本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 佈景主題 4：管理身分
<a name="theme-4"></a>

**涵蓋的基本八項策略**  
限制管理權限、多重要素驗證

強大的身分和許可管理是管理雲端安全性的關鍵層面。強大的身分實務會平衡必要的存取和最低權限。這有助於開發團隊快速移動，而不會犧牲安全性。

使用聯合身分來集中管理身分。這可讓您更輕鬆地跨多個應用程式和服務管理存取權，因為您管理來自單一位置的存取權。這也可協助您實作暫時許可和多重要素驗證 (MFA)。

僅授予使用者執行任務所需的許可。 AWS Identity and Access Management Access Analyzer 可以驗證政策並驗證公有和跨帳戶存取。 AWS Organizations 服務控制政策 (SCPs)、IAM 政策條件、IAM 許可界限和 AWS IAM Identity Center 許可集等功能可協助您設定[精細存取控制 (FGAC)](apg-gloss.md#glossary-fgac)。

執行任何類型的身分驗證時，最好使用臨時憑證來降低或消除風險，例如不小心揭露、共用或遭竊的憑證。使用 IAM 角色，而非 IAM 使用者。

使用強大的登入機制，例如 MFA，以降低不慎公開或容易猜測登入資料的風險。需要根使用者的 MFA，您也可以在聯合層級要求它。如果無法避免使用 IAM 使用者，請強制執行 MFA。

若要監控和報告合規性，您必須持續努力減少許可、監控 IAM Access Analyzer 的問題清單，以及移除未使用的 IAM 資源。使用 AWS Config 規則來確保強制執行強大的登入機制、短期登入資料，以及使用 IAM 資源。

## AWS Well-Architected Framework 中的相關最佳實務
<a name="theme-4-best-practices"></a>
+ [SEC02-BP01 使用強大的登入機制](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_identities_enforce_mechanisms.html)
+ [SEC02-BP02 使用臨時憑證](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_identities_unique.html)
+ [SEC02-BP03 安全地儲存和使用機密](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_identities_secrets.html)
+ [SEC02-BP04 仰賴集中式身分提供者](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_identities_identity_provider.html)
+ [SEC02-BP05 定期稽核和輪換憑證](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_identities_audit.html)
+ [SEC02-BP06 採用使用者群組和屬性](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_identities_groups_attributes.html)
+ [SEC03-BP01 定義存取需求](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_permissions_define.html)
+ [SEC03-BP02 授予最低權限存取權](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_permissions_least_privileges.html)
+ [SEC03-BP03 建立緊急存取程序](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_permissions_emergency_process.html)
+ [SEC03-BP04 持續減少許可](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_permissions_continuous_reduction.html)
+ [SEC03-BP05 為您的組織定義許可防護機制](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_permissions_define_guardrails.html)
+ [SEC03-BP06 根據生命週期管理存取](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_permissions_lifecycle.html)
+ [SEC03-BP07 分析公有和跨帳戶存取權](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_permissions_analyze_cross_account.html)
+ [SEC03-BP08 在組織內安全地共用資源](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_permissions_share_securely.html)

## 實作此主題
<a name="theme-4-implementation"></a>

### 實作聯合身分
<a name="t4-identity-federation"></a>
+ [要求人類使用者與身分提供者聯合 AWS 使用臨時憑證存取](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-identity-source.html)
+ [實作對您 AWS 環境的暫時提升存取](https://aws.amazon.com/blogs/security/managing-temporary-elevated-access-to-your-aws-environment/)

### 套用最低權限許可
<a name="t4-least-privilege"></a>
+ [保護您的根使用者憑證，不要將其用於日常任務](https://docs.aws.amazon.com/IAM/latest/UserGuide/root-user-best-practices.html)
+ [使用 IAM Access Analyzer 根據存取活動產生最低權限政策](https://docs.aws.amazon.com/prescriptive-guidance/latest/patterns/dynamically-generate-an-iam-policy-with-iam-access-analyzer-by-using-step-functions.html)
+ [使用 IAM Access Analyzer 驗證對 資源的公有和跨帳戶存取權](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-getting-started.html)
+ [使用 IAM Access Analyzer 驗證您的 IAM 政策是否有安全且功能正常的許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html)
+ [跨多個帳戶建立許可護欄](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/organizations.html)
+ [使用許可界限來設定身分型政策可授予的最大許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html)
+ [使用 IAM 政策中的條件進一步限制存取](https://aws.amazon.com/blogs/apn/top-recommendations-for-working-with-iam-from-our-aws-heroes-part-3-permissions-boundaries-and-conditions/)
+ [定期檢閱和移除未使用的使用者、角色、許可、政策和登入資料](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_last-accessed.html)
+ [開始使用 AWS 受管政策，並朝最低權限的許可邁進](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html)
+ [使用 IAM Identity Center 中的許可集功能](https://docs.aws.amazon.com/singlesignon/latest/userguide/permissionsetsconcept.html)

### 輪換登入資料
<a name="t4-rotate-credentials"></a>
+ [要求工作負載使用 IAM 角色來存取 AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)
+ [自動化刪除未使用的 IAM 角色](https://aws.amazon.com/blogs/security/how-to-centralize-findings-and-automate-deletion-for-unused-iam-roles/)
+ [對於需要長期憑證的使用案例，定期輪換存取金鑰](https://docs.aws.amazon.com/prescriptive-guidance/latest/patterns/automatically-rotate-iam-user-access-keys-at-scale-with-aws-organizations-and-aws-secrets-manager.html)

### 強制執行 MFA
<a name="t4-mfa"></a>
+ [需要根使用者的 MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa.html)
+ [透過 IAM Identity Center 需要 MFA](https://docs.aws.amazon.com/singlesignon/latest/userguide/how-to-configure-mfa-device-enforcement.html)
+ [考慮要求 MFA 進行服務特定的 API 動作](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_examples_general.html#example-scp-mfa)

## 監控此佈景主題
<a name="theme-4-monitoring"></a>

### 監控最低權限存取
<a name="t4-monitor-access"></a>
+ [將 IAM Access Analyzer 調查結果傳送至 AWS Security Hub CSPM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-securityhub-integration.html)
+ [考慮為關鍵 IAM Identity Center 調查結果設定通知](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-eventbridge.html)
+ [定期檢閱 的登入資料報告 AWS 帳戶](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_getting-report.html)

### 實作下列 AWS Config 規則
<a name="t4-cc-rules"></a>
+ `ACCESS_KEYS_ROTATED`
+ `IAM_ROOT_ACCESS_KEY_CHECK`
+ `IAM_USER_MFA_ENABLED`
+ `IAM_USER_UNUSED_CREDENTIALS_CHECK`
+ `IAM_PASSWORD_POLICY`
+ `ROOT_ACCOUNT_HARDWARE_MFA_ENABLED`