Resource Groups 的安全最佳实践 - AWS Resource Groups和标签

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Resource Groups 的安全最佳实践

以下最佳实践是一般指导原则,并不代表完整安全解决方案。这些最佳实践可能不适合您的环境或不满足您的环境要求,请将其视为有用的考虑因素而不是惯例。

  • 使用最小权限原则以授予群组的访问权限。Resource Groups 支持资源级权限。仅根据特定用户的要求授予对特定组的访问权限。避免在向所有用户或所有组分配权限的策略语句中使用星号。有关最低权限的更多信息,请参阅授予最低权限中的IAM 用户指南.

  • 将私人信息保持在公共领域之外。组的名称被视为服务元数据。组名称未加密。不要在组名中放置敏感信息。团体描述是私密的。

    不要将隐私或敏感信息放在标签密钥或标签值中。

  • 基于标签使用授权只要时间。Resource Groups 支持基于标签的授权。您可以标记组,然后更新附加到 IAM 用户和安全组的策略,以根据应用于组的标签设置他们的访问级别。有关如何使用标签的授权的更多信息,请参阅控制对 的访问AWS使用资源标签的资源中的IAM 用户指南.

    多个AWS服务支持基于资源的标签进行授权。请注意,可能会为组中的成员资源配置基于标签的授权。如果对组资源的访问受到标签的限制,则未经授权的用户或组可能无法对这些资源执行操作或自动化。例如,如果您的一个组中的 Amazon EC2 实例使用标签密钥标记Confidentiality和标签值High,并且您无权对标记的资源运行命令Confidentiality:High,即使对资源组中的其他资源执行的操作成功,您对 EC2 实例执行的操作或自动化也将失败。有关哪些服务支持对其资源的基于标签的授权的详细信息,请参阅AWS与 IAM 配合使用的服务中的IAM 用户指南.

    有关为您的设计标签策略的更多信息AWS资源,请参阅AWS标签策略.