# SEC 2 如何管理人員和機器的身份驗證?
處理操作安全的 AWS 工作負載時,您需要管理兩種身分類型。了解您需要管理和授予存取權的身分類型,有助於確保正確的身分在適當的條件下存取正確的資源。
人員身分:您的管理員、開發人員、操作員和最終使用者需要身分才能存取您的 AWS 環境和應用程式。這些人是組織的成員,或與您協作的外部使用者,以及透過 Web 瀏覽器、用戶端應用程式或互動式命令列工具與 AWS 資源互動的使用者。
機器身分:您的服務應用程式、操作工具和工作負載需要身分,才能向 AWS 服務發出請求,例如讀取資料。這些身份包括在 AWS 環境中執行的機器,例如 Amazon EC2 執行個體或 AWS Lambda 函數。您也可以為需要存取權的外部人員管理機器身分。此外,您可能也有在 AWS 外部,需要存取 AWS 環境的機器。
**Topics**
+ [SEC02-BP01 使用強式登入機制](sec_identities_enforce_mechanisms.md)
+ [SEC02-BP02 使用臨時登入資料](sec_identities_unique.md)
+ [SEC02-BP03 安全地存放和使用機密](sec_identities_secrets.md)
+ [SEC02-BP04 倚賴集中化的身分提供者](sec_identities_identity_provider.md)
+ [SEC02-BP05 定期稽核和輪換登入資料](sec_identities_audit.md)
+ [SEC02-BP06 利用使用者群組和屬性](sec_identities_groups_attributes.md)
# SEC02-BP01 使用強式登入機制
強制執行密碼長度下限,並教育使用者避免使用常見密碼或重複使用密碼。透過軟體或硬體機制強制使用 Multi-Factor Authentication (MFA),以提供額外的驗證保護層。例如,使用 IAM Identity Center 作為身份來源時,請進行 MFA 的「內容感知」或「永遠啟用」設定,並允許使用者註冊自己的 MFA 裝置以加速採用。使用外部身份提供者 (IdP) 時,設定您的 MFA 的 IdP。
**若未建立此最佳實務,暴露的風險等級:** 高
## 實作指引
+ 建立 Identify and Access Management (IAM) 政策來強制執行 MFA 登入:建立一個客戶管理的 IAM 政策,禁止所有 IAM 動作,除了允許使用者在下列頁面上假設角色、變更自己的登入資料,以及管理 MFA 裝置: [My Security Credentials (我的安全登入資料)](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_users-self-manage-mfa-and-creds.html#tutorial_mfa_step1)。
+ 在您的身分供應商中啟用 MFA:在您使用的身分供應商或單一登入服務中啟用 [MFA](https:/aws.amazon.com/iam/details/mfa) ,例如 [AWS IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/step1.html)。
+ 設定強式密碼政策:將強式 [密碼政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_account-policy.html?ref=wellarchitected) 設定於 IAM 和聯合身分系統中,以協助防範暴力密碼破解攻擊。
+ [定期輪換登入資料](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#rotate-credentials):確保工作負載的管理員會定期變更其密碼和存取金鑰 (若使用)。
## 資源
**相關文件:**
+ [AWS Secrets Manager 入門](https://docs.aws.amazon.com/secretsmanager/latest/userguide/getting-started.html)
+ [IAM 最佳實務](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)
+ [身份提供者與聯合](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers.html)
+ [AWS 帳戶根使用者](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html?ref=wellarchitected)
+ [AWS Secrets Manager 入門](https://docs.aws.amazon.com/secretsmanager/latest/userguide/getting-started.html?ref=wellarchitected)
+ [暫時安全登入資料](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html?ref=wellarchitected)
+ [安全合作夥伴解決方案:存取與存取控制](https://aws.amazon.com/security/partner-solutions/#access-control)
