SEC01-BP02 保護帳戶根使用者和屬性
根使用者是 AWS 帳戶 中最具特權的使用者,對帳戶內的所有資源具備完整的管理存取權,並且在某些情況下,不受安全政策的限制。停用對根使用者的程式設計存取,為根使用者建立適當的控制,以及避免例行使用根使用者,可降低意外暴露根憑證及後續危及雲端環境的風險。
預期成果:保護根使用者有助於降低因誤用根使用者憑證而可能發生的意外或有意傷害的可能性。建立偵測控制也能在當使用根使用者採取動作時警告適當的人員。
常見的反模式:
-
將根使用者用於需要根使用者憑證以外的工作。
-
疏於定期測試緊急應變計劃以確認重大基礎設施、程序和人員在緊急情況下的運作情形。
-
僅考慮一般帳戶登入流程而疏於考慮或測試替代帳戶復原方法。
-
未將 DNS、電子郵件伺服器和電話提供者作為重要安全周邊的一部分來處理,因為其會用於帳戶復原流程。
建立此最佳實務的優勢:保護對根使用者的存取可建立信心,讓您知道帳戶中的動作受到控制和稽核。
未建立此最佳實務時的風險暴露等級:高
實作指引
AWS 提供眾多工具來協助保護您的帳戶。然而,由於不會啟用當中部分的措施預設,您必須採取直接的行動加以實作。考慮將這些建議作為保護 AWS 帳戶 的基本步驟。實作這些步驟時,務必建立程序以持續評估和監視安全控制。
首次建立 AWS 帳戶 時,您是從一個對帳戶中所有 AWS 服務和資源具有完全存取權的身分開始。此身分就是所謂的 AWS 帳戶 根使用者。您可以使用您建立該帳戶所用的電子郵件地址和密碼,以根使用者的身分登入。由於 AWS 根使用者獲得的已提升存取權,您必須將 AWS 根使用者限用於執行特別需要它的工作。根使用者登入憑證必須受嚴密防護,並且您應該一律為 AWS 帳戶 根使用者啟用多重要素驗證 (MFA)。
除了一般驗證流程 (使用使用者名稱、密碼和多重要素驗證 (MFA) 裝置登入根使用者) 之外,還有帳戶復原流程會登入 AWS 帳戶 根使用者,而其能夠存取與您的帳戶相關聯的電子郵件地址和電話號碼。因此,保護傳送復原電子郵件的根使用者電子郵件帳戶以及與帳戶相關聯的電話號碼同樣也很重要。另外,對於與根使用者相關聯的電子郵件地址託管在相同 AWS 帳戶的電子郵件伺服器或網域名稱服務 (DNS) 資源上的情況,也要考慮可能的循環相依性。
使用 AWS Organizations 時,會有多個 AWS 帳戶,各自都有根使用者。將一個帳戶指定為管理帳戶,接著可以在該管理帳戶之下新增數層成員帳戶。優先保護您的管理帳戶根使用者後,再來處理成員帳戶根使用者。保護管理帳戶根使用者的策略可不同於成員帳戶根使用者,而且您可以對成員帳戶根使用者設立預防性安全控制。
實作步驟
以下是為根使用者建立控制的建議實作步驟。適用時,可交互參考 CIS AWS Foundations 基準版本 1.4.0 建議。除了這些步驟之外,請諮詢 AWS 最佳實務指導方針
預防性控制
-
為帳戶設定準確的聯絡資訊。
-
此資訊會用於遺失密碼復原流程、遺失 MFA 裝置帳戶復原流程,以及與您的團隊進行重大安全相關通訊。
-
使用由您的企業網域所託管的電子郵件地址 (最好是使用分發清單) 作為根使用者的電子郵件地址。使用分發清單而不是個人的電子郵件帳戶可對長期存取根帳戶提供額外的備援和持續性。
-
聯絡資訊上所列的電話號碼應該是針對此用途的專用安全電話。不應公布或與他人共用電話號碼。
-
-
請勿為根使用者建立存取金鑰。若存在存取金鑰,請將其移除 (CIS 1.4)。
-
去除根使用者任何長期存留的程式設計憑證 (存取和秘密金鑰)。
-
若根使用者存取金鑰已存在,您應該將使用這些金鑰的程序轉換為從 AWS Identity and Access Management (IAM) 角色使用暫時存取金鑰,然後刪除根使用者存取金鑰。
