准备最低权限许可
使用最低权限许可是 IAM 最佳实践的建议。最低权限许可的概念是授予用户执行某项任务所需的权限,而不授予其他权限。设置时,请考虑如何支持最低权限许可。根用户、管理员用户和紧急访问 IAM 用户都拥有强大的权限,而日常任务不需要这些权限。在您学习 AWS 和试用各种服务时,我们建议您在 IAM Identity Center 中至少创建一个具有较低权限的用户,以便在不同的场景中使用。您可以使用 IAM policy 来定义在特定条件下可以对特定资源执行的操作,然后使用较低权限的账户连接到这些资源。
如果您使用的是 IAM Identity Center,请考虑使用 IAM Identity Center 权限集作为开始。要了解更多信息,请参阅《IAM Identity Center 用户指南》中的 Create a permission set。
如果您不使用 IAM Identity Center,则请使用 IAM 角色为不同的 IAM 实体定义权限。要了解更多信息,请参阅 IAM 角色创建。
IAM 角色和 IAM Identity Center 权限集均可使用基于工作职能的 AWS 托管策略。有关这些策略授予权限的详细信息,请参阅 工作职能的 AWS 托管策略。
重要
请记住,AWS 托管策略可能不会为您的特定使用场景授予最低权限许可,因为它们可供所有 AWS 客户使用。设置后,我们建议您使用 IAM Access Analyzer 根据在 AWS CloudTrail 中记录的访问活动来生成最低权限策略。有关策略生成的更多信息,请参阅 IAM Access Analyzer 策略生成。
开始使用时,建议您使用 AWS 托管策略来授予权限。经过预定义的示例活动时段(如 90 天)后,您可以查看人员和工作负载已访问的服务。然后,您可以创建新的客户管理型策略,该策略的权限有所减少以替换 AWS 托管策略。新策略应仅包括采样周期内访问的服务。更新权限以移除 AWS 托管策略并附加您创建的新的客户管理型策略。