что такое AWS Identity and Access Management (IAM)?
Вы можете использовать IAM для безопасного управления индивидуальным и групповым доступом к вашим ресурсам AWS. Вы можете создавать идентификаторы пользователей («пользователи IAM») и управлять ими, а также предоставлять разрешения для этих пользователей IAM на доступ к вашим ресурсам.Вы также можете предоставить разрешения пользователям за пределами AWS ( федеративные пользователи).
Q: Как начать работу с IAM?
Чтобы начать использовать IAM, необходимо подписаться хотя бы на один из сервисов AWS, интегрированных с IAM. Затем вы можете создавать и управлять пользователями, группами и разрешения через IAM API, AWS CLI или Консоль IAM, которая предоставляет вам веб-интерфейс с функцией «укажи и щелкни». Вы также можете использовать визуальный редактор для создания политик.

Q: Какие проблемы решает IAM?
IAM упрощает предоставление нескольким пользователям безопасного доступа к вашим ресурсам AWS. IAM позволяет:

• Управление пользователями IAM и их доступом: вы можете создавать пользователей в системе управления идентификацией AWS, назначать пользователям индивидуальные учетные данные безопасности (например, ключи доступа, пароли, устройства многофакторной аутентификации) или запрашивать временные учетные данные безопасности, чтобы предоставить пользователям доступ к AWS. услуги и ресурсы.Вы можете указать разрешения, чтобы контролировать, какие операции может выполнять пользователь.
• Управление доступом для федеративных пользователей: вы можете запросить учетные данные безопасности с настраиваемым сроком действия для пользователей, которыми вы управляете в своем корпоративном каталоге, что позволит вам предоставить своим сотрудникам и приложениям безопасный доступ к ресурсам в вашей учетной записи AWS, не создавая для них учетную запись пользователя IAM. Вы указываете разрешения для этих учетных данных безопасности, чтобы контролировать, какие операции может выполнять пользователь.

Q: Кто может использовать IAM?
Любой клиент AWS может использовать IAM. Услуга предоставляется без дополнительной оплаты. С вас будет взиматься плата только за использование другими сервисами AWS вашими пользователями.

Q: Что такое пользователь?
Пользователь — это уникальный идентификатор, распознаваемый сервисами и приложениями AWS. Подобно пользователю, входящему в систему в операционной системе, такой как Windows или UNIX, пользователь имеет уникальное имя и может идентифицировать себя, используя знакомые учетные данные безопасности, такие как пароль или ключ доступа.Пользователь может быть физическим лицом, системой или приложением, которым требуется доступ к сервисам AWS. IAM поддерживает пользователей (называемых «пользователями IAM»), управляемых в системе управления идентификацией AWS, а также позволяет вам предоставлять доступ к ресурсам AWS для пользователей, управляемых вне AWS в вашем корпоративном каталоге (называемых «федеративными пользователями»).

Q: Что может делать пользователь?
Пользователь может размещать запросы к веб-службам, таким как Amazon S3 и Amazon EC2.Возможность доступа пользователя к API веб-сервисов находится под контролем и ответственностью той учетной записи AWS, для которой он определен. Вы можете разрешить пользователю доступ к любым или всем сервисам AWS, которые были интегрированы с IAM и на которые подписан аккаунт AWS. Если это разрешено, пользователь имеет доступ ко всем ресурсам в учетной записи AWS. Кроме того, если учетная запись AWS имеет доступ к ресурсам из другой учетной записи AWS, ее пользователи могут иметь доступ к данным из этих учетных записей AWS.Любые ресурсы AWS, созданные пользователем, контролируются и оплачиваются его учетной записью AWS. Пользователь не может самостоятельно подписаться на сервисы AWS или управлять ресурсами.

Вопрос: Как пользователи вызывают сервисы AWS?
Пользователи могут отправлять запросы к сервисам AWS, используя учетные данные безопасности. Явные разрешения определяют возможность пользователя вызывать сервисы AWS. По умолчанию у пользователей нет возможности вызывать сервисные API от имени учетной записи.

Управление пользователями IAM

Q: Как управляются пользователи IAM?
IAM поддерживает несколько методов для:

• Создание пользователей IAM и управление ими.
• Создание и управление группами IAM.
• Управлять учетными данными пользователей.
• Создание политик и управление ими для предоставления доступа к сервисам и ресурсам AWS.
  

Вы можете создавать пользователей, группы и политики и управлять ими с помощью API-интерфейсов IAM, интерфейса командной строки AWS или консоли IAM.Вы также можете использовать визуальный редактор и симулятор политик IAM для создания и тестирования политик.

Q: Что такое группа?
Группа — это совокупность пользователей IAM. Управляйте членством в группе в виде простого списка:

• Добавление пользователей в группу или удаление их из группы.
• Пользователь может принадлежать к нескольким группам.
• Группы не могут принадлежать другим группам.
• Группам могут быть предоставлены разрешения с помощью политик управления доступом.Это упрощает управление разрешениями для группы пользователей вместо того, чтобы управлять разрешениями для каждого отдельного пользователя.
• Группы не имеют учетных данных и не могут напрямую обращаться к веб-службам; они существуют исключительно для того, чтобы упростить управление разрешениями пользователей. Подробнее см. Работа с группами и пользователями.

Q: Какие учетные данные безопасности могут иметь пользователи IAM?
Пользователи IAM могут иметь любую комбинацию учетных данных, которые поддерживает AWS, например ключ доступа AWS, сертификат X.509, ключ SSH, пароль для входа в веб-приложение или устройство MFA. Это позволяет пользователям взаимодействовать с AWS любым удобным для них способом. У сотрудника может быть как ключ доступа к AWS, так и пароль; программная система может иметь только ключ доступа к AWS для выполнения программных вызовов; Пользователи IAM могут иметь закрытый SSH-ключ для доступа к репозиториям AWS CodeCommit; а внешний подрядчик может иметь только сертификат X.509 для использования интерфейса командной строки EC2. Дополнительные сведения см. В разделе «Временные учетные данные безопасности» в документации IAM.

Вопрос: Какие сервисы AWS поддерживают пользователей IAM?
Полный список сервисов AWS, поддерживающих пользователей IAM, можно найти в разделе «Сервисы AWS, которые работают с IAM» документации IAM. AWS планирует со временем добавить поддержку других сервисов.

Q: Могу ли я включить или отключить доступ пользователей?
Да. Вы можете включать и отключать ключи доступа пользователя IAM с помощью API-интерфейсов IAM, интерфейса командной строки AWS или консоли IAM. Если вы отключите ключи доступа, пользователь не сможет программно получить доступ к сервисам AWS.

Вопрос: Кто может управлять пользователями учетной записи AWS?
Владелец учетной записи AWS может управлять пользователями, группами, учетными данными безопасности и разрешениями. Кроме того, вы можете предоставить разрешения отдельным пользователям на выполнение вызовов API-интерфейсов IAM для управления другими пользователями. Например, пользователь-администратор может быть создан для управления пользователями в корпорации — рекомендуемая практика. Когда вы предоставляете пользователю разрешение на управление другими пользователями, они могут делать это через IAM API, AWS CLI или консоль IAM.

Q: Могу ли я структурировать коллекцию пользователей иерархически, например, в LDAP?
Да. Вы можете упорядочивать пользователей и группы по путям, аналогично путям к объектам в Amazon S3, например / mycompany / Division / project / joe.

Q: Могу ли я определять пользователей по регионам?
Не изначально. Пользователи — это глобальные сущности, такие как аккаунт AWS сегодня. При определении полномочий пользователя указывать регион не требуется. Пользователи могут использовать сервисы AWS в любом географическом регионе.

В. Как настраиваются устройства MFA для пользователей IAM?
Вы (владелец учетной записи AWS) можете заказать несколько устройств MFA. Затем вы можете назначить эти устройства отдельным пользователям IAM с помощью API-интерфейсов IAM, интерфейса командной строки AWS или консоли IAM.

Q: Какая ротация ключей поддерживается для пользователей IAM?
Ключи доступа пользователей и сертификаты X.509 можно менять так же, как и для идентификаторов корневого доступа учетной записи AWS. Вы можете программно управлять ключами доступа пользователя и сертификатами X.509 через IAM API, AWS CLI или консоль IAM.

В. Могут ли пользователи IAM иметь индивидуальные ключи SSH EC2?
Нет в первоначальном выпуске. IAM не влияет на ключи SSH EC2 или сертификаты RDP Windows. Это означает, что, хотя у каждого пользователя есть отдельные учетные данные для доступа к API веб-сервисов, они должны использовать ключи SSH, общие для учетной записи AWS, под которой были определены пользователи.

Q: Где я могу использовать свои SSH-ключи?

В настоящее время пользователи IAM могут использовать свои ключи SSH только с AWS CodeCommit для доступа к своим репозиториям.

Q: Должны ли имена пользователей IAM быть адресами электронной почты?
Нет, но могут быть. Имена пользователей — это просто строки ASCII, уникальные для данной учетной записи AWS. Вы можете назначать имена, используя любое выбранное вами соглашение об именах, включая адреса электронной почты.

Q: Какие наборы символов я могу использовать для имен пользователей IAM?
Для объектов IAM можно использовать только символы ASCII.

Q: Поддерживаются ли атрибуты пользователя, отличные от имени пользователя?
Не сейчас.

Q: Как устанавливаются пароли пользователей?
Вы можете установить начальный пароль для пользователя IAM с помощью консоли IAM, интерфейса командной строки AWS или API-интерфейсов IAM. Пароли пользователей никогда не отображаются в виде открытого текста после первоначальной подготовки и никогда не отображаются и не возвращаются через вызов API. Пользователи IAM могут управлять своими паролями на странице My Password в консоли IAM. Пользователи получают доступ к этой странице, выбирая параметр Security Credentials из раскрывающегося списка в правом верхнем углу Консоли управления AWS.

Q: Могу ли я определить политику паролей для паролей моих пользователей?
Да, вы можете установить надежные пароли, указав минимальную длину или хотя бы одно число. Вы также можете принудительно установить автоматическое истечение срока действия пароля, предотвратить повторное использование старых паролей и потребовать сброса пароля при следующем входе в AWS. Дополнительные сведения см. В разделе «Установка пароля политики учетной записи для пользователей IAM».

В. Могу ли я установить квоты использования для пользователей IAM?
Нет. Все ограничения действуют для аккаунта AWS в целом.Например, если в вашей учетной записи AWS установлено ограничение в 20 инстансов Amazon EC2, пользователи IAM с разрешениями EC2 могут запускать инстансы до установленного лимита. Вы не можете ограничить то, что может делать отдельный пользователь.

Управление ролями IAM

Вопрос: Что такое роль IAM?
Роль IAM — это объект IAM, который определяет набор разрешений для выполнения запросов на сервисы AWS. Роли IAM не связаны с конкретным пользователем или группой. Вместо этого доверенные объекты берут на себя роли, такие как пользователи IAM, приложения или сервисы AWS, такие как EC2.

Q: Какие проблемы решают роли IAM?
Роли IAM позволяют делегировать доступ с определенными разрешениями доверенным объектам без необходимости совместно использовать долгосрочные ключи доступа. Вы можете использовать роли IAM для делегирования доступа пользователям IAM, управляемым в вашей учетной записи, пользователям IAM из другой учетной записи AWS или сервису AWS, например EC2.

Q: Как мне начать работу с ролями IAM?
Вы создаете роль аналогично тому, как вы создаете пользователя: присваиваете имя роли и присоединяете к ней политику.Дополнительные сведения см. В разделе «Создание ролей IAM».

Q: Как мне взять на себя роль IAM?
Вы принимаете на себя роль IAM, вызывая API-интерфейсы AssumeRole службы токенов безопасности AWS (STS) (другими словами, AssumeRole, AssumeRoleWithWebIdentity и AssumeRoleWithSAML). Эти API-интерфейсы возвращают набор временных учетных данных безопасности, которые затем приложения могут использовать для подписи запросов к API-интерфейсам сервисов AWS.

Q: Сколько ролей IAM я могу взять на себя?
Нет ограничений на количество ролей IAM, которые вы можете взять на себя, но вы можете действовать только как одна роль IAM при выполнении запросов к сервисам AWS.

Q: Кто может использовать роли IAM?
Любой клиент AWS может использовать роли IAM.

