ACCT.03 - 为每个用户配置控制台访问权限

作为最佳实践， AWS 建议使用临时证书来授予对 AWS 账户 和资源的访问权限。临时凭证的使用期限有限，因此，在不需要这些凭证时不必轮换或明确撤销它们。有关更多信息，请参阅 Temporary security credentials（IAM 文档）。

对于人类用户， AWS 建议使用集中式身份提供商 (IdP) 提供的联合身份，例如 Okta、Active Directory 或 Ping Identity。 AWS IAM Identity Center联合用户允许您在单一的中心位置定义身份，并且用户可以安全地向多个应用程序和网站进行身份验证 AWS，包括仅使用一组凭证。有关更多信息，请参阅中的联合身份 AWS和 IAM 身份中心（AWS 网站）。

注意

身份联合验证会使从单账户架构到多账户架构的过渡变得复杂。初创企业通常会推迟实施身份联合验证，直到他们建立一个在 AWS Organizations中管理的多账户架构。

若要设置身份联合验证

1. 如果您使用的是 IAM Identity Center，请参阅 Getting started（IAM Identity Center 文档）。

   如果您使用的是外部或第三方 IdP，请参阅 Creating IAM identity providers（IAM 文档）。

2. 确保您的 IdP 强制执行多重身份验证（MFA）。

3. 根据 ACCT.04 - 分配权限 应用权限。

对于未准备好配置身份联合验证的初创企业，可以直接在 IAM 中创建用户。这不是推荐的安全最佳实践，因为这些是永不过期的长期凭证。但这是初创企业在运营初期的常见做法，防止在运营准备就绪过渡到多账户架构时遇到困难。

作为基线，您可以为需要访问 AWS Management Console的每个人创建一个 IAM 用户。如果您配置 IAM 用户，请勿在用户之间共享凭证，并定期轮换长期凭证。

警告

IAM 用户拥有长期证书，这会带来安全风险。为帮助减轻这种风险，我们建议仅向这些用户提供执行任务所需的权限，并在不再需要这些用户时将其移除。

若要创建 IAM 用户

1. 创建 IAM 用户（IAM 文档）。

2. 根据 ACCT.04 - 分配权限 应用权限。