本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
IAM 中的安全最佳實務
若要協助保護您的 AWS 資源,請遵循這些 AWS Identity and Access Management (IAM) 的最佳實務。
主題
要求人類使用者搭配身分提供者使用聯合功能,以便使用暫時性憑證存取 AWS
人類使用者具有人類身分,是應用程式的相關人員、管理員、開發人員、操作員和消費者。他們必須要有一個身分,才能存取您的 AWS 環境和應用程式。擁有您組織成員身分的人類使用者,也具有人力身分。人類使用者也可以是您與之協作並與您的 AWS 資源互動的外部使用者。他們也可以透過 Web 瀏覽器、用戶端應用程式、行動應用程式或互動式命令列工具進行此項工作。
存取 AWS 時,請您的人類使用者使用暫時性憑證。您可以為人類使用者使用身分提供者,透過擔任角色 (提供暫時性憑證) 來提供對 AWS 帳戶 的聯合存取權。如果是集中式存取管理,我們建議您使用 AWS IAM Identity Center (IAM Identity Center) 管理您帳戶的存取權和這些帳戶內的許可。您可以使用 IAM Identity Center 管理使用者身分,或從外部身分提供者管理 中使用者身分的存取許可。如需詳細資訊,請參閱 AWS IAM Identity Center 使用者指南中的什麼是 AWS IAM Identity Center。
如需角色的詳細資訊,請參閱角色術語和概念。
要求工作負載使用 IAM 角色的暫時性憑證存取 AWS
工作負載是可提供商業價值的資源和程式碼的集合,例如應用程式或後端程序。您的工作負載可能有需要憑證才能向 AWS 服務發出請求 (例如讀取 Amazon S3 中資料的請求) 的應用程式、操作工具和元件。
當您基於 Amazon EC2 或 Lambda 等 AWS 運算服務進行建置時,AWS 會將 IAM 角色的臨時憑證提供給該運算資源。使用 AWS SDK 撰寫的應用程式會發現並使用這些臨時憑證來存取 AWS 資源,而且無需將 IAM 使用者的長期憑證分發給在 AWS 上執行的工作負載。
在 AWS 外部執行的工作負載,例如您的內部部署伺服器、來自其他雲端供應商的伺服器,或受管持續整合與持續交付 (CI/CD) 平台,仍然可以使用臨時憑證。不過,您需要將這些臨時憑證提供給工作負載。以下是將臨時憑證提供給工作負載時可採用的方式:
-
可以透過 IAM Roles Anywhere,使用公有金鑰基礎結構 (PKI) 中的 X.509 憑證,為工作負載請求臨時 AWS 憑證。
-
可以呼叫 AWS AWS STS
AssumeRoleWithSAMLAPI,使用 AWS 帳戶中設定的外部身分提供者 (IdP) 提供的 SAML 聲明,為工作負載請求臨時 AWS 憑證。 -
可以呼叫 AWS AWS STS
AssumeRoleWithWebIdentityAPI,使用 AWS 帳戶中設定的 IdP 提供的 JSON Web 權杖 (JWT),為工作負載請求臨時 AWS 憑證。 -
可以使用 AWS IoT Core,透過雙向傳輸層安全性 (MTLS) 身分驗證來從 IoT 裝置請求臨時 AWS 憑證。
部分 AWS 服務也支援整合,將臨時憑證提供給在 AWS 外部執行的工作負載:
-
Amazon Elastic Container Service (Amazon ECS) Anywhere
可讓您在自己的運算資源上執行 Amazon ECS 任務,並將臨時 AWS 憑證提供給在這些運算資源上執行的 Amazon ECS 任務。 -
Amazon Elastic Kubernetes Service Hybrid Nodes 可讓您將在 AWS 外部執行的運算資源作為節點加入到 Amazon EKS 叢集中。Amazon EKS 可以將臨時憑證提供給在運算資源上執行的 Amazon EKS Pod。
-
AWS Systems ManagerHybrid Activations 可讓您使用 SSM 管理在 AWS 外部執行的運算資源,並將臨時 AWS 憑證提供給在運算資源上執行的 SSM 代理程式。
需要多重要素驗證 (MFA)
我們建議將 IAM 角色用於會存取您 AWS 資源的人類使用者和工作負載,以便他們使用暫時性憑證。但是,對於帳戶中需要 IAM 使用者或根使用者的情況,則需要 MFA 提供額外的安全性。使用 MFA,使用者便可擁有一個裝置,針對身分驗證查問產生回應。擁有每位使用者的憑證及裝置產生的回應,才能完成登入程序。如需更多詳細資訊,請參閱 IAM 中的 AWS 多重要素驗證。
