本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 主题 4：管理身份
<a name="theme-4"></a>

**涵盖八大要点策略**  
限制管理权限，多重身份验证

稳健的身份和权限管理是管理云安全的关键方面。强大的身份实践如何在必要的访问权限和最低权限之间取得平衡。这有助于开发团队在不影响安全性的情况下快速行动。

使用身份联合验证来集中管理身份。这样一来，由于可以从一个位置管理访问权限，因此更容易管理跨多个应用程序和服务的访问权限。这也可以帮助您实现临时权限和多重身份验证（MFA）。

仅向用户授予他们执行任务所需的权限。 AWS Identity and Access Management Access Analyzer 可以验证策略并验证公共和跨账户访问。 AWS Organizations 服务控制策略 (SCPs)、IAM 策略条件、IAM 权限边界和 AWS IAM Identity Center 权限集等功能可以帮助您配置[精细访问控制 (F](apg-gloss.md#glossary-fgac) GAC)。

进行任何类型的身份验证时，最好使用临时凭证来减少或消除风险，例如凭证被无意泄露、共享或被盗。使用 IAM 角色而不是 IAM 用户。

使用强大的登录机制（例如 MFA）来减小登录凭证被无意泄露或很容易猜到的风险。根用户需要 MFA，您也可以在联合身份验证级别要求 MFA。如果不可避免地使用 IAM 用户，请强制执行 MFA。

要监控和报告合规性，您必须不断努力减少权限，监控来自 IAM 访问权限分析器的调查发现，并删除未使用的 IAM 资源。使用 AWS Config 规则来确保强制使用强大的登录机制、证书的有效期以及使用 IAM 资源。

## Well-Architecte AWS d Framework 中的相关最佳实践
<a name="theme-4-best-practices"></a>
+ [SEC02-BP01 使用强大的登录机制](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_identities_enforce_mechanisms.html)
+ [SEC02-BP02 使用临时证书](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_identities_unique.html)
+ [SEC02-安全地BP03 存储和使用机密](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_identities_secrets.html)
+ [SEC02-BP04 依赖集中式身份提供商](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_identities_identity_provider.html)
+ [SEC02-定期BP05 审核和轮换证书](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_identities_audit.html)
+ [SEC02-BP06 使用用户组和属性](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_identities_groups_attributes.html)
+ [SEC03-BP01 定义访问要求](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_permissions_define.html)
+ [SEC03-BP02 授予最低权限访问权限](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_permissions_least_privileges.html)
+ [SEC03-BP03 建立紧急访问流程](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_permissions_emergency_process.html)
+ [SEC03-持续BP04 减少权限](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_permissions_continuous_reduction.html)
+ [SEC03-BP05 为您的组织定义权限护栏](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_permissions_define_guardrails.html)
+ [SEC03-基于生命周期BP06 管理访问权限](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_permissions_lifecycle.html)
+ [SEC03-BP07 分析公开和跨账户访问权限](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_permissions_analyze_cross_account.html)
+ [SEC03-在组织内安全BP08 共享资源](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_permissions_share_securely.html)

## 实现此主题
<a name="theme-4-implementation"></a>

### 实施身份联合验证
<a name="t4-identity-federation"></a>
+ [要求人类用户通过与身份提供者联合身份验证，并使用临时凭证访问 AWS](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-identity-source.html)
+ [Implement temporary elevated access to your AWS environments](https://aws.amazon.com/blogs/security/managing-temporary-elevated-access-to-your-aws-environment/)

### 应用最低权限许可
<a name="t4-least-privilege"></a>
+ [保护您的 root 用户凭证，不要将其用于日常任务](https://docs.aws.amazon.com/IAM/latest/UserGuide/root-user-best-practices.html)
+ [使用 IAM Access Analyzer 根据访问活动生成最低权限策略](https://docs.aws.amazon.com/prescriptive-guidance/latest/patterns/dynamically-generate-an-iam-policy-with-iam-access-analyzer-by-using-step-functions.html)
+ [使用 IAM Access Analyzer 验证公共和跨账户对资源的访问权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-getting-started.html)
+ [使用 IAM 访问权限分析器验证您的 IAM 策略，以确保权限的安全性和功能性](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html)
+ [跨多个账户建立权限防护栏](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/organizations.html)
+ [使用权限边界设置基于身份的策略可以授予的最大权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html)
+ [使用 IAM 策略中的条件进一步限制访问权限](https://aws.amazon.com/blogs/apn/top-recommendations-for-working-with-iam-from-our-aws-heroes-part-3-permissions-boundaries-and-conditions/)
+ [定期审查并删除未使用的用户、角色、权限、策略和证书](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_last-accessed.html)
+ [开始使用 AWS 托管策略，转向最低权限权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html)
+ [使用 IAM Identity Center 中的权限集功能](https://docs.aws.amazon.com/singlesignon/latest/userguide/permissionsetsconcept.html)

### 轮换凭证
<a name="t4-rotate-credentials"></a>
+ [要求工作负载使用 IAM 角色进行访问 AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)
+ [自动删除未使用的 IAM 角色](https://aws.amazon.com/blogs/security/how-to-centralize-findings-and-automate-deletion-for-unused-iam-roles/)
+ [对于需要长期凭证的用例，定期轮换访问密钥](https://docs.aws.amazon.com/prescriptive-guidance/latest/patterns/automatically-rotate-iam-user-access-keys-at-scale-with-aws-organizations-and-aws-secrets-manager.html)

### 强制执行 MFA
<a name="t4-mfa"></a>
+ [根用户需要 MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa.html)
+ [要求通过 IAM Identity Center 进行 MFA](https://docs.aws.amazon.com/singlesignon/latest/userguide/how-to-configure-mfa-device-enforcement.html)
+ [考虑要求对特定于服务的 API 操作进行 MFA](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_examples_general.html#example-scp-mfa)

## 监控此主题
<a name="theme-4-monitoring"></a>

### 监控最低访问权限
<a name="t4-monitor-access"></a>
+ [将 IAM 访问分析器的调查结果发送至 AWS Security Hub CSPM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-securityhub-integration.html)
+ [考虑为关键 IAM Identity Center 调查发现设置通知](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-eventbridge.html)
+ [定期查看您的证书报告 AWS 账户](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_getting-report.html)

### 实施以下 AWS Config 规则
<a name="t4-cc-rules"></a>
+ `ACCESS_KEYS_ROTATED`
+ `IAM_ROOT_ACCESS_KEY_CHECK`
+ `IAM_USER_MFA_ENABLED`
+ `IAM_USER_UNUSED_CREDENTIALS_CHECK`
+ `IAM_PASSWORD_POLICY`
+ `ROOT_ACCOUNT_HARDWARE_MFA_ENABLED`