Вопрос: Сколько стоят роли IAM?
IAM-ролей — бесплатно. Вы по-прежнему будете оплачивать любые ресурсы, которые потребляет роль в вашем аккаунте AWS.

Вопрос: Как управляются роли IAM?
Вы можете создавать роли IAM и управлять ими с помощью API-интерфейсов IAM, интерфейса командной строки AWS или консоли IAM, которая дает вам веб-интерфейс с функцией «укажи и щелкни».

В. В чем разница между ролью IAM и пользователем IAM?
Пользователь IAM имеет постоянные долгосрочные учетные данные и используется для прямого взаимодействия с сервисами AWS.Роль IAM не имеет учетных данных и не может делать прямые запросы к сервисам AWS. Роли IAM должны принимать на себя уполномоченные субъекты, такие как пользователи IAM, приложения или сервис AWS, такой как EC2.

В. Когда мне следует использовать пользователя IAM, группу IAM или роль IAM?

Пользователь IAM имеет постоянные долгосрочные учетные данные и используется для прямого взаимодействия с сервисами AWS. Группа IAM — это в первую очередь удобство управления для управления одним и тем же набором разрешений для набора пользователей IAM.Роль IAM — это объект AWS Identity and Access Management (IAM) с разрешениями на выполнение запросов на сервисы AWS. Роли IAM не могут отправлять прямые запросы к сервисам AWS; они предназначены для использования уполномоченными лицами, такими как пользователи IAM, приложения или сервисы AWS, такие как EC2. Используйте роли IAM для делегирования доступа внутри или между аккаунтами AWS.

Q: Могу ли я добавить роль IAM в группу IAM?
Не сейчас.

Вопрос: Сколько политик я могу привязать к роли IAM?

Для встроенных политик : вы можете добавить столько встроенных политик, сколько хотите, для пользователя, роли или группы, но общий размер совокупной политики (общий размер всех встроенных политик) для каждой сущности не может превышать следующие ограничения:

• Размер политики пользователя не может превышать 2048 символов.
• Размер политики роли не может превышать 10240 символов.
• Размер групповой политики не может превышать 5120 символов.
  

Для управляемых политик: Вы можете добавить до 10 управляемых политик для пользователя, роли или группы. Размер каждой управляемой политики не может превышать 6 144 символа.

Q: Сколько ролей IAM я могу создать?
Вы ограничены 1000 ролями IAM в вашей учетной записи AWS. Если вам нужно больше ролей, отправьте форму запроса на увеличение лимита IAM с вашим вариантом использования, и мы рассмотрим ваш запрос.

Q: К каким службам мое приложение может отправлять запросы?
Ваше приложение может отправлять запросы ко всем сервисам AWS, которые поддерживают сеансы ролей.

Вопрос: Что такое роли IAM для инстансов EC2?
ролей IAM для инстансов EC2 позволяет вашим приложениям, работающим на EC2, отправлять запросы к сервисам AWS, таким как Amazon S3, Amazon SQS и Amazon SNS, без необходимости копировать ключи доступа AWS в каждый инстанс. Дополнительные сведения см. В разделе «Роли IAM для Amazon EC2».

Вопрос: Каковы особенности ролей IAM для инстансов EC2?
ролей IAM для инстансов EC2 предоставляет следующие функции:

• Временные учетные данные безопасности AWS для использования при отправке запросов от запущенных экземпляров EC2 к сервисам AWS.
• Автоматическая ротация временных учетных данных безопасности AWS.
• Гранулярные разрешения сервисов AWS для приложений, работающих в инстансах EC2.

Вопрос: Какую проблему решают роли IAM для инстансов EC2?
ролей IAM для инстансов EC2 упрощает управление и развертывание ключей доступа AWS к инстансам EC2.Используя эту функцию, вы связываете роль IAM с экземпляром. Затем ваш экземпляр EC2 предоставляет временные учетные данные безопасности приложениям, работающим на экземпляре, и приложения могут использовать эти учетные данные для безопасного выполнения запросов к ресурсам сервиса AWS, определенным в роли.

Вопрос: Как начать работу с ролями IAM для инстансов EC2?
Чтобы понять, как роли работают с экземплярами EC2, вам нужно использовать консоль IAM для создания роли, запустить экземпляр EC2, который использует эту роль, а затем проверить работающий экземпляр.Вы можете изучить метаданные экземпляра, чтобы увидеть, как учетные данные роли становятся доступными для экземпляра. Вы также можете увидеть, как приложение, работающее на экземпляре, может использовать эту роль. Для получения дополнительной информации см. Как мне начать?

Q: Могу ли я использовать одну и ту же роль IAM на нескольких инстансах EC2?
Да.

Вопрос: Могу ли я изменить роль IAM на работающем инстансе EC2?
Да. Хотя роль обычно назначается инстансу EC2 при его запуске, роль также может быть назначена инстансу EC2, который уже запущен.Чтобы узнать, как назначить роль работающему инстансу, см. Роли IAM для Amazon EC2. Вы также можете изменить разрешения для роли IAM, связанной с запущенным экземпляром, и обновленные разрешения вступят в силу практически сразу.

Вопрос: Могу ли я связать роль IAM с уже работающим экземпляром EC2?
Да. Вы можете назначить роль уже запущенному инстансу EC2. Чтобы узнать, как назначить роль уже запущенному инстансу, см. Роли IAM для Amazon EC2.

Вопрос: Могу ли я связать роль IAM с группой Auto Scaling?

да. Вы можете добавить роль IAM в качестве дополнительного параметра в конфигурацию запуска Auto Scaling и создать группу Auto Scaling с этой конфигурацией запуска. Все экземпляры EC2, запущенные в группе Auto Scaling, связанной с ролью IAM, запускаются с этой ролью в качестве входного параметра. Подробнее см. Что такое автоматическое масштабирование? в Руководстве разработчика по автоматическому масштабированию.

Вопрос: Могу ли я связать более одной роли IAM с экземпляром EC2?
Нет. В настоящее время можно связать только одну роль IAM с экземпляром EC2. Это ограничение в одну роль для каждого экземпляра не может быть увеличено.

В. Что произойдет, если я удалю роль IAM, связанную с работающим экземпляром EC2?
Любому приложению, запущенному на экземпляре, использующем роль, будет немедленно отказано в доступе.

Q: Могу ли я контролировать, какие роли IAM пользователь IAM может связать с экземпляром EC2?
Да. Дополнительные сведения см. В разделе Разрешения, необходимые для использования ролей с Amazon EC2.

Вопрос: Какие разрешения требуются для запуска инстансов EC2 с ролью IAM?
Вы должны предоставить пользователю IAM два разных разрешения для успешного запуска экземпляров EC2 с ролями:

• Разрешение на запуск инстансов EC2.
• Разрешение связать роль IAM с экземплярами EC2.

Подробнее см. В разделе Разрешения, необходимые для использования ролей с Amazon EC2.

Вопрос: Кто может получить доступ к ключам доступа на инстансе EC2?
Любой локальный пользователь в экземпляре может получить доступ к ключам доступа, связанным с ролью IAM.

Вопрос: Как использовать роль IAM с моим приложением в экземпляре EC2?
Если вы разрабатываете свое приложение с помощью AWS SDK, AWS SDK автоматически использует ключи доступа AWS, которые были доступны на экземпляре EC2.Если вы не используете AWS SDK, вы можете получить ключи доступа из службы метаданных экземпляра EC2. Дополнительные сведения см. В разделе Использование роли IAM для предоставления разрешений приложениям, работающим на инстансах Amazon EC2.

Вопрос: Как мне поменять временные учетные данные безопасности на экземпляре EC2?
Временные учетные данные безопасности AWS, связанные с ролью IAM, автоматически меняются несколько раз в день. Новые временные учетные данные безопасности становятся доступными не позднее, чем за пять минут до истечения срока действия существующих временных учетных данных безопасности.

Вопрос: Могу ли я использовать роли IAM для инстансов EC2 с любым типом инстанса или образом машины Amazon?
Да. Роли IAM для инстансов EC2 также работают в Amazon Virtual Private Cloud (VPC) со спотовыми и зарезервированными инстансами.

Вопрос: Что такое роль, связанная со службой?
Роль, связанная с сервисом, — это тип роли, который связывается с сервисом AWS (также известный как связанный сервис), так что только связанный сервис может принимать на себя роль. Используя эти роли, вы можете делегировать разрешения сервисам AWS для создания ресурсов AWS и управления ими от вашего имени.

Q: Могу ли я взять на себя роль, связанную со службой?
Нет. Роль, связанная со службой, может принимать только связанная служба. По этой причине нельзя изменить политику доверия роли, связанной со службой.

В. Могу ли я удалить роль, связанную со службой?
Да. Если вы больше не хотите, чтобы сервис AWS выполнял действия от вашего имени, вы можете удалить его роль, связанную с сервисом. Перед удалением роли необходимо удалить все ресурсы AWS, зависящие от роли.Этот шаг гарантирует, что вы случайно не удалите роль, необходимую для правильной работы ваших ресурсов AWS.

В. Как удалить роль, связанную со службой?
Вы можете удалить связанную со службой роль из консоли IAM. Выберите Роли на панели навигации, выберите связанную со службой роль, которую вы хотите удалить, и выберите Удалить роль . ( Примечание : для Amazon Lex необходимо использовать консоль Amazon Lex для удаления роли, связанной со службой.)

Разрешения

Q: Как работают разрешения?

Политики контроля доступа прикрепляются к пользователям, группам и ролям, чтобы назначать разрешения для ресурсов AWS. По умолчанию пользователи, группы и роли IAM не имеют разрешений; пользователи с достаточными разрешениями должны использовать политику для предоставления желаемых разрешений.

Вопрос: Как мне назначить разрешения с помощью политики?

Чтобы установить разрешения, вы можете создавать и прикреплять политики с помощью Консоли управления AWS, IAM API или AWS CLI.Пользователи, которым предоставлены необходимые разрешения, могут создавать политики и назначать их пользователям, группам и ролям IAM.

Вопрос: Что такое управляемые политики?

Управляемые политики — это ресурсы IAM, которые выражают разрешения с помощью языка политик IAM. Вы можете создавать, редактировать и управлять отдельно от пользователей, групп и ролей IAM, к которым они прикреплены. После присоединения управляемой политики к нескольким пользователям, группам или ролям IAM вы можете обновить эту политику в одном месте, и разрешения автоматически распространятся на все присоединенные сущности.Управляемые политики управляются либо вами (они называются политиками, управляемыми клиентами), либо AWS (они называются политиками, управляемыми AWS). Для получения дополнительной информации об управляемых политиках см. Управляемые политики и встроенные политики.

Вопрос: Как создать политику, управляемую клиентом?

Вы можете использовать визуальный редактор или редактор JSON в консоли IAM. Визуальный редактор — это редактор типа «укажи и щелкни», который проведет вас через процесс предоставления разрешений в политике, не требуя написания политики в JSON.Вы можете создавать политики в JSON с помощью интерфейса командной строки и SDK.

Вопрос: Как мне назначить часто используемые разрешения?

AWS предоставляет набор часто используемых разрешений, которые вы можете назначить пользователям, группам и ролям IAM в своей учетной записи. Это так называемые политики, управляемые AWS. Одним из примеров является доступ только для чтения для Amazon S3. Когда AWS обновляет эти политики, разрешения автоматически применяются к пользователям, группам и ролям, к которым привязана политика.Управляемые политики AWS автоматически отображаются в Политики раздел консоли IAM. При назначении разрешений вы можете использовать политику, управляемую AWS, или создать собственную политику, управляемую клиентом. Создайте новую политику на основе существующей политики, управляемой AWS, или определите свою собственную.

Вопрос: Как работают разрешения на основе групп?

Используйте группы IAM, чтобы назначить один и тот же набор разрешений нескольким пользователям IAM.Пользователю также могут быть назначены индивидуальные разрешения. Два способа прикрепления разрешений к пользователям работают вместе, чтобы установить общие разрешения.

В. В чем разница между назначением разрешений с помощью групп IAM и назначением разрешений с помощью управляемых политик?

Используйте группы IAM для сбора пользователей IAM и определения общих разрешений для этих пользователей.Используйте управляемые политики для обмена разрешениями между пользователями, группами и ролями IAM. Например, если вы хотите, чтобы группа пользователей могла запускать экземпляр Amazon EC2, и вы также хотите, чтобы роль в этом экземпляре имела те же разрешения, что и пользователи в группе, вы можете создать управляемую политику и назначить ее. группе пользователей и роли в инстансе Amazon EC2.

Вопрос: Как политики IAM оцениваются в сочетании с политиками на основе ресурсов Amazon S3, Amazon SQS, Amazon SNS и AWS KMS?

Политики IAM оцениваются вместе с политиками службы на основе ресурсов.Когда политика любого типа предоставляет доступ (без явного отказа), действие разрешается. Для получения дополнительных сведений о логике оценки политики см. Логика оценки политики IAM.

В. Могу ли я использовать управляемую политику в качестве политики на основе ресурсов?

Управляемые политики могут быть прикреплены только к пользователям, группам или ролям IAM. Вы не можете использовать их в качестве политик на основе ресурсов.

Вопрос: Как установить детальные разрешения с помощью политик?

Используя политики, вы можете указать несколько уровней детализации разрешений. Во-первых, вы можете определить конкретные действия сервисов AWS, к которым вы хотите разрешить или явно запретить доступ. Во-вторых, в зависимости от действия вы можете определить конкретные ресурсы AWS, над которыми могут выполняться действия. В-третьих, вы можете определить условия, чтобы указать, когда действует политика (например, включен ли MFA или нет).

Q: Как я могу легко удалить ненужные разрешения?

Чтобы помочь вам определить, какие разрешения необходимы, теперь в консоли IAM отображается данные о последнем доступе к сервису, которые показывают час, когда объект IAM (пользователь, группа или роль) последний раз обращался к сервису AWS. Информация о том, когда и когда объект IAM в последний раз использовала разрешение, может помочь вам удалить ненужные разрешения и с меньшими усилиями ужесточить политики IAM.

В. Могу ли я предоставить разрешения на доступ или изменение информации на уровне аккаунта (например, платежного средства, контактного адреса электронной почты и истории выставления счетов)?
Да, вы можете делегировать возможность пользователю IAM или федеративному пользователю просматривать данные выставления счетов AWS и изменять информацию учетной записи AWS. Для получения дополнительной информации об управлении доступом к вашей платежной информации см. Контроль доступа.

Вопрос: Кто может создавать ключи доступа в учетной записи AWS и управлять ими?

Только владелец учетной записи AWS может управлять ключами доступа для учетной записи root.Владелец учетной записи и пользователи или роли IAM, которым предоставлены необходимые разрешения, могут управлять ключами доступа для пользователей IAM.

Вопрос: Могу ли я предоставить разрешения на доступ к ресурсам AWS, принадлежащим другой учетной записи AWS?
Да. Используя роли IAM, пользователи IAM и федеративные пользователи могут получать доступ к ресурсам в другом аккаунте AWS через Консоль управления AWS, интерфейс командной строки AWS или API. Видеть Управляйте ролями IAM для получения дополнительной информации.

Q: Как выглядит политика?

Следующая политика предоставляет доступ для добавления, обновления и удаления объектов из определенной папки example_folder в конкретном сегменте example_bucket.

{
«Версия»: «2012-10-17»,
«Выписка»: [
{
«Эффект»: «Разрешить»,
«Действие»: [
«s3: PutObject»,
«s3: GetObject»,
«s3: GetObjectVersion»,
«s3: DeleteObject»,
«s3: DeleteObjectVersion»
],

«Ресурс»: «arn: aws: s3 ::: example_bucket / example_folder / *»
}
]
}

Вопрос: Что такое сводка политики?

Если вы используете консоль IAM и выбираете политику, вы увидите сводку политики.В сводке политики перечислены уровень доступа, ресурсы и условия для каждой службы, определенной в политике (см. Пример на следующем снимке экрана). Уровень доступа (просмотр, чтение, запись или управление разрешениями) определяется действиями, предоставленными для каждой службы в политике. Вы можете просмотреть политику в JSON , нажав кнопку JSON.

Симулятор политики

Вопрос: Что такое симулятор политики IAM?
Имитатор политик IAM — это инструмент, который поможет вам понять, протестировать и проверить эффективность ваших политик контроля доступа.

В. Для чего можно использовать симулятор политики?
Имитатор политики можно использовать несколькими способами. Вы можете протестировать изменения политики, чтобы убедиться, что они имеют желаемый эффект, прежде чем передавать их в производственную среду. Вы можете проверить существующие политики, прикрепленные к пользователям, группам и ролям, для проверки разрешений и устранения неполадок. Вы также можете использовать симулятор политик, чтобы понять, как политики IAM и политики на основе ресурсов работают вместе, чтобы предоставить или запретить доступ к ресурсам AWS.

Q: Кто может использовать симулятор политики?
Симулятор политик доступен всем клиентам AWS.

Q: Сколько стоит симулятор политики?
Симулятор политики доступен без дополнительной оплаты.

Q: С чего начать?
Перейдите на сайт https://policysim.aws.amazon.com или щелкните ссылку на консоли IAM в разделе «Дополнительная информация». Укажите новую политику или выберите существующий набор политик для пользователя, группы или роли, которую вы хотите оценить.Затем выберите набор действий из списка сервисов AWS, предоставьте всю необходимую информацию для моделирования запроса доступа и запустите моделирование, чтобы определить, разрешает или запрещает политика разрешения для выбранных действий и ресурсов. Чтобы узнать больше о симуляторе политики IAM, посмотрите наше видео о начале работы или документацию.

В. Какие типы политик поддерживает симулятор политик IAM?
Имитатор политик поддерживает тестирование вновь введенных политик и существующих политик, прикрепленных к пользователям, группам или ролям.Кроме того, вы можете моделировать, предоставляют ли политики на уровне ресурсов доступ к определенному ресурсу для корзин Amazon S3, хранилищ Amazon Glacier, тем Amazon SNS и очередей Amazon SQS. Они включаются в моделирование, когда имя ресурса Amazon (ARN) указано в поле Resource в Simulation Settings для службы, которая поддерживает политики ресурсов.

В. Если я изменю политику в симуляторе политик, сохранятся ли эти изменения в рабочей среде?
№Чтобы применить изменения к производственной среде, скопируйте политику, которую вы изменили в симуляторе политик, и прикрепите ее к нужному пользователю, группе или роли IAM.

В. Могу ли я использовать симулятор политики программно?
Да. Вы можете использовать симулятор политики с помощью пакетов SDK AWS или интерфейса командной строки AWS в дополнение к консоли симулятора политик. Используйте API iam: SimulatePrincipalPolicy для программного тестирования существующих политик IAM. Чтобы проверить влияние новых или обновленных политик, которые еще не прикреплены к пользователю, группе или роли, вызовите iam: SimulateCustomPolicy API.

Вход в систему

Вопрос: Как пользователь IAM входит в систему?

Чтобы войти в Консоль управления AWS в качестве пользователя IAM, помимо имени пользователя и пароля необходимо указать идентификатор или псевдоним учетной записи. Когда ваш администратор создали своего пользователя IAM в консоли, они должны были предоставить вам ваше имя пользователя и URL-адрес страницы входа в вашу учетную запись. Этот URL-адрес включает идентификатор вашей учетной записи или псевдоним учетной записи.

https://My_AWS_Account_ID.signin.aws.amazon.com/console/

Вы также можете войти в систему через следующую общую конечную точку входа и ввести идентификатор своей учетной записи или псевдоним учетной записи вручную:

https://console.aws.amazon.com/

Для удобства на странице входа в AWS используется файл cookie браузера для запоминания имени пользователя IAM и информации об учетной записи.В следующий раз, когда пользователь перейдет на любую страницу Консоли управления AWS, консоль использует файл cookie для перенаправления пользователя на страницу входа в учетную запись.

Примечание. Пользователи IAM по-прежнему могут использовать URL-ссылку, предоставленную им администратором, для входа в Консоль управления AWS.

Вопрос: Что такое псевдоним учетной записи AWS?

Псевдоним учетной записи — это имя, которое вы определяете, чтобы было удобнее идентифицировать вашу учетную запись.Вы можете создать псевдоним с помощью API-интерфейсов IAM, Инструменты командной строки AWS или Консоль IAM. У вас может быть один псевдоним для каждой учетной записи AWS.

Вопрос: К каким сайтам AWS могут получить доступ пользователи IAM?

Пользователи IAM могут входить на следующие сайты AWS:

В. Могут ли пользователи IAM входить в другие ресурсы Amazon.com со своими учетными данными?
№Пользователи, созданные с помощью IAM, распознаются только сервисами и приложениями AWS.

В. Существует ли API аутентификации для проверки входа пользователей IAM?
Нет. Программного способа проверки входа пользователей в систему нет.

Вопрос: Могут ли пользователи подключаться к инстансам EC2 по SSH, используя свое имя пользователя и пароль AWS?
№Учетные данные пользователя, созданные с помощью IAM, не поддерживаются для прямой аутентификации в клиентских экземплярах EC2. Управление учетными данными SSH EC2 является обязанностью клиента в консоли EC2.

Временные учетные данные

Вопрос: Что такое временные учетные данные безопасности?
Временные учетные данные безопасности состоят из идентификатора ключа доступа AWS, секретного ключа доступа и токена безопасности. Временные учетные данные безопасности действительны в течение определенного времени и для определенного набора разрешений.Временные учетные данные безопасности иногда просто называют токенами. Токены могут быть запрошены для пользователей IAM или для федеративных пользователей, которыми вы управляете в своем собственном корпоративном каталоге. Для получения дополнительной информации см. Общие сценарии для временных учетных данных.

Вопрос: Каковы преимущества временных учетных данных безопасности?
Временные учетные данные безопасности позволяют:

• Расширьте свои внутренние каталоги пользователей, чтобы включить федерацию в AWS, что позволит вашим сотрудникам и приложениям получить безопасный доступ к API сервисов AWS без необходимости создавать для них идентификационные данные AWS.
• Запросить временные учетные данные безопасности для неограниченного числа федеративных пользователей.
• Настройте период времени, по истечении которого истекают временные учетные данные безопасности, что обеспечивает повышенную безопасность при доступе к API сервисов AWS через мобильные устройства, где существует риск потери устройства.

Вопрос: Как пользователи IAM могут запрашивать временные учетные данные безопасности для собственного использования? Пользователи
IAM могут запросить временные учетные данные безопасности для собственного использования, позвонив в AWS STS. GetSessionToken API.Срок действия этих временных учетных данных по умолчанию составляет 12 часов; минимум 15 минут, максимум 36 часов.

Вопрос: Как я могу использовать временные учетные данные безопасности для вызова API сервисов AWS?
Если вы отправляете прямые запросы HTTPS API к AWS, вы можете подписать эти запросы с помощью временных учетных данных безопасности, полученных от AWS Security Token Service (AWS STS). Для этого нужно сделать следующее:

• Используйте идентификатор ключа доступа и секретный ключ доступа, предоставленные с временными учетными данными, так же, как вы использовали бы долгосрочные учетные данные для подписи запроса.Дополнительные сведения о подписании запросов API HTTPS см. В разделе «Подписание запросов API AWS» в Общем справочнике по AWS.
• Используйте маркер сеанса, предоставленный с временными учетными данными безопасности. Включите токен сеанса в заголовок «x-amz-security-token». См. Следующий пример запроса.
  • Для Amazon S3 — через HTTP-заголовок x-amz- security-token.
    
  • Для других сервисов AWS — через параметр SecurityToken.

В. Каков максимальный размер политики доступа, которую я могу указать при запросе временных учетных данных (GetFederationToken или AssumeRole)?
Открытый текст политики должен быть не более 2048 байтов.Однако внутреннее преобразование сжимает его в упакованный двоичный формат с отдельным ограничением.

В. Можно ли отозвать временные учетные данные безопасности до истечения срока их действия?
Нет. При запросе временных учетных данных мы рекомендуем следующее:

• При создании временных учетных данных безопасности установите для срока действия значение, подходящее для вашего приложения.
• Поскольку разрешения учетной записи root не могут быть ограничены, используйте пользователя IAM, а не учетную запись root для создания временных учетных данных безопасности. Вы можете отозвать разрешения пользователя IAM, который отправил исходный вызов, чтобы запросить его. Это действие почти немедленно отменяет привилегии для всех временных учетных данных безопасности, выданных этим пользователем IAM
.

