# SEC02-BP02 使用臨時憑證
當進行任何類型的驗證時,最好是使用臨時憑證,而不是長期憑證,以降低或消除風險,例如憑證遭到意外洩露、共用或遭竊。
**預期成果:**為了降低長期憑證的風險,對於人員和機器身分,請盡可能使用臨時憑證。長期憑證會產生許多風險,例如,可能在程式碼中將它們上傳至公有 GitHub 儲存庫。透過使用臨時憑證,您可大幅降低憑證遭到入侵的可能性。
**常見的反模式:**
+ 開發人員使用取自 IAM users 的長期存取金鑰,而不是使用聯合從 CLI 取得臨時憑證。
+ 開發人員將長期存取金鑰內嵌在程式碼中,並將該程式碼上傳到公有 Git 儲存庫。
+ 開發人員將長期存取金鑰內嵌在行動應用程式中,之後在應用程式商店中提供該行動應用程式。
+ 使用者與其他使用者共用長期存取金鑰,或是擁有長期存取金鑰的離職員工仍持有金鑰。
+ 對機器身分可以使用臨時憑證時,卻使用長期存取金鑰。
**未建立此最佳實務時的風險暴露等級:**高
## 實作指引
對所有 AWS API 和 CLI 請求使用臨時安全憑證,而不是長期憑證。幾乎在任何情況下,對 AWS 服務的 API 和 CLI 請求都必須使用 [AWS 存取金鑰](https://docs.aws.amazon.com//latest/UserGuide/id_credentials_access-keys.html)簽署。您可以使用臨時或長期憑證簽署這些請求。您唯一應該使用長期憑證 (又稱為長期存取金鑰) 的時候是在使用 [IAM 使用者](https://docs.aws.amazon.com//latest/UserGuide/id_users.html)或 [AWS 帳戶 根使用者](https://docs.aws.amazon.com//latest/UserGuide/id_root-user.html)時。當您聯合至 AWS 或透過其他方法擔任 [IAM 角色](https://docs.aws.amazon.com//latest/UserGuide/id_roles.html)時,系統會產生臨時憑證。每當您使用登入憑證存取 AWS 管理主控台 時,系統會為您產生臨時憑證以呼叫 AWS 服務。在幾種情況下,您將需要長期憑證,並能夠使用臨時憑證完成幾乎所有任務。
避免使用長期憑證而改用臨時憑證,同時實行減少使用 IAM 使用者並支持聯合和 IAM 角色的策略。雖然對人類和機器身分過去以來都是使用 IAM 使用者,我們現在建議不要使用它們以避免使用長期存取金鑰的風險。
### 實作步驟
對於人類身分,例如員工、管理員、開發人員、操作員和客戶:
+ 您應該[仰賴集中式身分提供者](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_identities_identity_provider.html)並[要求人類使用者以聯合搭配身分提供者,使用臨時憑證存取 AWS](https://docs.aws.amazon.com//latest/UserGuide/best-practices.html#bp-users-federation-idp)。您可以[直接聯合至各個 AWS 帳戶](https://aws.amazon.com/identity/federation/) 或使用 [AWS IAM Identity Center (AWS IAM Identity Center 的後繼者)](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html) 和自選的身分提供者,為您的使用者進行聯合。與使用 IAM 使用者相比,聯合除了可消除長期憑證外,還提供一些優勢。您的使用者也可以從命令列進行[直接聯合](https://aws.amazon.com/blogs/security/how-to-implement-federated-api-and-cli-access-using-saml-2-0-and-ad-fs/),或使用 [IAM Identity Center](https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-sso.html) 請求臨時憑證。這表示有少數使用案例會需要 IAM 使用者,或使用者需要長期憑證。
+ 當授權讓第三方 (例如軟體即服務 (SaaS) 提供者) 存取 AWS 帳戶中的資源時,您可以使用[跨帳戶角色](https://docs.aws.amazon.com//latest/UserGuide/tutorial_cross-account-with-roles.html)和[以資源為基礎的政策](https://docs.aws.amazon.com//latest/UserGuide/access_policies_identity-vs-resource.html)。
+ 如果您需要授權應用程式供消費者或客戶存取您的 AWS 資源,您可以使用 [Amazon Cognito 身分集區](https://docs.aws.amazon.com/cognito/latest/developerguide/identity-pools.html)或 [Amazon Cognito user pools](https://docs.aws.amazon.com/cognito/latest/developerguide/cognito-user-identity-pools.html) 來提供臨時憑證。憑證的許可透過 IAM 角色設定。 您還可以對未驗證的訪客使用者另外定義一個具有限制許可的 IAM 角色。
對於機器身分,您可能需要使用長期憑證。在這些情況下,您應該[要求工作負載使用臨時憑證,並以 IAM 角色存取 AWS](https://docs.aws.amazon.com//latest/UserGuide/best-practices.html#bp-workloads-use-roles)。