如果將 AM Identity Center 用於人類使用者的集中式存取管理,則可在使用 IAM Identity Center 身分存放區、AWS Managed Microsoft AD 或 AD Connector 設定身分來源時使用 IAM Identity Center MFA 功能。如需有關 IAM Identity Center 中的 MFA 的詳細資訊,請參閱 AWS IAM Identity Center 使用者指南中的多重要素驗證。
對於需要長期憑證的使用案例,請視需要更新存取金鑰
我們建議您盡可能依賴暫時性憑證,而不要建立長期憑證,例如存取金鑰。但是,對於需要具有程式化存取和長期憑證的 IAM 使用者的情況,我們建議您視需要更新存取金鑰,如在員工離職時。我們建議您使用 IAM 存取上次使用的資訊,以便安全地更新和移除存取金鑰。如需更多詳細資訊,請參閱 更新存取金鑰。
某些特定使用案例需要長期憑證和 AWS 中的 IAM 使用者。以下是部分使用案例:
-
無法使用 IAM 角色的工作負載 - 您可以從需要存取 AWS 的位置執行工作負載。在某些情況下,您無法使用 IAM 角色提供暫時性憑證,例如針對 WordPress 外掛程式。在這些情況下,請將 IAM 使用者長期存取金鑰用於該工作負載,對 AWS 進行身分驗證。
-
第三方 AWS 用戶端 – 如果您正使用不支援使用 IAM Identity Center 進行存取的工具,例如第三方 AWS 用戶端或不在 AWS 上託管的廠商,請使用 IAM 使用者長期存取金鑰。
-
AWS CodeCommit 存取 – 如果您正使用 CodeCommit 儲存程式碼,則可以搭配 CodeCommit 的 SSH 金鑰或服務特定憑證使用 IAM 使用者,以便對您儲存庫進行身分驗證。除了將 IAM Identity Center 中的使用者用於一般身分驗證之外,我們也建議您這樣做。IAM Identity Center 中的使用者是您員工中需要存取 AWS 帳戶 或雲端應用程式的人員。若要將您 CodeCommit 儲存庫的存取權授予使用者,而不設定 IAM 使用者,您可以設定 git-remote-codecommit 公用程式。如需 IAM 和 CodeCommit 的詳細資訊,請參閱 CodeCommit 的 IAM 憑證:Git 憑證、SSH 金鑰和 AWS 存取金鑰。如需有關設定 git-remote-codecommit 公用程式的詳細資訊,請參閱 AWS CodeCommit User Guide 中的 Connecting to AWS CodeCommit repositories with rotating credentials。
-
Amazon Keyspaces (適用於 Apache Cassandra) 存取 – 在無法使用 IAM Identity Center 中的使用者的情況下,例如為了測試 Cassandra 相容性,您可以將 IAM 使用者搭配服務特定憑證使用,以便使用 Amazon Keyspaces 進行身分驗證。IAM Identity Center 中的使用者是您員工中需要存取 AWS 帳戶 或雲端應用程式的人員。您也可以使用暫時性憑證連線到 Amazon Keyspaces。如需詳細資訊,請參閱 Amazon Keyspaces (for Apache Cassandra) Developer Guide 中的 Using temporary credentials to connect to Amazon Keyspaces using an IAM role and the SigV4 plugin。
遵循最佳實務以保護您的根使用者憑證
建立 AWS 帳戶 時,您會建立根使用者憑證以登入 AWS 管理主控台。如同保護其他敏感的個人資訊那樣,保護您的根使用者憑證。若要更好地了解如何保護和擴展根使用者程序,請參閱 適用於 AWS 帳戶的根使用者最佳實務。
套用最低權限許可
設定 IAM 政策的許可時,請僅授予執行任務所需的許可。為實現此目的,您可以定義在特定條件下可以對特定資源採取的動作,這也稱為最低權限許可。探索工作負載或使用案例所需的許可時,您可能會從廣泛許可開始。隨著使用案例的成熟,您可以設法減少授予的許可,以便朝向最低權限的目標邁進。如需使用 IAM 套用許可的詳細資訊,請參閱 中的政策和許可 AWS Identity and Access Management。
開始使用 AWS 受管政策並朝向最低權限許可的目標邁進
若要開始授予許可給使用者和工作負載,請使用 AWS 受管政策,為許多常見使用案例授予許可。它們可在您的 AWS 帳戶 中使用。請記住,AWS 受管政策可能不會授予您特定使用案例的最低權限許可,因為它們可供所有 AWS 客戶使用。因此,我們建議您定義使用案例的客戶管理政策,以便進一步減少許可。如需更多詳細資訊,請參閱 AWS 受管政策。如需有關專為特定任務角色設計的 AWS 受管理政策的詳細資訊,請參閱 AWS 任務函數的 受管政策。