+ [暫時安全登入資料](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html)
+ [AWS 帳戶根使用者](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html)
**相關影片:**
+ [大規模管理、擷取和輪換密碼的最佳實務](https://youtu.be/qoxxRlwJKZ4)
+ [使用 IAM Identity Center 大規模管理使用者許可](https://youtu.be/aEIqeFCcK7E)
+ [在每一層都能掌握身份](https://www.youtube.com/watch?v=vbjFjMNVEpc)
# SEC02-BP02 使用臨時登入資料
需要身份才能動態取得 [臨時登入資料](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp_request.html)。若是人力身份,請使用 AWS IAM Identity Center 或與 AWS Identity and Access Management (IAM) 角色聯合來存取 AWS 帳戶。若是機器身份,例如 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體或 AWS Lambda 函數,需要使用 IAM 角色,而不是具有長期存取金鑰的 IAM 使用者。
若是使用 AWS 管理主控台的人類身份,需要使用者取得臨時登入資料並聯合至 AWS。您可以使用 AWS IAM Identity Center 使用者入口網站來執行此動作。針對需要 CLI 存取權的使用者,請確定他們使用 [AWS CLI v2](http://aws.amazon.com/blogs/developer/aws-cli-v2-is-now-generally-available/),其支援與 IAM Identity Center 的直接整合。使用者可以建立連結至 IAM Identity Center 帳戶和角色的 CLI 設定檔。CLI 會自動從 IAM Identity Center 擷取 AWS 登入資料,並代您重新整理。這樣就無需從 IAM Identity Center 主控台複製並貼上臨時 AWS 登入資料。針對 SDK,使用者應倚賴 AWS Security Token Service (AWS STS) 來擔任角色,以接收臨時登入資料。在某些情況下,臨時登入資料可能並不實用。您應注意存放存取金鑰的風險,經常輪換這些金鑰,並盡可能要求多重要素驗證 (MFA) 作為條件。使用上次存取的資訊來決定何時輪換或移除存取金鑰。
若您需要授予取用者存取 AWS 資源,請使用 [Amazon Cognito](https://docs.aws.amazon.com/cognito/latest/developerguide/role-based-access-control.html) 身份集區,並為其指派一組臨時、有限權限的登入資料來存取您的 AWS 資源。每個使用者的許可都是透過您建立的 [IAM 角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) 來控制。您可以定義規則,根據使用者 ID 字符中的宣告,為每個使用者選擇角色。您可以對已驗證使用者定義預設角色。您還可以對未驗證訪客使用者定義具有限制許可的 IAM 角色。
若是機器身份,您應倚賴 IAM 角色來授予 AWS 存取權。若是 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體,您可以使用 [Amazon EC2 的角色。](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-ec2.html)。您可以將 IAM 角色連接至 Amazon EC2 執行個體,讓在 Amazon EC2 上執行的應用程式能夠使用 AWS 透過執行個體中繼資料服務 (IMDS) 自動建立、分發和輪換的臨時安全登入資料。AWS Well-Architected [最新版本](https://aws.amazon.com/blogs/security/defense-in-depth-open-firewalls-reverse-proxies-ssrf-vulnerabilities-ec2-instance-metadata-service/) 的 IMDS 可協助防範暴露臨時登入資訊的漏洞,並應實作。若要使用金鑰或密碼存取 Amazon EC2 執行個體,[AWS Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/what-is-systems-manager.html) 是一種更安全的方式,可使用預先安裝的代理程式存取和管理執行個體,而無須使用存放的密碼。此外,AWS Lambda 等其他 AWS 服務可讓您設定 IAM 服務角色,授予使用臨時登入資料執行 AWS 動作的服務許可。在您無法使用臨時登入資料的情況下,請使用程式設計工具,例如 [AWS Secrets Manager](https://aws.amazon.com/secrets-manager/),來自動輸換和管理登入資料。