В. Могу ли я повторно активировать или продлить срок действия временных учетных данных безопасности?
№Рекомендуется активно проверять срок действия и запрашивать новые временные учетные данные безопасности до истечения срока действия старых. Этот процесс ротации управляется автоматически, когда временные учетные данные безопасности используются в ролях для экземпляров EC2.

В. Поддерживаются ли временные учетные данные безопасности во всех регионах?
Клиенты могут запрашивать токены с конечных точек AWS STS во всех регионах, включая регионы AWS GovCloud (США) и Китай (Пекин).Временные учетные данные из AWS GovCloud (США) и Китая (Пекин) можно использовать только в том регионе, из которого они исходят. Временные учетные данные, запрошенные из любого другого региона, например Востока США (Северная Вирджиния) или ЕС (Ирландия), можно использовать во всех регионах, кроме AWS GovCloud (США) и Китая (Пекин).

В. Могу ли я ограничить использование временных учетных данных безопасности регионом или подмножеством регионов?

Нет.Вы не можете ограничить временные учетные данные безопасности определенным регионом или подмножеством регионов, за исключением временных учетных данных безопасности из AWS GovCloud (США) и Китая (Пекин), которые можно использовать только в соответствующих регионах, из которых они были созданы.

Вопрос: Что мне нужно сделать, прежде чем я смогу начать использовать конечную точку AWS STS?

Конечные точки AWS STS по умолчанию активны во всех регионах, и вы можете начать их использовать без каких-либо дополнительных действий.

Вопрос: Что произойдет, если я попытаюсь использовать региональную конечную точку AWS STS, которая была деактивирована для моей учетной записи AWS?

Если вы попытаетесь использовать региональную конечную точку AWS STS, которая была деактивирована для вашей учетной записи AWS, вы увидите AccessDenied исключение из AWS STS со следующим сообщением: «AWS STS не активирован в этом регионе для учетной записи: AccountID .Администратор вашего аккаунта может активировать AWS STS в этом регионе с помощью консоли IAM ».

Вопрос: Какие разрешения требуются для активации или деактивации регионов AWS STS на странице настроек учетной записи?

Только пользователи с разрешениями не ниже iam: * могут активировать или деактивировать регионы AWS STS из Настройки учетной записи Страница в консоли IAM.Обратите внимание, что конечные точки AWS STS в регионах Восток США (Северная Вирджиния), AWS GovCloud (США) и Китай (Пекин) всегда активны и не могут быть отключены.

Вопрос: Могу ли я использовать API или интерфейс командной строки для активации или деактивации регионов AWS STS?

Нет. В настоящее время нет поддержки API или интерфейса командной строки для активации или деактивации регионов AWS STS. Мы планируем предоставить поддержку API и CLI в будущем выпуске.

Федерация идентификации

В. Что такое федерация удостоверений?
AWS Identity and Access Management (IAM) поддерживает федерацию удостоверений для делегированного доступа к Консоли управления AWS или API AWS. Благодаря федерации удостоверений внешним удостоверениям предоставляется безопасный доступ к ресурсам в вашей учетной записи AWS без необходимости создавать пользователей IAM. Эти внешние удостоверения могут поступать от вашего поставщика корпоративных удостоверений (например, Microsoft Active Directory или из AWS Directory Service) или от поставщика веб-удостоверений (например, Amazon Cognito, Войдите в систему с Amazon, Facebook, Google или любой другой Поставщик, совместимый с OpenID Connect).

Вопрос: Что такое федеративные пользователи?
Федеративные пользователи (внешние удостоверения) — это пользователи, которыми вы управляете вне AWS в корпоративном каталоге, но которым вы предоставляете доступ к своей учетной записи AWS, используя временные учетные данные безопасности. Они отличаются от пользователей IAM, которые создаются и обслуживаются в вашем аккаунте AWS.

В. Поддерживаете ли вы SAML?
Да, AWS поддерживает язык разметки утверждения безопасности (SAML) 2.0.

Вопрос: Какие профили SAML поддерживает AWS?
Конечная точка единого входа (SSO) AWS поддерживает профиль SAML WebSSO, инициированный IdP. Это позволяет федеративному пользователю войти в Консоль управления AWS с помощью SAML. утверждение. Утверждение SAML также можно использовать для запроса временных учетных данных безопасности с помощью AssumeRoleWithSAML API. Для получения дополнительной информации см. О SAML 2.0-основанная федерация.

Вопрос: Могут ли федеративные пользователи получить доступ к API AWS?
Да. Вы можете программно запросить временные учетные данные безопасности для своих федеративных пользователей, чтобы предоставить им безопасный и прямой доступ к API AWS. Мы предоставили пример приложения, демонстрирующий, как можно включить федерацию удостоверений, предоставляя пользователям, поддерживаемым Microsoft Active Directory, доступ к API-интерфейсам сервисов AWS.Для получения дополнительной информации см. Использование временных учетных данных безопасности для запроса доступа к ресурсам AWS.

Вопрос: Могут ли федеративные пользователи получить доступ к Консоли управления AWS?
Да. Есть несколько способов добиться этого. Один из способов — программно запросить временные учетные данные безопасности (например, GetFederationToken или AssumeRole) для ваших федеративных пользователей и включить эти учетные данные как часть запроса на вход в Консоль управления AWS.После аутентификации пользователя и предоставления им временных учетных данных безопасности вы создаете токен входа, который используется конечной точкой единого входа AWS (SSO). Действия пользователя в консоли ограничены политика управления доступом, связанная с временными учетными данными безопасности. Подробнее см. Создание URL-адреса, который позволяет федеративным пользователям получить доступ к консоли управления AWS (настраиваемый брокер федерации).

Использование любого подхода позволяет федеративному пользователю получить доступ к консоли без необходимости входа в систему с именем пользователя и паролем.Мы предоставили образец приложения, демонстрирующий, как можно включить федерацию удостоверений, предоставляя пользователям, поддерживаемым Microsoft Active Directory, доступ к Консоли управления AWS.

Вопрос: Как мне контролировать, что федеративному пользователю разрешено делать при входе в консоль?
Когда вы запрашиваете временные учетные данные безопасности для своего федеративного пользователя с помощью AssumeRole API, вы можете дополнительно включить в запрос политику доступа.Привилегии федеративного пользователя — это пересечение разрешений, предоставленных политикой доступа, переданной с запросом, и политикой доступа, прикрепленной к предполагаемой роли IAM. Политика доступа, переданная с запросом, не может повысить привилегии, связанные с предполагаемой ролью IAM. Когда вы запрашиваете временные учетные данные безопасности для своего федеративного пользователя с помощью API GetFederationToken, вы должны предоставить с запросом политику управления доступом. Привилегии федеративного пользователя — это пересечение разрешений, предоставленных политикой доступа, переданной с запросом, и политикой доступа, прикрепленной к пользователю IAM, который использовался для выполнения запроса.Политика доступа, переданная с запросом, не может повысить привилегии, связанные с пользователем IAM, использовавшимся для выполнения запроса. Эти федеративные разрешения пользователей применяются как к доступу к API, так и к действиям, предпринимаемым в Консоли управления AWS.

Вопрос: Как контролировать, как долго федеративный пользователь имеет доступ к Консоли управления AWS?
В зависимости от API, используемого для создания временных учетных данных безопасности, вы можете указать ограничение сеанса от 15 минут до 36 часов (для GetFederationToken и GetSessionToken) и от 15 минут до 12 часов (для API AssumeRole *), в течение которых пользователь может получить доступ к консоли.Когда сеанс истекает, федеративный пользователь должен запросить новый сеанс, вернувшись к вашему провайдеру удостоверений, где вы можете снова предоставить ему доступ. Узнать больше о установка продолжительности сеанса.

Вопрос: Что происходит, когда истекает время ожидания сеанса консоли федерации удостоверений?
Пользователь получает сообщение о том, что время сеанса консоли истекло и ему необходимо запросить новый сеанс.Вы можете указать URL-адрес, чтобы направлять пользователей на веб-страницу вашей локальной интрасети, где они могут запросить новый сеанс. Вы добавляете этот URL-адрес, когда указываете параметр Issuer как часть запроса на вход. Для получения дополнительной информации см. Предоставление федеративным пользователям SAML 2.0 доступа к Консоли управления AWS.

Вопрос: Сколько федеративных пользователей я могу предоставить доступ к Консоли управления AWS?
Нет ограничений на количество федеративных пользователей, которым может быть предоставлен доступ к консоли.

Вопрос: Что такое федерация веб-удостоверений?

Федерация веб-удостоверений позволяет создавать мобильные приложения на базе AWS, использующие общедоступные поставщики удостоверений (например, Amazon Cognito, Войдите в систему с Amazon, Facebook, Google или любой другой Поставщик, совместимый с OpenID Connect) для аутентификации. Благодаря федерации веб-удостоверений у вас есть простой способ интегрировать вход от общедоступных поставщиков удостоверений (IdP) в свои приложения без необходимости писать какой-либо серверный код и без распространения долгосрочных учетных данных безопасности AWS с приложением.

Вопрос: Как включить федерацию веб-удостоверений с учетными записями общедоступных IdP?

Для достижения наилучших результатов используйте Amazon Cognito в качестве брокера удостоверений практически для всех сценариев федерации веб-удостоверений. Amazon Cognito прост в использовании и предоставляет дополнительные возможности, такие как анонимный (не прошедший проверку подлинности) доступ и синхронизацию пользовательских данных между устройствами и поставщиками.Однако, если вы уже создали приложение, использующее федерацию веб-удостоверений, вручную вызвав AssumeRoleWithWebIdentity API, вы можете продолжать его использовать, и ваши приложения по-прежнему будут работать.

Вот основные шаги для включения идентификации федерации с помощью одного из поддерживаемых веб-IdP:

Зарегистрируйтесь в качестве разработчика с помощью IdP и настройте свое приложение с помощью IdP, который предоставит вам уникальный идентификатор для вашего приложения.
Если вы используете IdP, совместимый с OIDC, создайте для него объект провайдера идентификации в IAM.
В AWS создайте одну или несколько ролей IAM.
В своем приложении аутентифицируйте пользователей с помощью общедоступного IdP.
В своем приложении сделайте неподписанный вызов AssumeRoleWithWebidentity API, чтобы запросить временные учетные данные безопасности.
Используя временные учетные данные безопасности, которые вы получаете в ответе AssumeRoleWithWebidentity, ваше приложение выполняет подписанные запросы к API AWS.
Ваше приложение кэширует временные учетные данные безопасности, чтобы вам не приходилось получать новые каждый раз, когда приложению нужно сделать запрос к AWS.
Для получения более подробной информации см. Использование API-интерфейсов Web Identity Federation для мобильных приложений.

Вопрос: Чем федерация удостоверений с помощью AWS Directory Service отличается от использования стороннего решения для управления удостоверениями?

Если вы хотите, чтобы ваши федеративные пользователи имели доступ только к Консоли управления AWS, использование AWS Directory Service предоставляет аналогичные возможности по сравнению с использованием стороннее решение для управления идентификацией.Конечные пользователи могут войти в систему, используя свои существующие корпоративные учетные данные, и получить доступ к Консоли управления AWS. Поскольку AWS Directory Service является управляемой службой, клиентам не нужно настраивать инфраструктуру федерации или управлять ею, а скорее необходимо создать каталог AD Connector для интеграции с их локальным каталогом. Если вы хотите предоставить своим федеративным пользователям доступ к API AWS, используйте стороннее предложение или разверните собственное Прокси сервер.

Многофакторная аутентификация

Q.Что такое AWS MFA?
Многофакторная аутентификация AWS (AWS MFA) обеспечивает дополнительный уровень безопасности, который можно применить к своей среде AWS. Вы можете включить AWS MFA для своей учетной записи AWS и для отдельных пользователей AWS Identity and Access Management (IAM), которых вы создаете в своей учетной записи.

