身分與存取管理
Identity and Access Management 是資訊安全計畫的關鍵部分,可確保只有經過授權和身分驗證的使用者和元件,才能以您想要的方式存取您的資源。例如,您應定義主體 (即為可在您的帳戶內執行動作的帳戶、使用者、角色和服務),建立與這些主體一致的政策,並實作強勢憑證管理。這些權限管理元素構成身份驗證與授權的核心。
在 AWS 中,權限管理主要由 AWS Identity and Access Management (IAM) 服務支援,它讓您可以控制對 AWS 服務和資源的使用者和程式設計存取。您應該套用精細的政策,將權限分配給使用者、群組、角色或資源。您還可以要求使用強式密碼,例如要求複雜性等級、避免重複使用以及強制執行多重要素驗證 (MFA)。您可以將聯合身分驗證與現有目錄服務一起使用。對於要求系統有權存取 AWS 的工作負載,IAM 可以透過角色、執行個體描述檔、聯合身分和臨時登入資料來實現安全存取。
下列問題著重於安全方面的這些考量。
| SEC 2:如何管理人員和機器的身分? |
|---|
|
處理安全的 AWS 工作負載時,您需要管理兩種身分類型。了解您需要管理和授予存取權的身分類型,有助於確認正確的身分在適當的條件下存取正確的資源。 人員身分:管理員、開發人員、操作員及終端使用者需要身分才能存取 AWS 環境和應用程式。這些是貴組織的成員或與您協作的外部使用者,以及透過 Web 瀏覽器、用戶端應用程式或互動式命令列工具與 AWS 資源互動的外部使用者。 機器身分:您的服務應用程式、操作工具和工作負載需要身分,才能向 AWS 服務發出請求,例如讀取資料。這些身分包括在 AWS 環境 (例如 Amazon EC2 執行個體或 AWS Lambda 函數) 中執行的機器。您也可以為需要存取權的外部各方管理其機器身分。此外,您可能還有 AWS 外部機器需要存取 AWS 環境。 |
| SEC 3:如何管理人員和機器的許可? |
|---|
| 管理許可,以控制對需要存取 AWS 和工作負載的人員和機器身分的存取。許可控制誰可以在何種條件下存取哪些內容。 |
登入資料不得在任何使用者或系統之間共用。應使用最低權限的方法以及最佳實務 (包括密碼要求和強制執行 MFA) 來授予使用者存取權限。包括對 AWS 服務的 API 呼叫在內的程式設計存取應使用臨時和有限權限的登入資料 (例如由 AWS Security Token Service 發出的登入資料) 執行。
若使用者想要與 AWS 管理主控台 之外的 AWS 互動,則需要程式設計存取權。授予程式設計存取權的方式取決於存取 AWS 的使用者類型。
若要授與使用者程式設計存取權,請選擇下列其中一個選項。
| 哪個使用者需要程式設計存取權? | 到 | 根據 |
|---|---|---|
|
人力資源身分 (IAM Identity Center 中管理的使用者) |
使用臨時憑證簽署對 AWS CLI、AWS SDKs 或 AWS APIs 的程式設計請求。 |
請依照您要使用的介面所提供的指示操作。
|
| IAM | 使用臨時憑證簽署對 AWS CLI、AWS SDKs 或 AWS APIs 的程式設計請求。 | 請遵循 IAM 使用者指南 中 使用臨時憑證搭配 AWS 資源 中的指示。 |
| IAM | (不建議使用) 使用長期憑證簽署 AWS CLI、AWS SDKs 或 AWS APIs 的程式設計要求。 |
請依照您要使用的介面所提供的指示操作。
|
AWS 提供了可以幫助您進行身分和存取管理的資源。若要協助學習最佳實務,請探索我們的實作實驗室,了解如何管理憑證和驗證
