適用於 AWS 帳戶 的根使用者最佳實務
第一次建立 AWS 帳戶 時,可以從一組預設的憑證開始,並可完全存取帳戶中的所有 AWS 資源。此身分稱為 AWS 帳戶 根使用者。除非有需要根使用者憑證的任務,否則強烈建議您不要存取 AWS 帳戶 根使用者。您需要保護根使用者憑證和帳戶復原機制,以協助確保不會公開具有高權限的憑證以供未經授權使用。
對於透過 AWS Organizations 管理的多個 AWS 帳戶,建議從成員帳戶中移除根使用者憑證,以協助防止未經授權的使用。您可以移除根使用者密碼、存取金鑰、簽署憑證,以及停用和刪除多重要素驗證 (MFA)。成員帳戶無法登入其根使用者,也無法為其根使用者執行密碼復原。如需更多詳細資訊,請參閱 集中管理成員帳戶的根存取權。
並非存取根使用者,而是建立日常任務的系統管理使用者。
-
如果有新的 AWS 帳戶,請參閱 設定 AWS 帳戶。
-
若要取得透過 AWS 帳戶 管理的多個 AWS Organizations 的資訊,請參閱為 IAM Identity Center 管理使用者設定 AWS 帳戶 存取權限。
然後,您可以使用管理使用者為需要存取 AWS 帳戶 中資源的使用者建立其他身分。強烈建議您要求使用者在存取 AWS 時使用臨時憑證進行身分驗證。
-
對於單一獨立式 AWS 帳戶,使用 IAM 角色 在您的帳戶中建立具有特定許可的身分。角色旨在可由任何需要它的使用者擔任。此外,角色沒有與之關聯的標準長期憑證,例如密碼或存取金鑰。反之,當您擔任角色時,其會為您的角色工作階段提供臨時安全性憑證。與 IAM 角色不同,IAM 使用者 擁有長期憑證,例如密碼和存取金鑰。最佳實務建議盡可能依賴暫時憑證,而不是建立擁有長期憑證 (例如密碼和存取金鑰) 的 IAM 使用者。
-
對於透過 AWS Organizations 管理的多個 AWS 帳戶,請使用 IAM Identity Center 人力使用者。透過 IAM Identity Center,您可以集中管理 AWS 帳戶 中的使用者和這些帳戶內的許可。可使用 IAM Identity Center 或外部身分供應商來管理使用者身分。如需詳細資訊,請參閱 AWS IAM Identity Center 使用者指南中的什麼是 AWS IAM Identity Center。
主題
保護您的根使用者憑證,以防止未經授權使用
保護您的根使用者憑證,僅將其用於需要它們的任務。為了防止未經授權的使用,請勿與任何人共用您的根使用者密碼、MFA、存取金鑰、CloudFront 金鑰配對或簽署憑證,除非此人具有存取根使用者憑證的嚴格業務需求。
請勿將根使用者密碼與依賴於 AWS 服務 的工具一起儲存在使用相同密碼存取的帳戶中。如果您遺失或忘記根使用者密碼,將無法存取這些工具。我們建議您優先考慮彈性,並考慮要求兩個或更多人授權存取儲存位置。應記錄並監控任何對密碼的存取或其儲存位置。
使用強式根使用者密碼來協助保護存取
我們建議您使用高強度且唯一的密碼。具有強密碼產生演算法的密碼管理器之類的工具可協助您實現這些目標。AWS 要求您的密碼必須符合下列條件:
-
它必須至少有 8 個字元,最多 128 個字元。
-
它至少混用 3 種下列類型字元:大寫、小寫、數字和 ! @ # $ % ^ & * () <> [] {} | _+-= 符號。
-
它不能與您的 AWS 帳戶 名稱或電子郵件地址相同。
如需更多詳細資訊,請參閱 變更 AWS 帳戶根使用者 的密碼。
使用多重要素驗證 (MFA) 保護您的根使用者登入
因為根使用者可以執行特權動作,因此除了將電子郵件地址和密碼作為登入憑證之外,還要將根使用者的 MFA 新增為第二個身分驗證因素。您可以以目前受支援 MFA 類型的任意組合為您的 AWS 帳戶 根使用者註冊最多八台 MFA 裝置。