В. Как работает AWS MFA?
Существует два основных способа аутентификации с помощью устройства AWS MFA:

• Пользователи Консоли управления AWS : когда пользователь с включенным MFA входит на веб-сайт AWS, ему предлагается ввести свое имя пользователя и пароль (первый фактор — то, что они знают), а также ответ аутентификации от своего устройства AWS MFA. (второй фактор — что у них есть).Все веб-сайты AWS, требующие входа, например Консоль управления AWS, полностью поддерживают AWS MFA. Вы также можете использовать AWS MFA вместе с безопасным удалением Amazon S3 для дополнительной защиты ваших сохраненных версий S3.
• Пользователи API AWS : вы можете принудительно применить аутентификацию MFA, добавив ограничения MFA в свои политики IAM. Чтобы получить доступ к API и ресурсам, защищенным таким образом, разработчики могут запросить временные учетные данные безопасности и передать необязательные параметры MFA в своих запросах API AWS Security Token Service (STS) (служба, которая выдает временные учетные данные безопасности).Проверенные MFA временные учетные данные безопасности можно использовать для вызова API-интерфейсов и ресурсов, защищенных MFA. Примечание. API-интерфейсы, защищенные AWS STS и MFA, в настоящее время не поддерживают ключ безопасности U2F в качестве MFA.
  

В. Как я могу защитить свои ресурсы AWS с помощью MFA?
Выполните два простых шага:

1. Получите устройство MFA. У вас есть три варианта:

• Приобретите аппаратный ключ безопасности YubiKey у стороннего поставщика Yubico.
  
• Приобретите аппаратное устройство у стороннего поставщика Thales.
• Установите виртуальное приложение, совместимое с MFA, на такое устройство, как смартфон.

Посетить Страница AWS MFA для получения подробной информации о том, как приобрести оборудование или виртуальное устройство MFA.

2. После того, как у вас есть устройство MFA, вы должны активировать его в консоли IAM. Вы также можете использовать интерфейс командной строки AWS для активации виртуального MFA и аппаратного MFA (устройства Thales) для пользователя IAM. Примечание : AWS CLI в настоящее время не поддерживает активацию ключей безопасности U2F.

В. Взимается ли плата за использование AWS MFA?
AWS не взимает никаких дополнительных сборов за использование AWS MFA с вашей учетной записью AWS. Однако, если вы хотите использовать физическое устройство MFA, вам необходимо приобрести устройство MFA, совместимое с AWS MFA, у сторонних поставщиков Thales или Yubico. Для получения более подробной информации посетите веб-сайт Yubico или Thales.

В. Могу ли я иметь несколько устройств MFA, активных для моей учетной записи AWS?
Да.Каждый пользователь IAM может иметь собственное устройство MFA. Однако каждый идентификатор (пользователь IAM или учетная запись root) может быть связан только с одним устройством MFA.

В. Могу ли я использовать свой ключ безопасности U2F с несколькими учетными записями AWS?

Да. AWS позволяет использовать один и тот же ключ безопасности U2F для нескольких пользователей root и IAM в нескольких учетных записях.

В. Могу ли я использовать виртуальную, аппаратную или SMS-MFA с несколькими учетными записями AWS?
Нет. Устройство MFA или номер мобильного телефона, связанные с виртуальным, аппаратным и SMS MFA, привязаны к индивидуальному удостоверению AWS (пользователь IAM или учетная запись root).Если на вашем смартфоне установлено TOTP-совместимое приложение, вы можете создать несколько виртуальных устройств MFA на одном смартфоне. Каждое из виртуальных устройств MFA привязано к одному идентификатору, как и аппаратное устройство MFA (Thales). Если вы отключите (деактивируете) устройство MFA, вы сможете повторно использовать его с другим идентификатором AWS. Устройство MFA, связанное с аппаратным MFA, в настоящее время не может использоваться более чем одним удостоверением одновременно.

В. У меня уже есть аппаратное устройство MFA (Thales) с моего места работы или из другой службы, которую я использую. Могу ли я повторно использовать это устройство с AWS MFA?
№AWS MFA полагается на знание уникального секрета, связанного с вашим аппаратным устройством MFA (Thales), для поддержки его использования. Из-за ограничений безопасности, которые требуют, чтобы такие секреты никогда не передавались между несколькими сторонами, AWS MFA не может поддерживать использование вашего существующего устройства Thales. С AWS MFA можно использовать только совместимое аппаратное устройство MFA, приобретенное у Thales. Вы можете повторно использовать существующий ключ безопасности U2F с AWS MFA, поскольку ключи безопасности U2F не передают какие-либо секреты между несколькими сторонами.

Покупка устройства MFA

Q.У меня возникла проблема с заказом устройства MFA через веб-сайт стороннего поставщика. Где я могу получить помощь?
Служба поддержки клиентов Yubico или Thales может вам помочь.

В. Я получил неисправное или поврежденное устройство MFA от стороннего поставщика. Где я могу получить помощь?
Служба поддержки клиентов Yubico или Thales может вам помочь.

В. Я только что получил устройство MFA от стороннего поставщика. Что я должен делать?
Вам просто нужно активировать устройство MFA, чтобы включить AWS MFA для своей учетной записи AWS.См. Консоль IAM для выполнения этой задачи.

Подготовка виртуального устройства MFA

В. Что такое виртуальное устройство MFA?
Виртуальное устройство MFA — это запись, созданная в программном приложении, совместимом с TOTP, которое может генерировать шестизначные коды аутентификации. Программное приложение может работать на любом совместимом вычислительном устройстве, например, на смартфоне.

В. В чем разница между виртуальным устройством MFA и физическими устройствами MFA?
Виртуальные устройства MFA используют те же протоколы, что и физические устройства MFA.Виртуальные устройства MFA основаны на программном обеспечении и могут работать на ваших существующих устройствах, таких как смартфоны. Большинство виртуальных приложений MFA также позволяют включить более одного виртуального устройства MFA, что делает их более удобными, чем физические устройства MFA.

В. Какие виртуальные приложения MFA можно использовать с AWS MFA?
С AWS MFA можно использовать приложения, которые генерируют коды аутентификации, соответствующие TOTP, например приложение Google Authenticator. Вы можете подготовить виртуальные устройства MFA либо автоматически, сканируя QR-код камерой устройства, либо вручную вводя начальное число в приложении виртуального MFA.

Посетите страницу MFA, чтобы просмотреть список поддерживаемых виртуальных приложений MFA.

В. Что такое QR-код?
QR-код — это двухмерный штрих-код, который читается специальными считывателями QR-кода и большинством смартфонов. Код состоит из черных квадратов, расположенных в виде больших квадратов на белом фоне. QR-код содержит необходимую информацию о конфигурации безопасности для предоставления виртуального устройства MFA в вашем приложении виртуального MFA.

В. Как подготовить новое виртуальное устройство MFA?
Вы можете настроить новое виртуальное устройство MFA в консоли IAM для своих пользователей IAM, а также для своей корневой учетной записи AWS. Вы также можете использовать команду aws iam create-virtual-mfa-device в интерфейсе командной строки AWS или API CreateVirtualMFADevice для подготовки новых виртуальных устройств MFA под своей учетной записью. Aws iam create-virtual-mfa-device и CreateVirtualMFADevice API возвращают необходимую информацию о конфигурации, называемую начальным значением, для настройки виртуального устройства MFA в приложении, совместимом с AWS MFA.Вы можете либо предоставить своим пользователям IAM разрешения на вызов этого API напрямую, либо выполнить для них первоначальную подготовку.

В. Как мне обрабатывать и распространять исходный материал для виртуальных устройств MFA?

С исходным материалом следует обращаться как с любым другим секретом (например, с секретными ключами и паролями AWS).

В. Как я могу разрешить пользователю IAM управлять виртуальными устройствами MFA под моей учетной записью?
Предоставьте пользователю IAM разрешение на вызов API CreateVirtualMFADevice.Вы можете использовать этот API для подготовки новых виртуальных устройств MFA.

СМС МИД

В. Могу ли я запросить доступ для предварительного просмотра к SMS MFA?

Мы больше не принимаем новых участников для предварительного просмотра SMS MFA. Мы рекомендуем вам использовать MFA в своей учетной записи AWS, используя ключ безопасности U2F, аппаратное устройство или виртуальное (программное) устройство MFA.

В. Когда закончится предварительный просмотр SMS MFA?

1 февраля 2019 г. AWS больше не будет требовать от пользователей IAM вводить шестизначный код MFA, если пользователь IAM настроен с «устройством SMS MFA».Этим пользователям также больше не будет предоставляться код SMS при входе в систему. Мы рекомендуем вам использовать MFA с помощью ключа безопасности U2F, аппаратного устройства или виртуального (программного) устройства MFA. Вы можете продолжать использовать эту функцию до 31 января 2019 г.

Включение устройств AWS MFA

В. Где включить AWS MFA?
Вы можете включить AWS MFA для учетной записи AWS и своих пользователей IAM в консоли IAM, через интерфейс командной строки AWS или вызвав API AWS. Примечание : AWS CLI и AWS API в настоящее время не поддерживают включение ключа безопасности U2F.

В. Какая информация мне нужна для активации оборудования или виртуального устройства MFA?
Если вы активируете устройство MFA с помощью консоли IAM, вам нужно только это устройство. Если вы используете AWS CLI или IAM API, вам потребуется следующее:

1. Серийный номер устройства MFA. Формат серийного номера зависит от того, используете ли вы аппаратное или виртуальное устройство:

• Аппаратное устройство MFA: серийный номер указан на этикетке со штрих-кодом на задней панели устройства.
• Виртуальное устройство MFA: серийный номер — это значение имени ресурса Amazon (ARN), возвращаемое при запуске команды iam-virtualmfadevicecreate в интерфейсе командной строки AWS или вызове CreateVirtualMFADevice API.
  

2. Два последовательных кода MFA, отображаемых устройством MFA.

В. Мое устройство MFA работает нормально, но я не могу его активировать. Что я должен делать?
Свяжитесь с нами для получения помощи.

Использование AWS MFA

Q.Если я включаю AWS MFA для своей корневой учетной записи AWS или пользователей IAM, всегда ли они должны использовать MFA для входа в Консоль управления AWS?
Да. Пользователь с корневыми учетными данными AWS и пользователи IAM должны иметь при себе устройство MFA каждый раз, когда им нужно войти на любой веб-сайт AWS.

Если ваше устройство MFA потеряно, повреждено, украдено или не работает, вы можете войти в систему, используя альтернативные факторы аутентификации, деактивировать устройство MFA и активировать новое устройство. В целях безопасности мы рекомендуем вам изменить пароль вашей учетной записи root.

Если ваши пользователи IAM потеряют или повредят свое устройство MFA, или если оно будет украдено или перестает работать, вы можете отключить AWS MFA самостоятельно с помощью консоли IAM или интерфейса командной строки AWS.

В. Если я включаю AWS MFA для своей корневой учетной записи AWS или пользователей IAM, всегда ли им нужно выполнять задачу MFA для прямого вызова API AWS?
Нет, это необязательно. Однако вы должны выполнить задачу MFA, если планируете вызывать API-интерфейсы, которые защищены доступом к API, защищенным MFA.

Если вы вызываете API AWS с помощью ключей доступа для своей корневой учетной записи AWS или пользователя IAM, вам не нужно вводить код MFA. По соображениям безопасности мы рекомендуем удалить все ключи доступа из своей корневой учетной записи AWS и вместо этого вызывать API AWS с ключами доступа для пользователя IAM, имеющего необходимые разрешения.

Примечание : ключи безопасности U2F в настоящее время не работают с API-интерфейсами, защищенными MFA, и в настоящее время не могут использоваться в качестве MFA для API-интерфейсов AWS.

Q.Как войти в портал AWS и Консоль управления AWS с помощью устройства MFA?
Выполните следующие два шага:

1. Если вы входите в систему с учетной записью root AWS, войдите как обычно, используя свое имя пользователя и пароль, когда будет предложено. Чтобы войти в систему как пользователь IAM, используйте URL-адрес учетной записи и укажите свое имя пользователя и пароль при появлении запроса.
2. Если вы включили виртуальный, аппаратный или SMS MFA, введите шестизначный код MFA, который отображается на вашем устройстве MFA.Если вы включили ключ безопасности U2F, вставьте ключ в USB-порт вашего компьютера, дождитесь, пока ключ не начнет мигать, а затем коснитесь кнопки или золотого диска на вашем ключе.
   