**定期稽核和輪換登入資料: **定期驗證 (最好是透過自動化工具) 是確認強制執行正確的控制項的必要項目。若是人類身份,您應要求使用者定期變更密碼,並使用臨時登入資料淘汰存取金鑰。當您從 IAM 使用者移至集中式身份時,可以 [產生登入資料報告 ](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_getting-report.html)來稽核您的 IAM 使用者。我們也建議您在身份供應商中強制執行 MFA 設定。您可以設定 [AWS Config 規則](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html) 來監控這些設定。若是機器身份,您應倚賴使用 IAM 角色的臨時登入資料。在無法執行此操作的情況下,需要頻繁稽核和輪換存取金鑰。
**安全地存放和使用機密:** 針對與 IAM 無關且無法利用臨時登入資料的登入資料,例如資料庫登入,請使用專為處理機密管理而設計的服務,例如 [Secrets Manager](https://aws.amazon.com/secrets-manager/)。Secrets Manager 讓您能夠使用 [支援的服務](https://docs.aws.amazon.com/secretsmanager/latest/userguide/integrating.html)。為了稽核目的,存取機密的叫用會記錄在 AWS CloudTrail 中,而 IAM 許可能夠授予對這些機密的最低存取權。
**若未建立此最佳實務,暴露的風險等級:** 高
## 實作指引
+ 實作最低權限政策:將具有最低權限的存取政策指派給 IAM 群組和角色,以反映您已定義的使用者角色或職能。
+ [授予最低權限](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege)
+ 移除不需要的權限:透過移除不必要的許可來實作最低權限。
+ [透過查看使用者活動來縮小政策範圍](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_access-advisor.html)
+ [檢視角色存取](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html#roles-delete_prerequisites)
+ 考慮使用許可界限:許可界限是使用受管政策的進階功能,可設定以身分為基礎的政策可授與 IAM 實體的最大許可。實體的許可界限只允許執行其以身分為基礎的政策和許可界限同時允許的動作。
+ [實驗室:IAM 許可邊界委派角色建立](https://wellarchitectedlabs.com/Security/300_IAM_Permission_Boundaries_Delegating_Role_Creation/README.html)
+ 考慮使用資源標籤的許可:您可以使用標籤來控制對支援標記之 AWS 資源的存取。您也可以標記 IAM 使用者和角色,以控制他們可以存取的內容。
+ [實驗室:EC2 的 IAM 標籤型存取控制](https://wellarchitectedlabs.com/Security/300_IAM_Tag_Based_Access_Control_for_EC2/README.html)
+ [屬性型存取控制 (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)
## 資源
**相關文件:**
+ [AWS Secrets Manager 入門](https://docs.aws.amazon.com/secretsmanager/latest/userguide/getting-started.html)
+ [IAM 最佳實務](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)
+ [身份提供者與聯合](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers.html)
+ [安全合作夥伴解決方案:存取與存取控制](https://aws.amazon.com/security/partner-solutions/#access-control)
+ [暫時安全登入資料](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html)
+ [AWS 帳戶根使用者](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html)
**相關影片:**
+ [大規模管理、擷取和輪換密碼的最佳實務](https://youtu.be/qoxxRlwJKZ4)
+ [使用 AWS IAM Identity Center 大規模管理使用者許可](https://youtu.be/aEIqeFCcK7E)
+ [在每一層都能掌握身份](https://www.youtube.com/watch?v=vbjFjMNVEpc)
# SEC02-BP03 安全地存放和使用機密
對於需要第三方應用程式密碼等機密的人力和機器身分,請在專業服務中使用最新的產業標準,以自動輪換的方式存放機密,例如對於與 IAM 無關且無法利用臨時登入資料的登入資料,例如資料庫登入,請使用專為處理機密管理而設計的服務,例如 AWS Secrets Manager。Secrets Manager 讓您能夠使用支援的服務輕鬆管理、輪換和安全地存放加密機密。為了稽核目的,存取機密的叫用會記錄在 AWS CloudTrail 中,而 IAM 許可能夠授予對這些機密的最低存取權。
