# 技术与访问遏制 通过限制功能和 IAM 主体对资源的访问权限,防止未经授权使用资源。这包括限制有权访问资源的 IAM 主体的权限;也包括撤销临时安全凭证。此处重点介绍了使用 AWS 服务进行技术与访问遏制的示例: + **限制权限**:分配给 IAM 主体的权限应遵循[最低权限原则](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege)。但是,在活跃的安全事件期间,可能需要进一步限制特定 IAM 主体对目标资源的访问。在这种情况下,可以删除需遏制的 IAM 主体对资源的访问权限,以实现访问遏制。这是通过 IAM 服务完成的,可使用 AWS 管理控制台、AWS CLI 或 AWS SDK 进行操作。 + **撤销密钥**:IAM 主体使用 IAM 访问密钥来访问或管理资源。*这些是长期静态凭证,用于签署对 AWS CLI 或 AWS API 的编程请求,以前缀 AKIA* 开头(有关更多信息,请参阅 [IAM 标识符](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_identifiers.html)中的*了解唯一 ID 前缀*部分)。如果 IAM 访问密钥已遭泄露,可停用或删除该访问密钥以遏制 IAM 主体访问。请务必记住以下事项: + 可以重新激活已停用的访问密钥。 + 访问密钥一经删除,将无法恢复。 + 在给定的任何时间,IAM 主体最多可拥有两个访问密钥。 + 密钥停用或删除后,使用该访问密钥的用户或应用程序将失去访问权限。 + **撤销临时安全凭证**:组织可使用临时安全凭证来控制对 AWS 资源的访问权限,此类凭证以前缀 *ASIA* 开头(有关更多信息,请参阅 [IAM 标识符](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_identifiers.html)中的*了解唯一 ID 前缀*部分)。临时凭证通常由 IAM 角色使用,因其生命周期有限,因此无需轮换或显式撤销。若在临时安全凭证到期前发生了涉及该凭证的安全事件,则可能需要更改现有临时安全凭证的有效权限。这可[借助 AWS 管理控制台 中的 IAM 服务](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_revoke-sessions.html)完成。临时安全凭证也可签发给 IAM 用户(与 IAM 角色相对);然而,截至本文撰写时,尚无法在 AWS 管理控制台 中撤销 IAM 用户的临时安全凭证。如果发生某位用户的 IAM 访问密钥被创建临时安全凭证但未经授权的用户泄露的安全事件,可通过两种方法撤销临时安全凭证: + 将内联策略附加到 IAM 用户,根据安全令牌签发时间阻止访问(有关更多详细信息,请参阅[禁用临时安全凭证的权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp_control-access_disable-perms.html)中的*拒绝访问在特定时间之前签发的临时安全凭证*部分)。 + 删除访问密钥遭泄露的 IAM 用户。如有必要,可重新创建用户。 + **AWS WAF**:未经授权的用户所用的某些技术包括常见的恶意流量模式,例如包含 SQL 注入和跨站脚本攻击(XSS)的请求。可配置 AWS WAF,利用 AWS WAF 内置的规则语句匹配和拒绝使用这些技术的流量。 如下图技术与访问遏制示例所示,事件响应人员正在轮换访问密钥或删除 IAM 策略以阻止 IAM 用户访问 Amazon S3 存储桶。 ![图中显示了技术与访问遏制示例](http://docs.aws.amazon.com/zh_cn/security-ir/latest/userguide/images/technique-and-access-containment.png)