В. Влияет ли AWS MFA на то, как я получаю доступ к API сервисов AWS?
AWS MFA изменяет способ доступа пользователей IAM к API-интерфейсам AWS Service, только если администратор (-ы) аккаунта разрешает доступ к API-интерфейсу, защищенному MFA. Администраторы могут включить эту функцию, чтобы добавить дополнительный уровень безопасности при доступе к конфиденциальным API, потребовав от вызывающих абонентов аутентифицироваться с помощью устройства AWS MFA.Дополнительные сведения см. В документации по доступу к API, защищенному MFA.

Другие исключения включают управление версиями корзины S3 PUT, управление версиями корзины GET и API-интерфейсы объектов DELETE, которые позволяют требовать аутентификацию MFA для удаления или изменения состояния управления версиями корзины. Для получения дополнительной информации см. Документацию S3, в которой более подробно обсуждается настройка сегмента с помощью удаления MFA.

Во всех остальных случаях AWS MFA в настоящее время не меняет способ доступа к API сервисов AWS.

Примечание : ключи безопасности U2F в настоящее время не работают с API-интерфейсами, защищенными MFA, и в настоящее время не могут использоваться в качестве MFA для API-интерфейсов AWS.

В. Могу ли я использовать данный код MFA более одного раза для виртуального и аппаратного MFA?
Нет. По соображениям безопасности вы можете использовать каждый код MFA, предоставленный вашим виртуальным и аппаратным устройством MFA, только один раз.

В. Меня недавно попросили повторно синхронизировать мое устройство MFA, потому что мои коды MFA отклонялись.Я должен быть обеспокоен?
Нет, иногда такое может происходить. Виртуальный и аппаратный MFA полагается на то, что часы на вашем устройстве MFA синхронизируются с часами на наших серверах. Иногда эти часы могут расходиться. В этом случае, когда вы используете устройство MFA для входа в систему для доступа к защищенным страницам на веб-сайте AWS или в Консоли управления AWS, AWS автоматически пытается повторно синхронизировать устройство MFA, запрашивая у вас два последовательных кода MFA (точно так же, как вы это делали во время активация).

Ключи безопасности

U2F не рассинхронизируются и не требуют повторной синхронизации.

В. Мое устройство MFA работает нормально, но я не могу использовать его для входа в Консоль управления AWS. Что я должен делать?
Если вы используете виртуальный или аппаратный MFA, мы рекомендуем вам повторно синхронизировать устройства MFA для учетных данных вашего пользователя IAM. Если вы уже пытались выполнить повторную синхронизацию, но по-прежнему возникают проблемы со входом, вы можете войти в систему, используя альтернативные факторы аутентификации, и сбросить настройки устройства MFA.

Если вы используете ключи безопасности U2F, вы можете войти в систему, используя альтернативные факторы аутентификации, и сбросить настройки устройства MFA.

Если у вас все еще возникают проблемы, свяжитесь с нами для получения помощи.

В. Мое устройство MFA потеряно, повреждено, украдено или не работает, и теперь я не могу войти в Консоль управления AWS. Что я должен делать?
Если ваше устройство MFA связано с корневой учетной записью AWS:

Вы можете сбросить настройки устройства MFA в Консоли управления AWS, сначала войдя в систему со своим паролем, а затем проверив адрес электронной почты и номер телефона, связанные с вашей корневой учетной записью.

Если ваше устройство MFA потеряно, повреждено, украдено или не работает, вы можете войти в систему, используя альтернативные факторы аутентификации, деактивировать устройство MFA и активировать новое устройство MFA. В целях безопасности мы рекомендуем вам изменить пароль учетной записи root.

Если вам нужно новое устройство MFA, вы можете приобрести новое устройство MFA у стороннего поставщика, Yubico или Thales, или подготовить новое виртуальное устройство MFA под своей учетной записью с помощью консоли IAM.

Если вы попробовали предыдущие подходы, но по-прежнему не можете войти в систему, обратитесь в службу поддержки AWS.

В. Как отключить AWS MFA?

Чтобы отключить AWS MFA для своей учетной записи AWS, вы можете деактивировать устройство MFA на странице «Учетные данные безопасности». Чтобы отключить AWS MFA для пользователей IAM, необходимо использовать консоль IAM или интерфейс командной строки AWS.

В. Могу ли я использовать AWS MFA в GovCloud?
Да, вы можете использовать виртуальную MFA AWS и аппаратные устройства MFA в GovCloud.

Доступ к API, защищенный MFA

В. Что такое доступ к API, защищенный MFA?
Доступ к API, защищенный MFA, — это дополнительная функция, которая позволяет администраторам учетных записей применять дополнительную аутентификацию для заданных клиентом API, требуя от пользователей предоставления второго фактора аутентификации в дополнение к паролю. В частности, он позволяет администраторам включать в свои политики IAM условия, которые проверяют и требуют аутентификации MFA для доступа к выбранным API.Пользователи, выполняющие вызовы этих API, должны сначала получить временные учетные данные, указывающие, что пользователь ввел действительный код MFA.

В. Могу ли я использовать свой ключ безопасности U2F с API, защищенными MFA?

Нет. API, защищенные MFA, в настоящее время не поддерживают ключи безопасности U2F.

В. Какую проблему решает доступ к API, защищенный MFA?
Ранее клиенты могли требовать MFA для доступа к Консоли управления AWS, но не могли обеспечить соблюдение требований MFA к разработчикам и приложениям, напрямую взаимодействующим с API сервисов AWS.Доступ к API с защитой MFA гарантирует универсальное применение политик IAM независимо от пути доступа. В результате теперь вы можете разработать собственное приложение, использующее AWS и предлагающее пользователю пройти аутентификацию MFA перед вызовом мощных API-интерфейсов или доступом к конфиденциальным ресурсам.

В. Как начать работу с доступом к API, защищенному MFA?
Вы можете начать работу в два простых шага:

1. Назначьте устройство MFA пользователям IAM. Вы можете приобрести аппаратный брелок или загрузить бесплатное TOTP-совместимое приложение для своего смартфона, планшета или компьютера.Дополнительную информацию об устройствах AWS MFA см. На странице сведений о MFA.
   
2. Включите доступ к API, защищенный MFA, создав политики разрешений для пользователей IAM и / или групп IAM, от которых вы хотите требовать аутентификацию MFA. Чтобы узнать больше о синтаксисе языка политики доступа, см. Документацию по языку политики доступа.

В. Как разработчики и пользователи получают доступ к API и ресурсам, защищенным с помощью доступа к API, защищенного MFA?
Разработчики и пользователи взаимодействуют с доступом к API, защищенным MFA, как в Консоли управления AWS, так и в API.

В Консоли управления AWS любой пользователь IAM с поддержкой MFA должен пройти аутентификацию на своем устройстве для входа в систему. Пользователи, у которых нет MFA, не получают доступа к API и ресурсам, защищенным MFA.

На уровне API разработчики могут интегрировать AWS MFA в свои приложения, чтобы побудить пользователей пройти аутентификацию с помощью назначенных им устройств MFA перед вызовом мощных API или доступом к конфиденциальным ресурсам. Разработчики включают эту функцию, добавляя дополнительные параметры MFA (серийный номер и код MFA) к запросам на получение временных учетных данных безопасности (такие запросы также называются «запросами сеанса»).Если параметры действительны, возвращаются временные учетные данные безопасности, указывающие на статус MFA. Дополнительную информацию см. В документации по временным учетным данным безопасности.

В. Кто может использовать доступ к API, защищенный MFA?
Доступ к API с защитой MFA доступен всем клиентам AWS бесплатно.

В. С какими службами работает доступ к API, защищенный MFA?
Доступ к API с защитой MFA поддерживается всеми сервисами AWS, которые поддерживают временные учетные данные.Список поддерживаемых сервисов см. В разделе «Сервисы AWS, которые работают с IAM» и просмотрите столбец с надписью «Поддерживает временные учетные данные безопасности».

В. Что произойдет, если пользователь предоставит неверную информацию об устройстве MFA при запросе временных учетных данных безопасности?
Запрос на выдачу временных учетных данных не выполняется. Запросы на временные учетные данные безопасности, в которых указаны параметры MFA, должны содержать правильный серийный номер устройства, связанного с пользователем IAM, а также действительный код MFA.

В. Имеет ли защищенный MFA доступ API управления доступом к API для корневых учетных записей AWS?
Нет, доступ к API, защищенный MFA, контролирует доступ только для пользователей IAM. Корневые учетные записи не связаны политиками IAM, поэтому мы рекомендуем вам создавать пользователей IAM для взаимодействия с сервисными API AWS, а не использовать учетные данные корневого аккаунта AWS.

В. Должны ли пользователи иметь назначенное им устройство MFA, чтобы использовать доступ к API с защитой MFA?
Да, пользователю сначала должно быть назначено уникальное оборудование или виртуальное устройство MFA.

В. Совместим ли доступ к API, защищенный MFA, с объектами S3, очередями SQS и темами SNS?
Да.

В. Как доступ к API, защищенный MFA, взаимодействует с существующими вариантами использования MFA, такими как удаление S3 MFA?
Доступ к API с защитой MFA и удаление S3 MFA не взаимодействуют друг с другом. S3 MFA Delete в настоящее время не поддерживает временные учетные данные. Вместо этого вызовы API удаления S3 MFA должны выполняться с использованием долгосрочных ключей доступа.

В. Работает ли доступ к API, защищенный MFA, в регионе GovCloud (США)?
Да.

В. Работает ли доступ к API, защищенный MFA, для федеративных пользователей?
Клиенты не могут использовать доступ к API, защищенный MFA, для управления доступом для федеративных пользователей. API GetFederatedSession не принимает параметры MFA. Поскольку федеративные пользователи не могут проходить аутентификацию с помощью устройств AWS MFA, они не могут получить доступ к ресурсам, назначенным с помощью доступа к API, защищенного MFA.

Стоимость

В. Сколько я буду платить за использование IAM?

IAM — это функция вашего аккаунта AWS, доступная без дополнительной оплаты. С вас будет взиматься плата только за использование другими сервисами AWS вашими пользователями.

Биллинг

Вопрос: Предоставляет ли AWS Billing агрегированные данные об использовании и расходах с разбивкой по пользователям?
Нет, в настоящее время не поддерживается.

В. Сколько стоит услуга IAM?
Нет, это функция вашего аккаунта AWS, которая предоставляется бесплатно.

Вопрос: Кто оплачивает использование, выполняемое пользователями в рамках учетной записи AWS?
Владелец учетной записи AWS контролирует и несет ответственность за все использование, данные и ресурсы в этой учетной записи.

Вопрос: Регистрируется ли оплачиваемая активность пользователей в данных об использовании AWS?
В настоящее время нет. Это планируется в будущем выпуске.

В. Чем отличается IAM от консолидированного биллинга?
IAM и Consolidated Billing являются дополнительными функциями. Consolidated Billing позволяет консолидировать платежи для нескольких аккаунтов AWS в вашей компании, назначив один платежный аккаунт.Объем IAM не связан с консолидированным биллингом. Пользователь существует в пределах учетной записи AWS и не имеет разрешений для связанных учетных записей. Подробнее см. Оплата счетов для нескольких счетов с использованием единого биллинга.

Вопрос: Может ли пользователь получить доступ к платежной информации аккаунтов AWS?
Да, но только если вы им позволите. Чтобы пользователи IAM могли получить доступ к платежной информации, вы должны сначала предоставить доступ к активности учетной записи или отчетам об использовании.Видеть Контроль доступа.

Дополнительные вопросы

В. Что произойдет, если пользователь попытается получить доступ к службе, которая еще не интегрирована с IAM?
Служба возвращает ошибку «Доступ запрещен».

В. Регистрируются ли действия IAM для целей аудита?
Да. Вы можете регистрировать действия IAM, действия STS и входы в Консоль управления AWS, активировав AWS CloudTrail.Чтобы узнать больше о ведении журнала AWS, см. AWS CloudTrail.

Вопрос: Есть ли какое-либо различие между людьми и программными агентами как объектами AWS?
Нет, обе эти сущности рассматриваются как пользователи с учетными данными и разрешениями безопасности. Однако только люди могут использовать пароль в Консоли управления AWS.