**若未建立此最佳實務,暴露的風險等級:** 高
## 實作指引
+ 使用 AWS Secrets Manager: [AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/intro.html) 是一項 AWS 服務,可讓您更輕鬆地管理機密。機密可以是資料庫登入資料、密碼、第三方 API 金鑰,甚至是任意文字。
## 資源
**相關文件:**
+ [AWS Secrets Manager 入門 ](https://docs.aws.amazon.com/secretsmanager/latest/userguide/getting-started.html)
+ [身份提供者與聯合](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers.html)
**相關影片:**
+ [大規模管理、擷取和輪換密碼的最佳實務](https://youtu.be/qoxxRlwJKZ4)
# SEC02-BP04 倚賴集中化的身分提供者
若是人力身份,請倚賴可讓您在集中位置管理身份的身份供應商。因為您從單一位置建立、管理和撤銷存取權,因此這可讓您更輕鬆地管理多個應用程式和服務之間的存取。例如,若有人離開您的組織,您可從一個位置撤銷所有應用程式和服務 (包括 AWS) 的存取權。這可減少多個登入資料的需求,並提供與現有人力資源 (HR) 程序整合的機會。
針對與個別 AWS 帳戶的聯合,您可以透過 SAML 2.0 供應商使用 AWS 的集中化身份,並搭配 AWS Identity and Access Management。您可以使用與下列通訊協定相容的任何供應商,無論是由您在 AWS 中、AWS 外部託管,還是由 AWS Partner 提供: [SAML 2.0](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_saml.html) 通訊協定。您可以使用 AWS 帳戶與所選供應商之間的聯合,透過使用 SAML 聲明取得臨時安全登入資料,授予使用者或應用程式叫用 AWS API 操作的存取權。此外還支援 Web 型單一登入,讓使用者能夠從您的登入網站登入 AWS 管理主控台。
針對與 AWS Organizations 中多個帳戶的聯合,您可以在 [AWS IAM Identity Center (IAM Identity Center)](http://aws.amazon.com/single-sign-on/)中設定您的身份來源,並指定使用者和群組的存放位置。設定好之後,您的身份供應商即真實來源,而資訊可以使用跨網域身份管理系統 (SCIM) v2.0 通訊協定來 [同步](https://docs.aws.amazon.com/singlesignon/latest/userguide/provision-automatically.html) 。然後,您可以查詢使用者或群組,並授予他們對 AWS 帳戶、雲端應用程式或兩者的IAM Identity Center存取權。
IAM Identity Center 與 AWS Organizations 整合,讓您只需設定身份供應商一次,然後即可將 [存取權授予組織中管理的現有及新帳戶](https://docs.aws.amazon.com/singlesignon/latest/userguide/useraccess.html) 。IAM Identity Center 為您提供預設存放區,這可用於管理使用者和群組。若您選擇使用 IAM Identity Center 存放區,則建立使用者和群組,並將其存取層級指派給您的 AWS 帳戶和應用程式,並記住最低權限的最佳實務。或者,您可以選擇使用 SAML 2.0 [連線至您的外部身份供應商 ](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-identity-source-idp.html), [或使用](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-identity-source-ad.html) AWS Directory Service 連線至您的 Microsoft AD 目錄。設定好之後,您可以透過中央身分提供者進行身分驗證,登入 AWS 管理主控台 或 AWS 行動應用程式。
若要管理工作負載的最終使用者或取用者,例如行動應用程式,您可以使用 [Amazon Cognito](http://aws.amazon.com/cognito/)。它可為您的 Web 和行動應用程式提供身份驗證、授權和使用者管理。您的使用者可以憑使用者名稱和密碼直接登入,或透過第三方 (例如 Amazon、Apple、Facebook 或 Google) 登入。
**若未建立此最佳實務,暴露的風險等級為:** 高
## 實作指引
+ 集中管理存取:建立 Identity and Access Management (IAM) 身分提供者實體,以在您的 AWS 帳戶 與您的身分提供者 (IdP) 之間建立信任的關係。IAM 支援與 OpenID Connect (OIDC) 或 SAML 2.0 (安全聲明標記語言 2.0) 相容的 IdP。
