# SEC03-BP04 持續減少許可
<a name="sec_permissions_continuous_reduction"></a>

 當團隊和工作負載決定他們需要的存取時，請移除他們不再使用的許可，並建立檢閱程序以達到最低權限的許可。持續監控和減少未使用的身分和許可。 

有時，當團隊和專案剛開始時，您可以選擇授予廣泛存取權 (在開發或測試環境中) 來激發創新和靈活性。我們建議您持續評估存取權，而且尤其在生產環境中，將存取權限制為僅必要許可及達到最低權限。AWS 提供存取權分析功能，以協助您識別未使用的存取權。為了協助您識別未使用的使用者、角色和登入資料，AWS 會分析存取活動，並提供存取金鑰和角色上次使用的資訊。您可以使用 [上次存取的時間戳記](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_access-advisor-view-data.html) 來 [識別未使用的使用者和角色](http://aws.amazon.com/blogs/security/identify-unused-iam-roles-remove-confidently-last-used-timestamp/)，並將其移除。此外，您可以檢閱服務和動作上次存取的資訊，以識別和 [加強特定使用者和角色的許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_access-advisor.html)。例如，您可以使用上次存取的資訊來識別您的應用程式角色所需的特定 Amazon Simple Storage Service (Amazon S3) 動作，並限制只能存取這些動作。這些功能可在AWS 管理主控台中透過程式設計方式提供，讓您能夠將這些功能併入基礎設施工作流程和自動化工具中。

 **若未建立此最佳實務，暴露的風險等級：** 中 

## 實作指引
<a name="implementation-guidance"></a>
+  設定 AWS Identify and Access Management (IAM) Access Analyzer：AWS IAM Access Analyzer 可協助您識別組織和帳戶中與外部實體共用的資源，例如 Amazon Simple Storage Service (Amazon S3) 儲存貯體或 IAM 角色。 
  + [AWS IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html) 

## 資源
<a name="resources"></a>

 **相關文件：** 
+  [屬性型存取控制 (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) 
+  [授予最低權限](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege) 
+  [移除不需要的登入資料](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#remove-credentials) 
+  [制定原則](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage.html) 

 **相關影片：** 
+  [在 60 分鐘內精通 IAM 政策](https://youtu.be/YQsK4MtsELU) 
+  [責任區隔、最低權限、委派和 CI/CD](https://youtu.be/3H0i7VyTu70)