本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
管理身分和存取的安全控制建議
您可以在 中建立身分 AWS,也可以連接外部身分來源。透過 AWS Identity and Access Management (IAM) 政策,您可以授予使用者必要的許可,讓他們可以存取或管理 AWS 資源和整合的應用程式。有效的身分和存取管理有助於驗證適當的人員和機器在適當的條件下可以存取正確的資源。 AWS Well-Architected Framework 提供管理身分及其許可的最佳實務。最佳實務的範例包括依賴集中式身分提供者和使用強大的登入機制,例如多重要素驗證 (MFA)。本節中的安全控制可協助您實作這些最佳實務。
本節中的控制項:
監控和設定根使用者活動的通知
當您第一次建立 時 AWS 帳戶,您會從稱為根使用者的單一登入身分開始。根據預設,根使用者具有帳戶中所有 AWS 服務 和 資源的完整存取權。您應該嚴格控制和監控根使用者,而且只應用於需要根使用者憑證的任務。
如需詳細資訊,請參閱下列資源:
-
在 AWS Well-Architected Framework 中授予最低權限存取權
-
規範指引中的監控 IAM 根使用者活動 AWS
不要為根使用者建立存取金鑰
根使用者是 AWS 帳戶中權限最高的使用者。停用對根使用者的程式設計存取,有助於降低意外暴露使用者登入資料和後續入侵雲端環境的風險。我們建議您建立並使用 IAM 角色做為臨時登入資料,以存取您的 AWS 帳戶 和 資源。
如需詳細資訊,請參閱下列資源:
-
IAM 根使用者存取金鑰不應存在於 AWS Security Hub CSPM 文件中
為根使用者啟用 MFA
建議您為 AWS 帳戶 根使用者和 IAM 使用者啟用多個多重驗證 (MFA) 裝置。這會增加 中的 AWS 帳戶 安全列,並可以簡化存取管理。由於根使用者是可以執行特殊權限動作的高度特殊權限使用者,因此對根使用者要求 MFA 至關重要。您可以使用硬體 MFA 裝置,根據以時間為基礎的一次性密碼 (TOTP) 演算法、FIDO 硬體安全金鑰或虛擬驗證器應用程式產生數值代碼。
在 2024 年,MFA 將需要存取任何 的根使用者 AWS 帳戶。如需詳細資訊,請參閱 AWS 安全部落格中的 Secure by Design: AWS 增強 2024 年的 MFA 要求
如果可能,我們建議您為根使用者使用硬體 MFA 裝置。虛擬 MFA 可能無法提供與硬體 MFA 裝置相同層級的安全。您可以在等待硬體購買核准或交付時使用虛擬 MFA。
在您管理數百個帳戶的情況下 AWS Organizations,視組織的風險承受能力而定,可能無法擴展為組織單位 (OU) 中每個帳戶的根使用者使用硬體型 MFA。在此情況下,您可以選擇 OU 中的一個帳戶做為 OU 管理帳戶,然後停用該 OU 中其他帳戶的根使用者。根據預設,OU 管理帳戶無法存取其他帳戶。透過預先設定跨帳戶存取,您可以在緊急情況下從 OU 管理帳戶存取其他帳戶。若要設定跨帳戶存取,您可以在成員帳戶中建立 IAM 角色,並定義 政策,以便只有 OU 管理帳戶中的根使用者可以擔任此角色。如需詳細資訊,請參閱 IAM 文件中的教學課程: AWS 帳戶 使用 IAM 角色委派跨 的存取權。
建議您為根使用者登入資料啟用多個 MFA 裝置。您可以註冊最多八個任何組合的 MFA 裝置。
如需詳細資訊,請參閱下列資源:
-
在 IAM 文件中啟用硬體 TOTP 字符
-
在 IAM 文件中啟用虛擬多重要素驗證 (MFA) 裝置
-
在 IAM 文件中啟用 FIDO 安全金鑰
遵循 IAM 的安全最佳實務
IAM 文件包含最佳實務清單,旨在協助您保護 AWS 帳戶 和 資源。其中包括根據最低權限原則設定存取和許可的建議。IAM 安全最佳實務的範例包括設定聯合身分、要求 MFA,以及使用臨時登入資料。
如需詳細資訊,請參閱下列資源:
-
搭配 IAM 文件中的AWS 資源使用臨時登入資料
授予最低權限許可
最低權限是僅授予執行任務所需許可的做法。您可以透過定義可在特定條件下對特定資源採取的動作來執行此操作。
屬性型存取控制 (ABAC) 是一種授權策略,可根據屬性定義許可,例如其標籤。您可以使用群組、身分和資源屬性來大規模動態定義許可,而不是定義個別使用者的許可。例如,您可以使用 ABAC 來允許一組開發人員僅存取具有與其專案相關聯之特定標籤的資源。
如需詳細資訊,請參閱下列資源:
-
在 IAM 文件中套用最低權限許可
-
IAM 文件中的 ABAC 是什麼 AWS
在工作負載層級定義許可護欄
最佳實務是使用多帳戶策略,因為它提供在工作負載層級定義護欄的彈性。 AWS 安全參考架構提供有關如何建構帳戶的規範性指導。這些帳戶在 中以組織形式管理AWS Organizations,並將帳戶分組為組織單位 (OUs)。
AWS 服務等 AWS Control Tower可協助您集中管理整個組織的控制項。我們建議您定義組織內每個帳戶或 OU 的明確用途,並根據該用途套用控制。 AWS Control Tower 實作預防性、偵測性和主動性控制,協助您管理資源並監控合規性。預防性控制旨在防止事件發生。偵測性控制項的設計目的是在事件發生後偵測、記錄和提醒。主動控制旨在防止部署不合規的資源,方法是在佈建資源之前對其進行掃描。
如需詳細資訊,請參閱下列資源:
-
方案指引中的AWS 安全參考架構 (AWS SRA) AWS
-
關於 文件中的 中的控制項 AWS Control Tower AWS Control Tower
-
AWS 規範指引中的在 上實作安全控制 AWS
-
AWS 安全部落格中的使用服務控制政策,在 AWS Organization 中的帳戶間設定許可防護機制
定期輪換 IAM 存取金鑰
最佳實務是針對需要長期憑證的使用案例更新存取金鑰。我們建議每 90 天或更短時間輪換存取金鑰。輪換存取金鑰可降低使用與遭入侵或終止帳戶相關聯的存取金鑰的風險。它還可以使用可能遺失、洩露或遭竊的舊金鑰來防止存取。輪換存取金鑰後,一律更新應用程式。
如需詳細資訊,請參閱下列資源:
-
針對 IAM 文件中需要長期憑證的使用案例,視需要更新存取金鑰
-
使用 AWS 規範指引中的 AWS Organizations 和 大規模自動輪換 IAM 使用者存取金鑰 AWS Secrets Manager
識別與外部實體共用的資源
外部實體是 AWS 組織外部的資源、應用程式、服務或使用者,例如另一個 AWS 帳戶、根使用者、IAM 使用者或角色、聯合身分使用者 AWS 服務、 或匿名 (或未驗證) 使用者。安全最佳實務是使用 IAM Access Analyzer 來識別組織和帳戶中與外部實體共用的資源,例如 Amazon Simple Storage Service (Amazon S3) 儲存貯體或 IAM 角色。這可協助您識別意外存取資源和資料,這是安全風險。
如需詳細資訊,請參閱下列資源:
-
在 AWS Well-Architected Framework 中分析公有和跨帳戶存取
-
在 IAM 文件中使用 AWS Identity and Access Management Access Analyzer