+ [身份提供者與聯合](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers.html)
+ 集中應用程式存取:考慮使用 Amazon Cognito 集中存取應用程式。它可讓您快速輕鬆地將使用者註冊、登入和存取控制新增到 Web 和行動應用程式。 [Amazon Cognito](https://aws.amazon.com/cognito/) 可擴展到數百萬使用者,並支援透過 SAML 2.0 使用社交身分提供者 (例如 Facebook、Google 和 Amazon) 以及企業身分提供者進行登入。
+ 移除舊的 IAM 使用者與群組:在您開始使用身分提供者 (IdP) 後,請移除不再需要的 IAM 使用者與群組。
+ [尋找未使用的登入資料](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_finding-unused.html)
+ [刪除 IAM 群組](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups_manage_delete.html)
## 資源
**相關文件:**
+ [IAM 最佳實務](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)
+ [安全合作夥伴解決方案:存取與存取控制](https://aws.amazon.com/security/partner-solutions/#access-control)
+ [暫時安全登入資料](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html)
+ [AWS 帳戶根使用者](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html)
**相關影片:**
+ [大規模管理、擷取和輪換密碼的最佳實務](https://youtu.be/qoxxRlwJKZ4)
+ [使用 AWS IAM Identity Center 大規模管理使用者許可](https://youtu.be/aEIqeFCcK7E)
+ [在每一層都能掌握身份](https://www.youtube.com/watch?v=vbjFjMNVEpc)
# SEC02-BP05 定期稽核和輪換登入資料
當您無法倚賴臨時登入資料且需要長期登入資料時,請稽核登入資料以確保定義的控制 (例如 多重要素驗證 (MFA)) 會定期強制執行、輪換,且具有適當的存取層級。定期驗證 (最好是透過自動化工具) 是確認強制執行正確的控制項的必要項目。若是人類身份,您應要求使用者定期變更密碼,並使用臨時登入資料淘汰存取金鑰。當您從 AWS Identity and Access Management (IAM) 使用者移至集中式身份時,可以 [產生登入資料報告 ](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_getting-report.html)來稽核您的 IAM 使用者。我們也建議您在身份供應商中強制執行 MFA 設定。您可以設定 [AWS Config 規則](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html) 來監控這些設定。若是機器身份,您應倚賴使用 IAM 角色的臨時登入資料。在無法執行此操作的情況下,需要頻繁稽核和輪換存取金鑰。
**若未建立此最佳實務,暴露的風險等級為:** 中
## 實作指引
+ 定期稽核登入資料:使用登入資料報告和 Identify and Access Management (IAM) Access Analyzer,來稽核 IAM 登入資料和許可。
+ [IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html)
+ [獲取登入資料報告](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_getting-report.html)
+ [實驗室:自動化 IAM 使用者清除](https://wellarchitectedlabs.com/Security/200_Automated_IAM_User_Cleanup/README.html?ref=wellarchitected-tool)
+ 使用存取層級來檢閱 IAM 許可:為了改善 AWS 帳戶的安全性,請定期檢閱和監控每個 IAM 政策。請確定您的政策授予僅執行必要動作所需的最低權限。
+ [使用存取層級來檢閱 IAM 許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#use-access-levels-to-review-permissions)
+ 考慮自動化 IAM 資源建立和更新:AWS CloudFormation 可以用來自動化 IAM 資源 (包括角色和政策) 的部署,以減少人為錯誤,因為範本可以進行驗證和進行版本控制。
+ [實驗室:IAM 群組和角色的自動部署](https://wellarchitectedlabs.com/Security/200_Automated_Deployment_of_IAM_Groups_and_Roles/README.html)