-
-
確定您是否需要儲存根使用者的憑證。
-
如果您使用 AWS Organizations 建立新成員帳戶,則成員帳戶上的根使用者的初始密碼會設為隨機值,並且不會向您公開。必要時,考慮使用 AWS 組織管理帳戶的密碼重設程序獲取對成員帳戶的存取權。
-
對於獨立 AWS 帳戶 或管理 AWS 組織帳戶,請考慮建立根使用者的憑證並安全存放。為根使用者啟用 MFA。
-
-
在 AWS 多帳戶環境中為成員帳戶根使用者啟用預防性控制。
-
考慮為成員帳戶啟用不允許建立根使用者的根存取金鑰預防性防護機制。
-
考慮為成員帳戶啟用不允許根使用者的動作預防性防護機制。
-
-
如果您需要根使用者的憑證:
-
使用複雜密碼。
-
為根使用者啟用多重要素驗證 (MFA),尤其是 AWS Organizations 管理 (付款人) 帳戶 (CIS 1.5)。
-
考慮硬體 MFA 裝置以獲得彈性和安全性,因為一次性裝置可減少包含 MFA 代碼的裝置重複用於其他用途的可能性。確認定期更換使用電池的硬體 MFA 裝置。(CIS 1.6)
-
考慮註冊多個 MFA 裝置以備用。 每個帳戶最多允許 8 個 MFA 裝置
。 -
請注意,為根使用者註冊一個以上的 MFA 裝置會自動停用 MFA 裝置遺失時復原帳戶的流程
。
-
-
請將密碼妥善保管,如果以電子方式儲存密碼,請考慮循環相依性。儲存密碼時,請勿以需要存取相同的 AWS 帳戶 來取得密碼的方式儲存。
-
-
選擇性:考慮為根使用者建立定期密碼輪流排程。
-
憑證管理最佳實務取決於您法規和政策需求。受 MFA 保護的根使用者不依賴把密碼當作單一驗證要素。
-
定期變更根使用者密碼可降低意外洩露的密碼可能遭到誤用的可能性。
-
偵測控制
-
建立警示以偵測根憑證的使用 (CIS 1.7)。啟用 Amazon GuardDuty 將透過 RootCredentialUsage 發現結果監控並發出關於根使用者 API 憑證使用的通知。
-
評估並實作適用於 AWS Config 的 AWS Well-Architected 安全支柱合規套件中包含的偵測控制,或者若是使用 AWS Control Tower,Control Tower 內有提供強烈建議的控制。
操作指導
-
確定組織內誰應該存取根使用者憑證。
-
使用雙人規則,如此沒有單獨一人可以存取所有必要的憑證和 MFA 來取得根使用者存取權。
-
確認組織而不是單一個人持有對與帳戶相關聯的電話號碼和電子郵件別名 (用於密碼重設和 MFA 重設程序) 的控制權。
-
-
只在特殊情況下使用根使用者 (CIS 1.7)。
-
AWS 根使用者不可用於日常任務,即使管理任務也一樣。僅以根使用者身分登入執行需要根使用者的 AWS 任務。所有其他動作都應該由其他擔任適當角色的使用者執行。
-
-
定期檢查根使用者的存取權操作正常,以便在發生需要使用根使用者憑證的緊急情況之前,測試相關程序。
-
定期檢查與帳戶相關聯的電子郵件地址,以及替代聯絡人下所列的電子郵件地址有效。監控這些電子郵件收件匣,查看您可能接收的安全通知
<abuse@amazon.com>。另外確保與帳戶相關聯的任何電話號碼都有效。 -
準備事件回應程序以回應根帳戶誤用的情況。請參考 AWS 安全事件應變指南和安全支柱白皮書的事件應變一節中的最佳實務,取得更多有關為您的 AWS 帳戶 建立事件應變策略的資訊。
資源
相關的最佳實務:
相關文件:
相關影片:
-
限制使用 AWS 根憑證
,取自 AWS re:inforce 2022 – 使用 AWS 的安全最佳實務 IAM
相關範例和實驗室:
