# SEC03-BP04 持续减少权限
当您的团队确定所需的访问权限时,删除不需要的权限,并建立审核流程以实现最低权限。持续监控并删除供人类和机器访问的未使用的身份和权限。
**期望结果:**权限策略应遵循最低权限原则。随着工作职责和角色变得更加明确,需要审查您的权限策略以删除不必要的权限。如果无意中泄露或未经授权访问凭证,这种方法会缩小影响范围。
**常见反模式:**
+ 默认为向用户授予管理员权限。
+ 创建过于宽松但没有完全管理员权限的策略。
+ 保留不再需要的权限策略。
**在未建立这种最佳实践的情况下暴露的风险等级:**中
## 实施指导
当团队和项目刚刚起步时,可以使用宽松的权限策略来激发创新并提高敏捷性。例如,在开发或测试环境中,开发人员可以获得广泛的访问权限以使用各种 AWS 服务。我们建议您持续评估访问权限,并仅限于访问完成当前作业所必需的服务和服务操作。对于人类和机器身份,均建议进行此项评估。机器身份有时称为系统或服务账户,是让 AWS 访问应用程序或服务器的身份。这种访问权限在生产环境中尤其重要,因为在该环境中,过于宽松的权限会产生广泛的影响,并可能暴露客户数据。
AWS 提供多种方法来帮助识别未使用的用户、角色、权限和凭证。AWS 还可帮助分析 IAM 用户和角色(包括关联的访问密钥)的访问活动,以及对 AWS 资源(如 Amazon S3 存储桶中的对象)的访问。AWS Identity and Access Management Access Analyzer 策略生成可帮助您根据主体与之交互的实际服务和操作来创建限制性权限策略。[基于属性的访问权限控制(ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)可以帮助简化权限管理,因为您可以使用其属性向用户提供权限,而不必将权限策略直接附加到每个用户。
### 实施步骤
+ **使用 [AWS Identity and Access Management Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html):**IAM Access Analyzer 帮助您标识企业和账户中[与外部实体共享](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-getting-started.html)的资源,例如 Amazon Simple Storage Service(Amazon S3)存储桶或 IAM 角色。
+ **使用 [IAM Access Analyzer 策略生成](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-generation.html):**IAM Access Analyzer 策略生成可帮助您[基于 IAM 用户或角色的访问活动创建精细的权限策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-generation.html#access-analyzer-policy-generation-howitworks)。
+ **在生产之前跨较低环境测试权限:**首先,使用 [less critical sandbox and development environments](https://docs.aws.amazon.com/prescriptive-guidance/latest/choosing-git-branch-approach/understanding-the-devops-environments.html),通过 IAM Access Analyzer 测试各种工作职能所需的权限。然后,在将这些权限应用于生产之前,在测试、质量保证和暂存环境中逐步收紧和验证这些权限。较低的环境最初可以拥有更宽松的权限,因为服务控制策略(SCP)通过限制所授予的最大权限来强制实施护栏。
+ **确定 IAM 用户和角色的可接受时间范围和使用策略:**使用[上次访问时间戳](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_access-advisor-view-data.html)可[识别未使用的用户和角色](https://aws.amazon.com/blogs/security/identify-unused-iam-roles-remove-confidently-last-used-timestamp/)并将它们移除。查看关于服务和操作的上次访问情况的信息,以确定和[设置特定用户和角色的权限范围](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_access-advisor.html)。例如,您可以使用关于上次访问情况的信息,以确定您的应用程序角色需要执行的特定 Amazon S3 操作,并只允许该角色访问这些操作。AWS 管理控制台中提供了上次获取的信息功能,您也可以对这些功能进行编程,以便将它们整合到您的基础架构工作流程和自动化工具中。
+ **考虑[在 AWS CloudTrail 中记录数据事件](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/logging-data-events-with-cloudtrail.html):**默认情况下,CloudTrail 不会记录 Amazon S3 对象级活动(例如 `GetObject` 和 `DeleteObject`)或 Amazon DynamoDB 表活动(例如 `PutItem` 和 `DeleteItem`)等数据事件。考虑对这些事件使用日志记录,以确定哪些用户和角色需要访问特定的 Amazon S3 对象或 DynamoDB 表项目。
## 资源
**相关文档:**
+ [授予最低权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege)
+ [移除不必要的凭证](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#remove-credentials)
+ [什么是 AWS CloudTrail?](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html)
+ [使用 策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage.html)
+ [ 记录和监控 DynamoDB ](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/MonitoringDynamoDB.html)
+ [ 对 Amazon S3 存储桶和对象使用 CloudTrail 事件日志记录 ](https://docs.aws.amazon.com/AmazonS3/latest/userguide/enable-cloudtrail-logging-for-s3.html)
+ [ 获取您的 AWS 账户 的凭证报告](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_getting-report.html)
**相关视频:**
+ [在最多 60 分钟的时间内成为 IAM 策略高手](https://youtu.be/YQsK4MtsELU)
+ [职责分离、最低权限、委托和 CI/CD](https://youtu.be/3H0i7VyTu70)
+ [AWS re:Inforce 2022 - AWS Identity and Access Management (IAM) deep dive ](https://www.youtube.com/watch?v=YMj33ToS8cI)