強烈建議為根使用者憑證啟用多個 MFA 裝置,以在安全策略中提供額外的靈活性和彈性。所有 AWS 帳戶類型 (獨立帳戶、管理帳戶和成員帳戶) 都要求為其根使用者設定 MFA。如果尚未啟用 MFA,使用者必須在首次嘗試登入以存取 AWS 管理主控台的 35 天內註冊 MFA。
-
由第三方供應商提供經 FIDO 認證的硬體安全金鑰。如需詳細資訊,請參閱為 AWS 帳戶 根使用者啟用 FIDO 安全金鑰。
-
一種在以時間為基礎的一次性密碼 (TOTP) 演算法的基礎上產生六位數字程式碼的硬體裝置。如需詳細資訊,請參閱為 AWS 帳戶 根使用者啟用硬體 TOTP 字符。
-
在手機或其他裝置上執行並模擬實體裝置的虛擬驗證器應用程式。如需詳細資訊,請參閱為 AWS 帳戶 根使用者啟用虛擬 MFA 裝置。
不要為根使用者建立存取金鑰
存取金鑰可讓您在 AWS 命令列界面 (AWS CLI) 中執行命令,或從其中一個 AWS SDK 使用 API 操作。強烈建議您不要為根使用者建立存取金鑰配對,因為根使用者擁有帳戶中所有 AWS 服務 資源的完整存取權,包括帳單資訊。
由於只有少部分任務需要用到根使用者,而且您一般不會經常執行這些任務,所以我們建議登入 AWS 管理主控台 以執行根使用者任務。在建立存取金鑰之前,請檢閱 長期存取金鑰的替代方案。
盡可能為根使用者登入使用多人核准
請考慮使用多人核准,以確保沒有任何人可以同時存取根使用者的 MFA 和密碼。有些公司會設定可存取密碼的管理員群組,以及另一個可存取 MFA 的管理員群組,藉此增加額外的安全性層級。每個群組必須各有一位成員共同作為根使用者登入。
使用群組電子郵件地址作為根使用者憑證
使用由企業管理的電子郵件地址,直接將收到的訊息轉寄給使用者群組。如果 AWS 必須聯絡帳戶的擁有者,此方法有助於減少回應延遲的風險,即使個人在度假、請病假或已離開公司。用於根使用者的電子郵件地址不得用於其他目的。
限制存取帳戶復原機制
務必制定程序來管理根使用者憑證復原機制,以防在緊急情況下需要存取該機制,例如接管您的管理帳戶。
-
確保您有權存取根使用者電子郵件收件匣,以便可以重設遺失或忘記的根使用者密碼。
-
如果您的 AWS 帳戶 根使用者的 MFA 裝置遺失、損毀或無法運作,您可以使用另一台註冊到相同根使用者憑證的 MFA 登入。如果您無法存取所有 MFA,則需要用於註冊賬戶的最新且可存取的電話號碼和電子郵件,以便復原您的 MFA。如需詳細資訊,請參閱復原根使用者 MFA 裝置。
-
如果您選擇不儲存根使用者密碼和 MFA,則可以使用帳戶中註冊的電話號碼作為復原根使用者憑證的替代方法。確保您可以存取聯絡人電話號碼,保持更新此電話號碼,並且限制可以存取以管理電話號碼的使用者。
應沒有任何人有權同時存取電子郵件收件匣和電話號碼,因為兩者都是復原根使用者密碼的驗證渠道。務必安排兩組人員管理這些渠道。一個群組可以存取您的主要電子郵件地址,另一個群組可以存取主要電話號碼,從而復原以根使用者身分存取您帳戶的許可。
保護 AWS Organizations 帳戶根使用者憑證
當您使用 AWS Organizations 轉向多帳戶策略時,每個 AWS 帳戶都有自己的根使用者憑證,您需要保護這些憑證。您用來建立組織的帳戶是管理帳戶,組織中的其餘帳戶則為成員帳戶。
保護管理帳戶的根使用者憑證
AWS 要求您為組織管理帳戶的根使用者註冊 MFA。MFA 註冊必須在首次登入嘗試期間或 35 天寬限期內完成。如果未在此時間內啟用 MFA,您需要先完成註冊才能存取 AWS 管理主控台。如需更多詳細資訊,請參閱 針對 AWS 帳戶根使用者的多重要素驗證。
保護成員帳戶的根使用者憑證
如果使用 AWS Organizations 來管理多個帳戶,可以採取兩種策略來保護 AWS Organizations 中的根使用者存取權。
-