Вопрос: Работают ли пользователи с AWS Support Center и Trusted Advisor?
Да, пользователи IAM могут создавать и изменять обращения в службу поддержки, а также использовать Trusted Advisor.

В. Существуют ли ограничения квот по умолчанию, связанные с IAM?
Да, по умолчанию в вашей учетной записи AWS установлены начальные квоты для всех объектов, связанных с IAM. Подробнее см. Ограничения для сущностей и объектов IAM.

Эти квоты могут быть изменены. Если вам требуется увеличение, вы можете получить доступ к На странице «Свяжитесь с нами» заполните форму «Увеличение лимита обслуживания» и выберите «Группы и пользователи IAM» в раскрывающемся списке «Тип лимита».

DEA Форма 225

ИНСТРУКЦИЯ

Эта форма предназначена для новых заявителей. Любое лицо, которое в настоящее время не имеет регистрации DEA для ведения бизнеса с контролируемыми веществами из следующих категорий, может получить доступ к форме заявки. Категории заявителей, которые могут подать заявку с использованием этой формы, — это производители, дистрибьюторы, исследователи, кинологи, аналитические лаборатории, импортеры и экспортеры.

Заполните форму DEA 225 Online (Если возможно, вам рекомендуется использовать систему онлайн-форм, чтобы подать заявку на регистрацию.)

Загрузите форму DEA 225 (PDF) , чтобы подать заявку через почтовую службу США.

Перед тем, как ввести форму, вы можете распечатать страницы с инструкциями (рекомендуется), которые помогут в заполнении формы. После заполнения формы распечатайте, подпишите и отправьте по почте в DEA.

ИНСТРУКЦИЯ

РАЗДЕЛ 1. ИДЕНТИФИКАЦИЯ ЗАЯВИТЕЛЯ

РАЗДЕЛ 2. ДЕЯТЕЛЬНОСТЬ

РАЗДЕЛ 3А.РАСПИСАНИЕ НАРКОТИКОВ

3Б. ТОЛЬКО ПРОИЗВОДИТЕЛИ

3С. КОДЫ РАСПИСАНИЯ

ТАБЛИЦА ГРАФИКОВ И ЛЕКАРСТВЕННЫХ КОДОВ

РАЗДЕЛ 4. ГОСУДАРСТВЕННАЯ ЛИЦЕНЗИЯ

РАЗДЕЛ 5. ОТВЕТСТВЕННОСТЬ

РАЗДЕЛ 6. ИСКЛЮЧЕНИЕ

РАЗДЕЛ 7. СПОСОБ ОПЛАТЫ

РАЗДЕЛ 8. ПОДПИСЬ ЗАЯВИТЕЛЯ

ВЛОЖЕНИЙ:

УВЕДОМЛЕНИЕ ДЛЯ РЕГИСТРАТОРОВ, ПЛАТЯЩИХ ЧЕКОМ

ДОПОЛНИТЕЛЬНАЯ ИНФОРМАЦИЯ

РАЗДЕЛ 1.ИДЕНТИФИКАЦИЯ ЗАЯВИТЕЛЯ

Информация должна быть введена или распечатана в предоставленных блоках, чтобы уменьшить количество ошибок при вводе данных. В адресной строке 1 требуется физический адрес; почтовый ящик или продолжение адреса можно указать в адресной строке 2. Заявитель, освобожденный от уплаты пошлины, должен указать адрес учреждения, освобожденного от пошлины. Кандидат должен ввести действительный номер социального страхования (SSN) или идентификационный номер налогоплательщика (TIN), если подает заявку в качестве юридического лица.

Информация о взыскании долга является обязательной в соответствии с Законом об улучшении взыскания долга от 1996 года.

РАЗДЕЛ 2. ДЕЯТЕЛЬНОСТЬ

Укажите только один. Для каждого вида деловой активности требуется отдельное приложение. Вы должны зарегистрироваться в качестве «производителя», если вы производите контролируемое вещество или перечисляете одно химическое вещество, а затем распространяете его.

РАЗДЕЛ 3А. РАСПИСАНИЕ

Кандидат должен проверить все расписания, которые предстоит обработать. Однако заявитель все равно должен соответствовать государственным требованиям; федеральная регистрация не отменяет ограничений штата.Отметьте поле формы заказа только в том случае, если вы намереваетесь приобрести или передать контролируемые вещества, указанные в таблицах 1 и 2. Бланки заказов будут отправлены на зарегистрированный адрес после выдачи Свидетельства о регистрации.

3Б. ТОЛЬКО ПРОИЗВОДИТЕЛЬ

Отметьте перечень химических / контролируемых веществ, используемых на каждой из перечисленных стадий производства.

3С. КОДЫ РАСПИСАНИЯ

Сообщите все коды химических веществ / лекарств в соответствии с требованиями вашего бизнеса.Производители и импортеры контролируемых веществ должны получить отдельную регистрацию химикатов, если они работают с химическими веществами, отличными от одобренного FDA лекарственного препарата, содержащего 1225, 8112 или 8113.

РАЗДЕЛ 4. ГОСУДАРСТВЕННАЯ ЛИЦЕНЗИЯ

ТРЕБОВАНИЯ К ГОСУДАРСТВЕННОЙ ЛИЦЕНЗИИ ПРАКТИКА

Федеральная регистрация DEA основана на соблюдении заявителем применимых государственных и местных законов. Кандидат должен связаться с местным государственным лицензирующим органом перед заполнением этого заявления.Если в вашем штате требуется лицензия, укажите этот номер в этом заявлении.

РАЗДЕЛ 5. ОТВЕТСТВЕННОСТЬ

Кандидат должен ответить на все четыре вопроса, чтобы заявка была принята в обработку. Если вы ответили «Да» на вопрос, дайте объяснение в отведенном для этого месте. Если вы ответили «Да» на несколько вопросов, вы должны предоставить отдельное объяснение с описанием даты, места, характера и результата каждого инцидента. Если требуется дополнительное место, вы можете прикрепить отдельную страницу.

РАЗДЕЛ 6. ИСКЛЮЧЕНИЕ

Освобождение от уплаты сбора за подачу заявления ограничено должностным лицом или учреждением федерального, государственного или местного правительства. Начальник или должностное лицо заявителя должно подтвердить освобождение от уплаты налогов. Должны быть предоставлены подпись, должность и номер телефона удостоверяющего должностного лица (кроме заявителя). Адрес учреждения, освобожденного от уплаты пошлин, должен быть указан в Разделе 1.

РАЗДЕЛ 7. СПОСОБ ОПЛАТЫ

Укажите желаемый способ оплаты.Сделайте чеки к оплате в «Управление по борьбе с наркотиками». Чеки третьих лиц или чеки, выписанные на иностранные банки, не принимаются. ВЗНОС ВОЗВРАТУ НЕ ВОЗВРАЩАЕТСЯ.

РАЗДЕЛ 8. ПОДПИСЬ ЗАЯВИТЕЛЯ

Кандидат ДОЛЖЕН подписаться в этом разделе, иначе заявка будет возвращена. Подпись держателя карты в разделе 7 не соответствует этому требованию.

ВЛОЖЕНИЕ:

Исследователь или кинолог должен приложить 3 копии протокола, включая биографические данные, для проведения исследования с контролируемыми веществами из Списка 1.Для клинических исследований исследователь должен сначала подать в FDA «Уведомление о заявленном освобождении от исследований для нового лекарства (IND)». Подробности см. На веб-сайте DEA или в CFR 1301.18.

УВЕДОМЛЕНИЕ РЕГИСТРАТОРАМ, ОСУЩЕСТВЛЯЮЩИМ ОПЛАТУ ЧЕКОМ

Разрешение на конвертацию вашего чека :

Если вы отправите нам чек для оплаты, ваш чек будет преобразован в электронный перевод. «Электронный перевод средств» — это термин, используемый для обозначения процесса, при котором мы в электронном виде поручаем вашему финансовому учреждению переводить средства с вашего счета на наш счет, а не обрабатывать ваш чек.Отправляя нам заполненный подписанный чек, вы разрешаете нам скопировать ваш чек и использовать информацию об учетной записи из вашего чека для осуществления электронного перевода средств с вашего счета на ту же сумму, что и чек. Если электронный перевод денежных средств не может быть обработан по техническим причинам, вы разрешаете нам обработать копию вашего чека.

I Недостаточно средств :

Электронный перевод средств с вашего счета обычно происходит в течение 24 часов, что быстрее, чем обычно обрабатывается чек.Поэтому при отправке нам чека убедитесь, что на вашем текущем счете достаточно средств. Если электронный перевод средств не может быть выполнен из-за недостатка средств, мы можем попытаться осуществить перевод еще два раза.

Информация о транзакции :

Электронный перевод средств с вашего счета будет в выписке со счета, которую вы получите от своего финансового учреждения. Однако перевод может быть в другом месте в вашей выписке, чем то место, где обычно появляются ваши чеки.Например, он может отображаться в разделе «другие операции по снятию средств» или «другие транзакции». Вы не получите обратно свой оригинальный чек от своего финансового учреждения. По соображениям безопасности мы уничтожим ваш оригинальный чек, но мы сохраним копию чека для целей учета.

Ваши права :

Вам следует немедленно связаться с вашим финансовым учреждением, если вы считаете, что электронный перевод средств, указанный в выписке по вашему счету, не был должным образом авторизован или является неверным по иным причинам.Потребители имеют защиту в соответствии с федеральным законом, называемым Законом об электронном переводе денежных средств, в случае несанкционированного или неправильного электронного перевода денежных средств.

ДОПОЛНИТЕЛЬНАЯ ИНФОРМАЦИЯ

Регистрация не будет производиться, если не будет получена заполненная форма заявки (21 CFR 1301.13).

В соответствии с Законом о сокращении бумажного документооборота 1995 г., никто не обязан отвечать на сбор информации, если он не отображает действительный контрольный номер OMB.Номер OMB для этой коллекции — 1117-0012. Бремя публичной отчетности для этого сбора информации оценивается в среднем в 12 минут на ответ, включая время на просмотр инструкций, поиск существующих источников данных, сбор и сохранение необходимых данных, а также заполнение и анализ информации.

В соответствии с Законом 1996 года об улучшении сбора долгов (31 U.S.C. §7701) вы должны указать свой идентификационный номер налогоплательщика (TIN) или номер социального страхования (SSN) в этом заявлении.Этот номер необходим для процедуры взыскания долга, если ваш гонорар не подлежит взысканию.

УВЕДОМЛЕНИЕ О КОНФИДЕНЦИАЛЬНОСТИ: Предоставление информации, отличной от вашего SSN или TIN, является добровольным; однако его непредставление препятствует рассмотрению заявки. Правомочиями для сбора этой информации являются §§302 и 303 Закона о контролируемых веществах (CSA) (21 U.S.C. §§822 и 823). Основная цель, для которой будет использоваться информация, — это регистрация заявителей в соответствии с CSA.Информация может быть раскрыта другим федеральным правоохранительным и регулирующим органам в правоохранительных и регулирующих целях, правоохранительным и регулирующим органам штата и местного уровня в правоохранительных и регулирующих целях, а также лицам, зарегистрированным в соответствии с CSA, с целью проверки регистрации. Для получения дополнительных указаний относительно того, как ваша информация может быть использована или раскрыта, а также полный список обычных способов использования этой коллекции, пожалуйста, см. Уведомление о системе регистрации DEA «Регистрационные записи Закона о контролируемых веществах» (DEA-005), 52 FR 47208, 11 декабря 1987 г., с изменениями.

РАСПИСАНИЕ И ЛЕКАРСТВЕННЫЕ КОДЫ

Ниже приведены примеры кодов таблиц 1–5 и списка 1. При необходимости проверьте все коды лекарств и химических веществ, с которыми вы работаете.

Если вы производите вещество в больших объемах, проверьте столбец нерасфасованного продукта после соответствующего кода лекарства.

Для получения дополнительной информации посетите наш веб-сайт www.deadiversion.usdoj.gov , 21 CFR 1308 или позвоните по телефону 1-800-882-9539.