使用 IAM Access Analyzer 根據存取活動產生最低權限政策
若只授予執行任務所需的許可,您可以根據在 AWS CloudTrail 中記錄的存取活動產生政策。IAM Access Analyzer 會分析您 IAM 角色使用的服務和動作,然後產生您可以使用的精細政策。測試產生的每個政策後,您可以將政策部署到生產環境。這可確保您僅授予所需的許可給工作負載。如需政策產生的詳細資訊,請參閱 IAM Access Analyzer 政策產生。
定期檢閱並移除未使用的使用者、角色、許可、政策和憑證
您的 AWS 帳戶 中可能存在不再需要的 IAM 使用者、角色、許可、政策或憑證。IAM 會提供上次存取的資訊,協助您識別不再需要的使用者、角色、許可、政策和憑證,以便您移除這些資料。這可協助您減少必須監控的使用者、角色、許可、政策和憑證數量。您也可以使用此資訊來精簡 IAM 政策,以便更完善地遵循最低權限許可。如需更多詳細資訊,請參閱 AWS 使用上次存取的資訊在 中精簡許可。
使用 IAM 政策中的條件進一步限制存取權
您可以根據生效的政策陳述式指定條件。如此,您便可以授予對動作和資源的存取權,前提是存取請求符合特定條件。例如,您可以撰寫政策條件,指定必須使用 TLS 傳送所有請求。您也可以使用條件來授予對服務動作的存取權,前提是透過特定 AWS 服務 (例如 CloudFormation) 使用條件。如需更多詳細資訊,請參閱 IAM JSON 政策元素:Condition。
使用 IAM Access Analyzer 驗證對資源的公開與跨帳戶存取權
在 AWS 中授予公開或跨帳戶存取權的許可前,我們建議您驗證是否必須用到此類存取權。您可以使用 IAM Access Analyzer,協助自己預覽和分析所支援資源類型的公開和跨帳戶存取權。為此,您可以檢閱 IAM Access Analyzer 產生的問題清單。這些問題清單有助於您驗證資源存取控制是否授予您預期的存取權。此外,隨著您更新公開和跨帳戶許可,您可以在將新的存取控制部署到資源前驗證變更的影響。IAM Access Analyzer 也會持續監控支援的資源類型,並為允許公開或跨帳戶存取權的資源產生問題清單。如需詳細資訊,請參閱使用 IAM Access Analyzer API 預覽存取。
使用 IAM Access Analyzer 驗證 IAM 政策,確保許可安全且可正常運作
驗證您建立的政策,確保它們遵守IAM 政策語言 (JSON) 和 IAM 最佳實務。您可以使用 IAM Access Analyzer 政策驗證來驗證自己的政策。IAM Access Analyzer 提供 100 多項政策檢查及切實可行的建議,可協助您編寫安全且實用的政策。您在主控台中編寫新政策或編輯現有政策時,IAM Access Analyzer 會提供建議,協助您在儲存政策前完善和驗證政策。此外,我們建議您檢閱並驗證所有現有政策。如需詳細資訊,請參閱 IAM Access Analyzer 政策驗證。如需 IAM Access Analyzer 所提供政策檢查的詳細資訊,請參閱《IAM Access Analyzer 政策檢查參考》。
建立跨多個帳戶的許可防護機制
擴展工作負載時,請使用 AWS Organizations 管理的多個帳戶將這些工作負載分開。建議使用 AWS Organizations 服務控制政策 (SCP) 建立許可防護機制,以便控制帳戶之間所有主體 (IAM 角色和使用者) 的存取。建議使用 AWS Organizations 資源控制政策 (RCP) 來建立許可防護機制,以控制整個組織中的 AWS 資源存取。SCP 和 RCP 均為組織政策,可以用於在 AWS 組織、組織單位 (OU) 或帳戶層級管理組織中的許可。
不過,僅有 SCP 和 RCP 並不足以授予許可給您組織中的主體和資源。SCP 和 RCP 沒有授予任何許可。要授予許可,您必須將身分型或資源型政策連接到 IAM 使用者、IAM 角色或您帳戶中的資源。如需詳細資訊,請參閱 SRA 建置區塊:AWS Organizations、帳戶和防護機制。
使用許可界限委派帳戶內的許可管理
在某些情況下,您可能想要將帳戶內的許可管理委派給其他人。例如,您可以允許開發人員為其工作負載建立和管理角色。委派許可給其他人時,請使用許可界限來設定您委派許可的上限。許可界限是一種進階功能,可供您使用受管政策來設定身分型政策可以授予 IAM 角色的許可上限。許可界限不會自行授予許可。如需更多詳細資訊,請參閱 IAM 實體的許可界限。
