# SEC02-BP02 使用临时凭证
进行任何类型的身份验证时,最好使用临时凭证而不是长期凭证,来降低或消除诸如凭证被无意泄露、共享或被盗之类的风险。
**期望结果:**为了降低长期凭证的风险,尽量对人类身份和机器身份使用临时凭证。长期凭证会带来诸多风险,例如通过上传到公共存储库而泄露。使用临时凭证可以大幅降低凭证被泄露的几率。
**常见反模式:**
+ 开发人员使用 IAM 用户的长期访问密钥,而不是使用联合身份验证从 CLI 获得临时凭证。
+ 开发人员在他们的代码中嵌入长期访问密钥,并将该代码上传到公有 Git 存储库。
+ 开发人员在移动应用程序中嵌入长期访问密钥,然后在应用商店中提供这些密钥。
+ 用户与其他用户共享长期访问密钥,或员工离开公司时仍持有长期访问密钥。
+ 当可以使用临时凭证时,对机器身份使用长期访问密钥。
**在未建立这种最佳实践的情况下暴露的风险等级:**高
## 实施指导
对所有 AWS API 和 CLI 请求使用临时安全凭证,而不是长期凭证。在几乎所有情况下,对 AWS 服务的 API 和 CLI 请求都必须使用 [AWS 访问密钥](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_access-keys.html)进行签名。这些请求可以使用临时凭证或长期凭证进行签名。只有在使用 [IAM 用户](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)或 [AWS 账户根用户](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html)时,才应该使用长期凭证(也称为长期访问密钥)。在联合到 AWS 或通过其他方法代入 [IAM 角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)时,系统会生成临时凭证。即使使用登录凭证访问 AWS 管理控制台,系统也会生成临时凭证供您调用 AWS 服务。需要用到长期凭证的情况很少,所以可以使用临时凭证完成几乎所有任务。
尽量不要使用长期凭证,要多用临时凭证,并且还应少用 IAM 用户进行能访问,而应多用联合身份验证和 IAM 角色进行访问。虽然过去常使用 IAM 用户来访问人类身份和机器身份,但现在不建议使用 IAM 用户,避免使用长期访问密钥所带来的风险。
### 实施步骤
#### 人员身份
对于员工、管理员、开发人员和操作员等员工身份:
+ 您应该[依赖集中式身份提供程序](https://docs.aws.amazon.com//wellarchitected/latest/security-pillar/sec_identities_identity_provider.html),并[要求人类用户配合使用联合身份验证与身份提供程序两种方法,以便使用临时凭证访问 AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp)。可以通过[对每个 AWS 账户进行直接联合身份验证](https://aws.amazon.com/identity/federation/)或使用 [AWS IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html) 和您选择的身份提供者,来完成用户的联合身份验证。与使用 IAM 用户相比,联合身份验证除了消除使用长期凭证的情况之外,还具有许多优势。用户也可以从[直接联合](https://aws.amazon.com/blogs/security/how-to-implement-federated-api-and-cli-access-using-saml-2-0-and-ad-fs/)的命令行或通过使用 [IAM Identity Center](https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-sso.html) 来请求获得临时凭证。这意味着能够大幅减少需要使用 IAM 用户或用户长期凭证的情况。
对于第三方身份:
+ 在授予软件即服务(SaaS)提供商等第三方访问 AWS 账户中资源的权限时,您可以使用[跨账户角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_cross-account-with-roles.html)和[基于资源的策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_identity-vs-resource.html)。此外,可以为 B2B SaaS 客户或合作伙伴使用 [Amazon Cognito OAuth 2.0 grant](https://docs.aws.amazon.com/cognito/latest/developerguide/federation-endpoints-oauth-grants.html) 客户端凭证流。
通过 Web 浏览器、客户端应用程序、移动应用程序或交互式命令行工具访问 AWS 资源的用户身份:
+ 如果需要批准消费者或客户申请访问 AWS 资源,您可以使用 [Amazon Cognito 身份池](https://docs.aws.amazon.com/cognito/latest/developerguide/identity-pools.html)或 [Amazon Cognito 用户池](https://docs.aws.amazon.com/cognito/latest/developerguide/cognito-user-identity-pools.html)提供临时凭证。凭证的权限是通过 IAM 角色配置的。您也可以为未经身份验证的来宾用户定义一个具有有限权限的单独的 IAM 角色。
#### 机器身份
对于机器身份,您就可能需要使用长期凭证了。在这些情况下,您应该[要求工作负载使用具有 IAM 角色的临时凭证来访问 AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-workloads-use-roles)。
+ 对于[Amazon Elastic Compute Cloud](https://aws.amazon.com/pm/ec2/)(Amazon EC2),您可以使用[适用于 Amazon EC2 的角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-ec2.html)。
+ [AWS Lambda](https://aws.amazon.com/lambda/) 让您能够配置 [Lambda 执行角色授予权限](https://docs.aws.amazon.com/lambda/latest/dg/lambda-intro-execution-role.html),以便利用临时凭证执行 AWS 操作。AWS 服务还有许多其他类似的模型,可以使用 IAM 角色授予临时凭证。
