本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
管理身份和访问权限的安全控制措施建议
您可以在中创建身份 AWS,也可以连接外部身份源。通过 AWS Identity and Access Management (IAM) 策略,您可以向用户授予必要的权限,以便他们可以访问或管理 AWS 资源和集成应用程序。有效的身份和访问管理有助于验证合适的人员和计算机是否能够在合适的条件下访问合适的资源。Well AWS -Architected Fram ework 提供了管理身份及其权限的最佳实践。最佳实践的示例包括依赖集中式身份提供者和使用强大的登录机制,例如多重身份验证(MFA)。本节中的安全控制措施可以帮助您实施这些最佳实践。
本节中的控制措施:
监控和配置根用户活动的通知
首次创建时 AWS 账户,您首先会使用名为 root 用户的单一登录身份。默认情况下,根用户拥有对该账户中所有 AWS 服务 和资源的完全访问权限。您应该严格控制和监控根用户,并且应仅将其用于需要根用户凭证的任务。
有关更多信息,请参阅以下资源:
-
在 Well-Architect@@ ed Framework 中授予最低权限访问权限 AWS
-
在《 AWS 规范性指南》中@@ 监控 IAM 根用户活动
请勿为根用户创建访问密钥
根用户是 AWS 账户中权限最高的用户。禁用对根用户的编程访问有助于降低无意中暴露用户凭证以及随后云环境遭到破坏的风险。我们建议您创建并使用 IAM 角色作为访问 AWS 账户 和资源的临时凭证。
有关更多信息,请参阅以下资源:
-
AWS Security Hub CSPM 文档中@@ 不应有 IAM 根用户访问密钥
-
IAM 文档中的删除根用户的访问密钥
-
IAM 文档中的 IAM 角色
为根用户启用 MFA
我们建议您为根用户和 IAM 用户启用多重身份验证 (MFA) 设备。 AWS 账户 这将提高 AWS 账户 中的安全门槛,并可以简化访问管理。由于根用户是能够执行特权操作的高权限用户,因此对根用户要求 MFA 至关重要。您可以使用基于时间的一次性密码(TOTP)算法生成数字代码的硬件 MFA 设备、FIDO 硬件安全密钥或虚拟身份验证器应用程序。
2024 年,将需要 MFA 才能访问任何根用户。 AWS 账户有关更多信息,请参阅安全博客中的设计安全:在 2024 年 AWS 提高 MFA 要求
如果可能,我们建议您对根用户使用硬件 MFA 设备。虚拟 MFA 无法提供与硬件 MFA 设备相同的安全水平。您可以在等待硬件购买批准或交付时使用虚拟 MFA。
在管理数百个账户的情况下 AWS Organizations,根据组织的风险承受能力,可能无法扩展为对组织单位 (OU) 中每个账户的根用户使用基于硬件的 MFA。在这种情况下,您可以在 OU 中选择一个账户充当 OU 管理账户,然后禁用该 OU 中其他账户的根用户。默认情况下,OU 管理账户无权访问其他账户。通过提前设置跨账户访问,您可以在紧急情况下从 OU 管理账户访问其他账户。要设置跨账户访问,您可在成员账户中创建一个 IAM 角色,然后定义策略,以便只有 OU 管理账户中的根用户才能担任此角色。有关更多信息,请参阅 IAM 文档中的教程: AWS 账户 使用 IAM 角色委派访问权限。
我们建议您为根用户凭证启用多台 MFA 设备。您最多可以注册 8 台任意组合的 MFA 设备。
有关更多信息,请参阅以下资源:
-
IAM 文档中的启用硬件 TOTP 令牌
-
IAM 文档中的启用虚拟多重身份验证(MFA)设备
-
IAM 文档中的启用 FIDO 安全密钥
-
IAM 文档中的使用多重身份验证(MFA)保护您的根用户登录安全
遵循 IAM 安全最佳实践
IAM 文档包含一系列最佳实践,旨在帮助您保护 AWS 账户 和资源。其包括关于根据最低权限原则配置访问权限和权限的建议。IAM 安全最佳实践的示例包括配置身份联合验证、要求 MFA 和使用临时凭证。
有关更多信息,请参阅以下资源:
-
IAM 文档中的 IAM 的安全防御最佳实操
授予最低权限许可
最低权限是仅授予执行任务所需最低权限的实践。为此,您可以定义在特定条件下可以对特定资源执行的操作。
基于属性的访问权限控制(ABAC)是一种授权策略,该策略基于其标签等属性来定义权限。您可以使用组、身份和资源属性来大规模动态定义权限,而不是为单个用户定义权限。例如,您可以使用 ABAC 允许一组开发人员仅访问具有与其项目关联的特定标签的资源。
有关更多信息,请参阅以下资源:
-
IAM 文档中的应用最低权限许可
-
IAM 文档中的什么是适用于 AWS的 ABAC
在工作负载级别定义权限护栏
最佳实践是使用多账户策略,因为该策略提供了在工作负载级别定义护栏的灵活性。 AWS 安全参考架构提供了有关如何构建账户的规范性指导。这些帐户在中作为一个组织进行管理 AWS Organizations,并将这些帐户分组为组织单位 (OUs)。
AWS Control Tower 等AWS 服务服务可以帮助您集中管理整个组织的控制措施。我们建议您为组织内的每个账户或 OU 定义明确的用途,并根据该目的应用控制措施。 AWS Control Tower 实施预防性、侦查性和主动控制措施,帮助您管理资源并监控合规性。预防性控制措施旨在防止事件发生。侦测性控制措施用于在事件发生后进行检测、记录日志和发出提醒。主动性控制措施旨在通过在资源预调配之前对其进行扫描来防止部署不合规的资源。
有关更多信息,请参阅以下资源:
-
AWS AWS 规范性指南中的@@ 安全参考架构 (AWS SRA)
-
在《 AWS 规范性@@ 指南》 AWS中实施安全控制
定期轮换 IAM 访问密钥
对于需要长期凭证的使用案例,最佳实践是更新访问密钥。我们建议每 90 天或更短时间轮换一次访问密钥。轮换访问密钥可减少他人使用遭盗用账户或已终止账户关联的访问密钥的风险。它还可以防止使用可能已丢失、泄露或被盗的旧密钥进行访问。轮换访问密钥后,请务必更新应用程序。
有关更多信息,请参阅以下资源:
-
IAM 文档中的对于需要长期凭证的用例,应在需要时更新访问密钥
-
使用规范性指导@@ AWS Organizations 和在 “ AWS 规范性指南” AWS Secrets Manager中自动轮换 IAM 用户访问密钥
-
IAM 文档中的更新访问密钥
识别与外部实体共享的资源
外部实体是指 AWS 组织之外的资源、应用程序、服务或用户,例如另一个用户、根用户 AWS 账户、IAM 用户或角色、联合用户、或匿名(或未经身份验证)的用户。 AWS 服务安全最佳实践是使用 IAM Access Analyzer 识别组织和账户中与外部实体共享的资源,例如 Amazon Simple Storage Service(Amazon S3)存储桶或 IAM 角色。这可以帮助您识别对资源和数据的意外访问,此类访问会带来安全风险。
有关更多信息,请参阅以下资源:
-
在 Well-Ar AWS chitected Frame@@ work 中分析公共和跨账户访问权限
-
IAM 文档中的使用 AWS Identity and Access Management Access Analyzer