Кинолог	должен отметить график 1
Экспортер	должен отметить все графики 1-5
Импортер	должен пометить все коды таблиц 1-5 и списка 1
Производитель	должен пометить все коды таблиц 1, 2 и списка 1
Дистрибьютор	должен отметить всю таблицу 1, код препарата 2012
Реверсивный распределитель	должен отметить всю таблицу 1, код препарата 2012
Исследователь с Sched 1	должен отметить график 1
Научный сотрудник по схеме 2-5	должен сделать отметку в таблице 2 для производства или импорта в рамках исследования

ПРИЛОЖЕНИЕ 1 НАРКОТИЧЕСКИЕ И НЕ НАРКОТИЧЕСКИЕ		КОД	НАЛИЧИЕ?
	3,4-Метилендиоксиамфетамин (МДА)	7400
	3,4-Метилендиоксиметамфетамин (МДМА)	7405
	4-метил-2,5-диметоксиамфетамин (DOM, STP)	7395
	4-Метиламинорекс (цис-изомер) (U4Euh, McN-422)	1590
	Альфацетилметадол (кроме LAAM)	9603
	Буфотенин (Mappine)	7433
	Марихуана	7360
	Диэтилтриптамин (DET) (	7434
	Дифеноксин 1MG / 25UG AtSO4 / DU (Мотофен)	9167
	Диметилтриптамин (DMT)	7435
	Эторфин (кроме HCL)	9056
	гамма-оксимасляная кислота (GHB)	2010
	Героин (диаморфин)	9200
	Ибогаин	7260
	Диэтиламид лизергиновой кислоты (LSD)	7315
	мескалин	7381
	Марихуана	7360
	Метаквалон (Quaalude)	2565
	Норморфин	9313
	Пейот	7415
	Псилоцибин	7437
	Тетрагидроканнабинолы (THC)	7370
ПРИЛОЖЕНИЕ 2 НАРКОТИЧЕСКИЕ И НЕ НАРКОТИЧЕСКИЕ		КОД	НАЛИЧИЕ?
	Амобарбитал (Амитал, Туинал)	2125
	Амфетамин (Декседрин, Аддералл)	1100
	Кокаин (метилбензоилэкгонин)	9041
	Кодеин (метиловый эфир морфина)	9050
	Декстропропоксифен (навалом)	9273
	Дифеноксилат	9170
	фентанил (дурагезик)	9801
	Гидрокодон (дигидрокодеинон)	9193
	Гидроморфон (Диаудид)	9150
	Лево-альфацетилметадол (LAAM)	9648
	Леворфанол (Levo-Dromoran)	9220
	Меперидин (Демерол, Меперган)	9230
	Метадон (долофин, метадоза)	9250
	Метамфетамин (Дезоксин)	1105
	Метилфенидат (Концерт, Риталин)	1724
	Морфин (MS Contin, Roxanol)	9300
	Опиум порошковый	9639
	Оксикодон (оксиконтин, перкоцет)	9143
	Оксиморфон (Нуморфан)	9652
	Пентобарбитал (навалом) (нембутал)	2270
	фенциклидин (PCP)	7471
	Секобарбитал (Секонал, Туинал)	2315
ПРИЛОЖЕНИЕ 3 НАРКОТИЧЕСКИЕ И НЕ НАРКОТИЧЕСКИЕ		КОД	НАЛИЧИЕ?
	Анаболические стероиды	4000
	Производное барбитуровой кислоты	2100
	Бензфетамин (Дидрекс, Инапетил)	1228
	Бупренорфин (Buprenex, Temgesic)	9064
	Бутабарбитал	2100
	Буталбитал	2100
	Кодеиновый комбинированный продукт (Эмпирин)	9804
	Комбинированный продукт с дигидрокодеином (Compal)	9807
	Дронабинол в мягком кунжутном масле (Маринол)	7369
	Препараты гамма-оксимасляной кислоты (Zyrem)	2012
	Комбинированные продукты Hydrocodone (Lorcet, Vicodin)	9806
	Кетамин (Ketaset, Ketalar)	7285
	Комбинированный продукт с морфином	9810
	Налорфин (Nalline)	9400
	Комбинированный опиумный продукт (Paregoric)	9809
	Дозировка суппозитория пентобарбитала (FP3)	2270
	Фендиметразин (Plegine, Bontril)	1615
	Тиопентал	2100
ПРИЛОЖЕНИЕ 4 НАРКОТИЧЕСКИЕ И НЕ НАРКОТИЧЕСКИЕ		КОД	НАЛИЧИЕ?
	Алпразолам (Xanax	2882
	Барбитал (Веронал, Плексонал)	2145
	Хлоралгидрат (Noctec)	2465
	Хлордиазепоксид (либриум)	2744
	Клоназепам (Клонопин)	2737
	Клоразепат (транксен)	2768
	Диазепам (валиум)	2765
	Флуразепам (Далман)	2767
	Лоразепам (Ативан)	2885
	Мепробамат (Миллтаун, Экванил)	2820
	Мидазолам (Versed)	2884
	Оксазепам (Серакс, Серенид-Д)	2835
	Фенобарбитал (Фастин, Зантрил)	2285
	фентермин	1640
	Темазепам (Ресторил)	2925
	Золпидем (Амбиен, Стильнокс)	2783
ПРИЛОЖЕНИЕ 5 НАРКОТИЧЕСКИЕ И НЕ НАРКОТИЧЕСКИЕ		КОД	НАЛИЧИЕ?
	Препараты кодеина (Робитуссин А-С, Pediacof)	9050
	Пировалерон (Центротон, Тимерджикс)	1485
СПИСОК 1 РЕГУЛИРУЕМЫХ ХИМИЧЕСКИХ ВЕЩЕСТВ ** ТОЛЬКО производители и импортеры могут выбирать Список 1		КОД	НАЛИЧИЕ?
	Эфедрин	8113
	Фенилпропаноламин	1225
	Псевдоэфедрин	8112

ЗАПИСАТЬ ДОПОЛНИТЕЛЬНЫЕ КОДЫ

В этом разделе вы можете указать дополнительные коды лекарств.При необходимости прикрепите отдельный лист.

КОНТАКТНАЯ ИНФОРМАЦИЯ

ИНТЕРНЕТ: www.deadiversion.usdoj.gov

ТЕЛЕФОН: Информационный центр HQ (800) 882-9539

ПИСЬМЕННЫЕ ЗАПРОСЫ: DEA, Attn: Registration Section / DRR, P.O. Box 2639, Springfield, VA 22152-2639.

Все офисы указаны на сайте (номера 800, 877 и 888 бесплатные)

Модели контроля доступа

— UHWO Cyber ​​Security

Справочная информация —

Системы контроля доступа, считающиеся одним из важнейших активов компании, имеют большое значение.Термин «контроль доступа» относится к «контролю доступа к системным ресурсам после того, как учетные данные и личность пользователя были аутентифицированы и доступ к системе был предоставлен». Контроль доступа используется для идентификации субъекта (пользователя / человека) и для авторизации субъекта для доступа к объекту (данным / ресурсу) на основе требуемой задачи. Эти элементы управления используются для защиты ресурсов от несанкционированного доступа и устанавливаются, чтобы гарантировать, что субъекты могут получить доступ к объектам только с использованием безопасных и предварительно утвержденных методов.Три основных типа систем контроля доступа: дискреционный контроль доступа (DAC), контроль доступа на основе ролей (RBAC) и обязательный контроль доступа (MAC).

Дискреционный контроль доступа (DAC) —

DAC — это тип системы контроля доступа, который назначает права доступа на основе правил, установленных пользователями. Принцип DAC заключается в том, что субъекты могут определять, кто имеет доступ к их объектам. Модель DAC использует преимущества списков управления доступом (ACL) и таблиц возможностей.Таблицы возможностей содержат строки с «предметом» и столбцы с «объектом». Ядро безопасности в операционной системе проверяет таблицы, чтобы определить, разрешен ли доступ. Иногда субъект / программа может иметь доступ только для чтения файла; ядро безопасности следит за тем, чтобы не произошло несанкционированных изменений.

Реализация —

Эта популярная модель используется в некоторых из самых популярных операционных систем, например в файловых системах Microsoft Windows.

Рисунок 1 — https: // www.codeproject.com/Articles/10811/The-Windows-Access-Control-Model-Part-4

Управление доступом на основе ролей (RBAC) —

RBAC, также известный как недискреционный контроль доступа, используется, когда системным администраторам необходимо назначить права на основе организационных ролей, а не отдельных учетных записей пользователей в организации. Это дает организации возможность реализовать принцип «наименьших привилегий». Это дает человеку только доступ, необходимый для выполнения его работы, поскольку доступ связан с его работой.

Реализация —

Среды

Windows и Linux используют нечто подобное, создавая «Группы». Каждая группа имеет индивидуальные права доступа к файлам, и каждый пользователь распределяется по группам в зависимости от их рабочей роли. RBAC назначает доступ на основе ролей. Это отличается от групп, поскольку пользователи могут принадлежать к нескольким группам, но им следует назначать только одну роль. Примеры ролей: бухгалтеры, разработчик и другие. Бухгалтер получит доступ только к тем ресурсам, которые потребуются бухгалтеру в системе.Это требует от организации постоянного пересмотра определений ролей и наличия процесса изменения ролей для разделения обязанностей. В противном случае может произойти потеря роли. Распространение ролей — это когда человека переводят на другую работу / группу, и их доступ с предыдущей работы остается за ним.

Рисунок 2 — https://www.docops.ca.com/ca-identity-governance/12-6-02-cr1/EN/getting-started/access-governance-and-rbac

Обязательный контроль доступа (MAC) —

Считается самым строгим из всех уровней систем контроля доступа.Дизайн и реализация MAC обычно используются правительством. Он использует иерархический подход для управления доступом к файлам / ресурсам. В среде MAC доступ к объектам ресурсов контролируется настройками, определенными системным администратором. Это означает, что доступ к объектам ресурсов контролируется операционной системой в зависимости от того, что системный администратор настроил в настройках. Пользователи не могут изменить контроль доступа к ресурсу. MAC использует «метки безопасности» для назначения объектов ресурсов в системе.С этими метками защиты связаны две части информации: классификация (высокий, средний, низкий) и категория (конкретный отдел или проект — указывает «необходимость знать»). Каждой учетной записи пользователя также назначаются свойства классификации и категории. Эта система предоставляет пользователям доступ к объекту, если оба свойства совпадают. Если пользователь имеет высокую классификацию, но не входит в категорию объекта, то он не может получить доступ к объекту. MAC является наиболее безопасным средством контроля доступа, но требует значительного объема планирования и высокого уровня управления системой из-за постоянного обновления объектов и меток учетных записей.

Реализация —

Помимо правительственной реализации MAC, Windows Vista-8 использовала вариант MAC с так называемым обязательным контролем целостности (MIC). Этот тип системы MAC добавил уровни целостности (IL) к процессам / файлам, запущенным в сеансе входа в систему. IL представляет уровень доверия к объекту. Субъектам был присвоен уровень IL, который был присвоен их токену доступа. Уровни IL в MIC были: низкий, средний, высокий и системный. В рамках этой системы доступ к объекту был запрещен, если у пользователя не было такого же уровня доверия или выше, чем у объекта.Windows ограничила пользователя тем, что он не может записывать или удалять файлы с более высоким IL. Сначала он сравнил уровни IL, а затем перешел к проверке списков ACL, чтобы убедиться в наличии правильных разрешений. Эта система использовала системные списки ACL Windows DAC и объединила их с уровнями целостности для создания среды MAC.

Рисунок 3 — https://www.thewindowsclub.com/mandatory-integrity-control

Заключение —

Контроль доступа используется для предотвращения несанкционированного доступа к системным ресурсам.Внедряя системы контроля доступа, подходящие для вашей организации, вы можете лучше управлять своими активами. Системы контроля доступа DAC, RBAC и MAC — это модели, которые использовались для создания систем контроля доступа, обеспечивающих надежность и безопасность. Компаниям с небольшими приложениями будет проще внедрить DAC. Другие лица, обладающие строго конфиденциальной или конфиденциальной информацией, могут решить использовать системы RBAC или MAC.

Источники —

https: //www.tedsystems.com / 3-типы-контроль-доступ-какое-право-здание /

https://www.stor-guard.com/article/types-of-access-control-systems-for-effective-personnel-security-43

https://searchsecurity.techtarget.com/feature/CISSP-online-training-Inside-the-access-control-domain

https://searchsecurity.