集中化根存取權並從成員帳戶中移除根使用者憑證。移除根使用者憑證、存取金鑰、簽署憑證,以及停用和刪除多重要素驗證 (MFA)。使用此策略時,成員帳戶無法登入其根使用者,也無法為其根使用者執行密碼復原。如需更多詳細資訊,請參閱 集中管理成員帳戶的根存取權。
-
使用 MFA 保護 AWS Organizations 帳戶的根使用者憑證,以增強帳戶安全性。如需更多詳細資訊,請參閱 針對 AWS 帳戶根使用者的多重要素驗證。
如需詳細資訊,請參閱 AWS Organizations User Guide 中的 Accessing member accounts in your organization。
使用服務控制政策 (SCP) 設定 AWS Organizations 中的預防安全控制措施
如果組織中的成員帳戶已啟用根使用者憑證,您可以套用 SCP 來限制對成員帳戶根使用者的存取。拒絕成員帳戶中的所有根使用者動作 (除了某些僅限根的動作),這樣有助於防止未經授權的存取。有關詳細資訊,請參閱使用 SCP 來限制成員帳戶中根使用者可執行的動作。
監控存取和用量
我們建議您使用目前的追蹤機制來監控、警示和報告根使用者憑證的登入和使用情況,包括宣告根使用者登入和用量的警示。下列服務可協助確保追蹤根使用者憑證用量,並且執行安全性檢查,以防止未經授權的使用。
注意
CloudTrail 會記錄根使用者和特權根使用者工作階段的不同登入事件。這些特權工作階段允許在您組織的成員帳戶中執行需要根使用者憑證的任務。您可以使用登入事件來識別管理帳戶或使用 sts:AssumeRoot 的委派管理員所採取的動作。如需更多詳細資訊,請參閱 在 CloudTrail 中追蹤特權任務。
-
如果您希望收到有關帳戶中根使用者登入活動的通知,可以利用 Amazon CloudWatch 建立事件規則,以偵測何時使用根使用者憑證,並向安全管理員觸發通知。有關詳細資訊,請參閱監控和通知 AWS 帳戶 根使用者活動
。 -
如果您想要設定通知以提醒您核准的根使用者動作,可以利用 Amazon EventBridge 和 Amazon SNS 撰寫 EventBridge 規則,以追蹤根使用者對特定動作的使用情況,並使用 Amazon SNS 主題通知您。如需範例,請參閱建立 Amazon S3 物件時傳送通知。
-
如果您已使用 GuardDuty 做為威脅偵測服務,可以擴展其功能,以便在帳戶中使用根使用者憑證時通知您。
此警示應包含但不得限於根使用者的電子郵件地址。制定如何回應警示的適當程序,從而收到根使用者存取警示的人員可了解如何驗證預期的根使用者存取權,以及如果他們認為安全事件正在進行中該如何上報。有關如何設定警示的範例,請參閱監控和通知 AWS 帳戶 根使用者活動
評估根使用者 MFA 合規
下列服務可協助評估根使用者憑證的 MFA 合規性。
如果遵循移除根使用者憑證的最佳實務,則 MFA 相關規則會傳回不合規。
建議從組織的成員帳戶中移除根使用者憑證,以協助防止未經授權的使用。在移除根使用者憑證 (包括 MFA) 之後,這些成員帳戶將會評估為不適用。
-
AWS Config 提供規則來監控對根使用者最佳實務的遵守情況。可以使用 AWS Config 受管規則來協助您強制執行根使用者憑證的 MFA。AWS Config 也可以識別根使用者的存取金鑰。
-
Security Hub 可供您全方位檢視 AWS 中的安全狀態,並可協助您評估 AWS 環境是否符合安全業界標準和最佳實務,例如對根使用者使用 MFA 以及沒有採用根使用者存取金鑰。如需有關可用規則的詳細資訊,請參閱 Security Hub 使用者指南中的 AWS Identity and Access Management 控制項。
-
Trusted Advisor 提供安全性檢查,以便您知道根使用者帳戶上是否未啟用 MFA。如需詳細資訊,請參閱 AWS 支援使用者指南中的根帳戶上的 MFA。
如果您需要回報帳戶的安全性問題,請參閱回報可疑電子郵件
