本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

主题 4：管理身份

稳健的身份和权限管理是管理云安全的关键方面。强大的身份实践如何在必要的访问权限和最低权限之间取得平衡。这有助于开发团队在不影响安全性的情况下快速行动。

使用身份联合验证来集中管理身份。这样一来，由于可以从一个位置管理访问权限，因此更容易管理跨多个应用程序和服务的访问权限。这也可以帮助您实现临时权限和多重身份验证（MFA）。

仅向用户授予他们执行任务所需的权限。 AWS Identity and Access Management Access Analyzer 可以验证策略并验证公共和跨账户访问。 AWS Organizations 服务控制策略 (SCPs)、IAM 策略条件、IAM 权限边界和 AWS IAM Identity Center 权限集等功能可以帮助您配置精细访问控制 (F GAC)。

进行任何类型的身份验证时，最好使用临时凭证来减少或消除风险，例如凭证被无意泄露、共享或被盗。使用 IAM 角色而不是 IAM 用户。

使用强大的登录机制（例如 MFA）来减小登录凭证被无意泄露或很容易猜到的风险。根用户需要 MFA，您也可以在联合身份验证级别要求 MFA。如果不可避免地使用 IAM 用户，请强制执行 MFA。

要监控和报告合规性，您必须不断努力减少权限，监控来自 IAM 访问权限分析器的调查发现，并删除未使用的 IAM 资源。使用 AWS Config 规则来确保强制使用强大的登录机制、证书的有效期以及使用 IAM 资源。

Well-Architecte AWS d Framework 中的相关最佳实践

实现此主题

实施身份联合验证

应用最低权限许可

轮换凭证

强制执行 MFA

监控此主题

监控最低访问权限

实施以下 AWS Config 规则