+ 对于 IoT 设备,您可以使用 [AWS IoT Core 凭证提供程序](https://docs.aws.amazon.com/iot/latest/developerguide/authorizing-direct-aws.html)来请求临时凭证。
+ 对于需要访问 AWS 资源的本地系统或在 AWS 之外运行的系统,您可以使用 [IAM Roles Anywhere](https://docs.aws.amazon.com/rolesanywhere/latest/userguide/introduction.html)。
某些情况下不支持临时凭证,此时需要使用长期凭证。在这些情况下,可以[定期审计和轮换这些凭证](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_identities_audit.html)和[定期轮换访问密钥](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#rotate-credentials)。对于高度受限的 IAM 用户访问密钥,请考虑以下其它安全措施:
+ 授予高度受限的权限:
+ 遵守最低权限原则(特定于操作、资源和条件)。
+ 考虑仅向 IAM 用户授予针对一个特定角色的 AssumeRole 操作。根据本地架构,此方法有助于隔离和保护长期 IAM 凭证。
+ 在 IAM 角色信任策略中限制支持的网络来源和 IP 地址。
+ 监控使用情况并针对未使用的权限或滥用行为设置警报(使用 AWS CloudWatch Logs 指标筛选条件和警报)。
+ 强制执行[权限边界](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) [服务控制策略(SCP)和权限边界相辅相成 - SCP 是粗粒度的,而权限边界是细粒度的]。
+ 实施用于预置和(在本地保管库中)安全存储凭证的过程。
对于需要长期凭证的场景,其它一些选项包括:
+ 构建自己的令牌出售 API(使用 Amazon API Gateway)。
+ 对于必须使用长期凭证或 AWS 访问密钥以外凭证的场景(如数据库登录),可以使用旨在处理密钥管理的服务,如 [AWS Secrets Manager](https://aws.amazon.com/secrets-manager/)。Secrets Manager 可以简化加密密钥的管理、轮换和安全存储。许多 AWS 服务都支持与 Secrets Manager [direct integration](https://docs.aws.amazon.com/secretsmanager/latest/userguide/integrating.html)。
+ 对于多云集成,可以使用基于源凭证服务提供商(CSP)凭证的身份联合验证(请参阅 [AWS STS AssumeRoleWithWebIdentity](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRoleWithWebIdentity.html))。
有关轮换长期凭证的更多信息,请参阅[轮换访问密钥](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_access-keys.html#Using_RotateAccessKey)。
## 资源
**相关最佳实践:**
+ [SEC02-BP03 安全地存储和使用密钥](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_identities_secrets.html)
+ [SEC02-BP04 依赖集中式身份提供程序](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_identities_identity_provider.html)
+ [SEC03-BP08 在组织内安全地共享资源](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_permissions_share_securely.html)
**相关文档:**
+ [临时安全凭证](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html)
+ [AWS 凭证](https://docs.aws.amazon.com/general/latest/gr/aws-sec-cred-types.html)
+ [IAM 安全最佳实践](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)
+ [ IAM 角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)
+ [IAM Identity Center](https://aws.amazon.com/iam/identity-center/) ()
+ [身份提供程序和联合身份验证](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers.html)
+ [轮换访问密钥](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_access-keys.html#Using_RotateAccessKey)
+ [安全合作伙伴解决方案:访问和访问控制](https://aws.amazon.com/security/partner-solutions/#access-control)
+ [AWS 账户根用户](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html)
+ [Access AWS using a Google Cloud Platform native workload identity](https://aws.amazon.com/blogs/security/access-aws-using-a-google-cloud-platform-native-workload-identity/)
+ [How to access AWS resources from Microsoft Entra ID tenants using AWS Security Token Service](https://aws.amazon.com/blogs/security/how-to-access-aws-resources-from-microsoft-entra-id-tenants-using-aws-security-token-service/)
**相关视频:**
+ [Managing user permissions at scale with AWS IAM Identity Center](https://youtu.be/aEIqeFCcK7E)
+ [Mastering identity at every layer of the cake](https://www.youtube.com/watch?v=vbjFjMNVEpc)