+ 對於 [Amazon Elastic Compute Cloud](https://aws.amazon.com/pm/ec2/) (Amazon EC2),您可以使用[適用於 Amazon EC2 的角色](https://docs.aws.amazon.com//latest/UserGuide/id_roles_use_switch-role-ec2.html)。
+ [AWS Lambda](https://aws.amazon.com/lambda/) 可讓您設定 [Lambda 執行角色,授予服務許可](https://docs.aws.amazon.com/lambda/latest/dg/lambda-intro-execution-role.html)以使用臨時憑證執行 AWS 動作。有許多其他類似的模型可供 AWS 服務使用 IAM 角色授予臨時憑證。
+ 對於 IoT 裝置,您可以使用 [AWS IoT Core 憑證提供者](https://docs.aws.amazon.com/iot/latest/developerguide/authorizing-direct-aws.html)來請求臨時憑證。
+ 對於內部部署系統或是在 AWS 之外執行並需要存取 AWS 資源的系統,您可以使用 [IAM Roles Anywhere](https://docs.aws.amazon.com/rolesanywhere/latest/userguide/introduction.html)。
有些情況無法使用臨時憑證,而您可能需要使用長期憑證。在這些情況下,[定期稽核和輪換憑證](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_identities_audit.html)並[針對需要長期憑證的使用案例定期輪換存取金鑰](https://docs.aws.amazon.com//latest/UserGuide/best-practices.html#rotate-credentials)。有些可能需要長期憑證的例子包括 WordPress 外掛程式和第三方 AWS 用戶端。在您必須使用長期憑證的情況下,或是對於 AWS 存取金鑰以外的憑證,例如資料庫登入,您可以使用專為管理機密而設計的服務,例如 [AWS Secrets Manager](https://aws.amazon.com/secrets-manager/)。Secrets Manager 方便您使用[支援的服務](https://docs.aws.amazon.com/secretsmanager/latest/userguide/integrating.html)管理、輪換和安全地儲存加密的機密。如需有關輪換長期憑證的詳細資訊,請參閱[輪換存取金鑰](https://docs.aws.amazon.com//latest/UserGuide/id_credentials_access-keys.html#Using_RotateAccessKey)。
## 資源
**相關的最佳實務:**
+ [SEC02-BP03 安全地存放和使用機密](sec_identities_secrets.md)
+ [SEC02-BP04 利用集中式身分提供者](sec_identities_identity_provider.md)
+ [SEC03-BP08 在組織內安全地共用資源](sec_permissions_share_securely.md)
**相關文件:**
+ [臨時安全憑證](https://docs.aws.amazon.com//latest/UserGuide/id_credentials_temp.html)
+ [AWS 憑證](https://docs.aws.amazon.com/general/latest/gr/aws-sec-cred-types.html)
+ [IAM 安全最佳實務](https://docs.aws.amazon.com//latest/UserGuide/best-practices.html)
+ [IAM 角色](https://docs.aws.amazon.com//latest/UserGuide/id_roles.html)
+ [IAM Identity Center](https://aws.amazon.com/iam/identity-center/)
+ [身分提供者與聯合](https://docs.aws.amazon.com//latest/UserGuide/id_roles_providers.html)
+ [輪換存取金鑰](https://docs.aws.amazon.com//latest/UserGuide/id_credentials_access-keys.html#Using_RotateAccessKey)
+ [安全合作夥伴解決方案:存取與存取控制](https://aws.amazon.com/security/partner-solutions/#access-control)
+ [AWS 帳戶根使用者](https://docs.aws.amazon.com//latest/UserGuide/id_root-user.html)
**相關影片:**
+ [使用 AWS IAM Identity Center (AWS IAM Identity Center 的後繼者) 大規模管理使用者許可](https://youtu.be/aEIqeFCcK7E)
+ [在每一層都能掌握身分](https://www.youtube.com/watch?v=vbjFjMNVEpc)