## 資源
**相關文件:**
+ [AWS Secrets Manager 入門](https://docs.aws.amazon.com/secretsmanager/latest/userguide/getting-started.html)
+ [IAM 最佳實務](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)
+ [身份提供者與聯合](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers.html)
+ [安全合作夥伴解決方案:存取與存取控制](https://aws.amazon.com/security/partner-solutions/#access-control)
+ [暫時安全登入資料](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html)
**相關影片:**
+ [大規模管理、擷取和輪換密碼的最佳實務](https://youtu.be/qoxxRlwJKZ4)
+ [使用 AWS IAM Identity Center 大規模管理使用者許可](https://youtu.be/aEIqeFCcK7E)
+ [在每一層都能掌握身份](https://www.youtube.com/watch?v=vbjFjMNVEpc)
# SEC02-BP06 利用使用者群組和屬性
隨著您管理的使用者人數增加,您需要確定整理使用者的方式,以便大規模管理使用者。將具有共同安全需求的使用者放在身分供應商定義的群組中,並設置機制,以確保可用於存取控制的使用者屬性 (例如,部門或位置) 正確並已更新。使用這些群組和屬性 (而非個別使用者) 來控制存取權。這可讓您透過 [許可集合](https://docs.aws.amazon.com/singlesignon/latest/userguide/permissionsets.html)一次變更使用者的群組成員資格或屬性集中管理存取權,而不是在使用者存取需求變更時更新許多個別政策。您可以使用 AWS IAM Identity Center (IAM Identity Center) 來管理使用者群組和屬性。IAM Identity Center 支援最常用的屬性,無論是在使用者建立期間手動輸入,還是使用同步引擎自動佈建,例如 System for Cross-Domain Identity Management (SCIM) 規格中所定義。
將具有共同安全需求的使用者放在身分供應商定義的群組中,並設置機制,以確保可用於存取控制的使用者屬性 (例如,部門或位置) 正確並已更新。使用這些群組和屬性 (而非個別使用者) 來控制存取情形。這可讓您透過一次變更使用者的群組成員資格或屬性集中管理存取權,而不是在使用者存取需求變更時更新許多個別政策。
**若未建立此最佳實務,暴露的風險等級為:** 低
## 實作指引
+ 如果您是使用 AWS IAM Identity Center (IAM Identity Center),請設定群組:IAM Identity Center 可讓您設定使用者群組,並將所需的許可層級指派給群組。
+ [AWS 單一登入 - 管理身分](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-identity-source-sso.html)
+ 了解屬性型存取控制 (ABAC):ABAC 是一種授權策略,可根據屬性定義許可。
+ [什麼是 ABAC for AWS?](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)
+ [實驗室:EC2 的 IAM 標籤型存取控制](https://www.wellarchitectedlabs.com/Security/300_IAM_Tag_Based_Access_Control_for_EC2/README.html)
## 資源
**相關文件:**
+ [AWS Secrets Manager 入門](https://docs.aws.amazon.com/secretsmanager/latest/userguide/getting-started.html)
+ [IAM 最佳實務](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)
+ [身份提供者與聯合](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers.html)
+ [AWS 帳戶根使用者](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html)
**相關影片:**
+ [大規模管理、擷取和輪換密碼的最佳實務](https://youtu.be/qoxxRlwJKZ4)
+ [使用 AWS IAM Identity Center 大規模管理使用者許可](https://youtu.be/aEIqeFCcK7E)
+ [在每一層都能掌握身份](https://www.youtube.com/watch?v=vbjFjMNVEpc)
**相關範例:**
+ [實驗室:EC2 的 IAM 標籤型存取控制](https://www.wellarchitectedlabs.com/Security/300_IAM_Tag_Based_Access_Control_for_EC2/README.html)