# SEC03-BP02 授予最低访问权限
通过允许在特定条件下访问特定 AWS 资源上的特定操作,仅授予身份所需的访问权限。依靠组和身份属性来大规模动态设置权限,而不是为单个用户定义权限。例如,您可以允许一组开发人员访问,以便仅管理其项目的资源。这样,当开发人员被从组中移除时,开发人员的访问权限将在使用该组进行访问控制的任何位置被撤消,而无需对访问策略进行任何更改。
**常见反模式:**
+ 默认为向用户授予管理员权限。
+ 使用根账户进行日常活动。
**未建立这种最佳实践的情况下暴露的风险等级:** 高
## 实施指导
建立 [最小权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege) 原则可确保身份只能执行完成特定任务所需的最小功能集,同时实现可用性和效率的平衡。按照此原则进行操作可以限制意外访问,并有助于确保您能够审计哪些用户有权访问哪些资源。在 AWS 中,默认情况下,身份不具有任何权限(根用户除外)。根用户的凭证应受到严格控制,并且应该仅用于少数 [特定任务](https://docs.aws.amazon.com/general/latest/gr/aws_tasks-that-require-root.html)。
您可以使用策略来明确授予附加到 IAM 或资源实体的权限,例如联合身份或计算机所使用的 IAM 角色或者某些资源(例如 S3 存储桶)。当您创建并附加策略时,您可以指定服务操作、资源以及为使 AWS 允许访问而必须满足的条件。AWS 支持多种条件以帮助您缩小访问权限范围。例如,使用 `PrincipalOrgID` [条件键](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)时,将会验证 AWS Organizations 的标识符,以便能够授权在您的 AWS 组织内访问。
您还可以控制 AWS 服务代表您发出的请求,例如要求 AWS CloudFormation 创建一个 AWS Lambda 函数,方法是使用 `CalledVia` 条件键。您应该对不同的策略类型进行分层,以有效地限制账户内的总体权限。例如,您可以允许应用程序团队创建他们自己的 IAM 策略,但使用 [权限边界](https://aws.amazon.com/blogs/security/delegate-permission-management-to-developers-using-iam-permissions-boundaries/) 来限制他们可以授予的最高权限。
有几种 AWS 功能有助于您扩展权限管理并遵守最低权限原则。[基于属性的访问控制](https://aws.amazon.com/blogs/security/delegate-permission-management-to-developers-using-iam-permissions-boundaries/) 允许您根据资源 *[标签](https://docs.aws.amazon.com/whitepapers/latest/tagging-best-practices/tagging-best-practices.html)* 来限制权限,从而根据应用于资源的标签和调用的 IAM 主体做出授权决定。这使您能够将标记和权限策略结合使用,以实现精细的资源访问,而无需许多自定义策略。
另一种加速创建最低权限策略的方法是,在活动运行后基于 CloudTrail 权限生成策略。[IAM Access Analyzer 会自动基于活动生成 IAM 策略](https://aws.amazon.com/blogs/security/delegate-permission-management-to-developers-using-iam-permissions-boundaries/)。您也可以在组织或个人账户级别,使用 IAM Access Advisor [来跟踪上次获取的关于某个具体策略的信息](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_access-advisor.html)。
确立一种节奏,按此节奏查看这些详细信息并删除不需要的权限。您应在 AWS 组织内建立权限防护机制,以控制任何成员账户中的最高权限。诸如 [AWS Control Tower 这样的服务具有规范性的托管式预防控制机制,](https://docs.aws.amazon.com/controltower/latest/userguide/guardrails.html) 并允许您定义自己的控制机制。
## 资源
**相关文档:**
+ [IAM 实体的权限边界](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html)
+ [用于编写最低权限 IAM 策略的方法](https://aws.amazon.com/blogs/security/techniques-for-writing-least-privilege-iam-policies/)
+ [通过基于访问活动生成的 IAM 策略,IAM Access Analyzer 可让您更轻松实施最低权限](https://aws.amazon.com/blogs/security/iam-access-analyzer-makes-it-easier-to-implement-least-privilege-permissions-by-generating-iam-policies-based-on-access-activity/)
+ [使用上次获取的信息来细化权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_access-advisor.html)
+ [IAM 策略类型及其使用时间](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html)
+ [使用 IAM 策略模拟器测试 IAM 策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_testing-policies.html)
+ [AWS Control Tower 中的防护机制](https://docs.aws.amazon.com/controltower/latest/userguide/guardrails.html)
+ [零信任架构:AWS 视角](https://aws.amazon.com/blogs/security/zero-trust-architectures-an-aws-perspective/)
+ [如何使用 CloudFormation StackSets 实施最低权限原则](https://aws.amazon.com/blogs/security/how-to-implement-the-principle-of-least-privilege-with-cloudformation-stacksets/)
**相关视频:**
+ [新一代权限管理](https://www.youtube.com/watch?v=8vsD_aTtuTo)
+ [零信任:AWS 视角](https://www.youtube.com/watch?v=1p5G1-4s1r0)
+ [如何使用权限边界限制 IAM 用户和角色以防止权限升级?](https://www.youtube.com/watch?v=omwq3r7poek)
**相关示例:**
+ [实验室:创建 IAM 权限边界委派角色](https://wellarchitectedlabs.com/Security/300_IAM_Permission_Boundaries_Delegating_Role_Creation/README.html)