主题 4：管理身份

涵盖的八种基本策略

限制管理权限、多因素身份验证

健全的身份和权限管理是管理云端安全的关键方面。强大的身份实践在必要的访问权限和最低权限之间取得平衡。这有助于开发团队在不影响安全性的情况下快速行动。

使用身份联合来集中管理身份。这使得管理多个应用程序和服务的访问权限变得更加容易，因为您可以从一个位置管理访问权限。这还可以帮助您实现临时权限和多因素身份验证 (MFA)。

仅向用户授予他们执行任务所需的权限。 AWS Identity and Access Management Access Analyzer 可以验证策略并验证公共和跨账户访问权限。 AWS Organizations 服务控制策略 (SCPs)、IAM 策略条件、IAM 权限边界和 AWS IAM Identity Center 权限集等功能可以帮助您配置精细访问控制 (F GAC)。

进行任何类型的身份验证时，最好使用临时凭证来减少或消除风险，例如凭据被无意中泄露、共享或被盗。使用 IAM 角色而不是 IAM 用户。

使用强大的登录机制（例如 MFA）来降低登录凭据被无意中泄露或容易被猜到的风险。需要为根用户提供 MFA，您也可以在联合身份验证级别要求使用 MFA。如果不可避免地使用 IAM 用户，请强制执行 MFA。

要监控和报告合规性，您必须不断努力减少权限，监控来自 IAM Access Analyzer 的调查结果，并移除未使用的 IAM 资源。使用 AWS Config 规则来确保强制使用强大的登录机制、证书的有效期以及使用 IAM 资源。

Well-Architecte AWS d Framework 中的相关最佳实践

• SEC02-BP01 使用强大的登录机制

• SEC02-BP02 使用临时凭证

• SEC02-BP03 安全地存储和使用密钥

• SEC02-BP04 依赖集中式身份提供程序

• SEC02-BP05 定期审计和轮换凭证

• SEC02-BP06 使用用户组和属性

• SEC03-BP01 定义访问要求

• SEC03-BP02 授予最低访问权限

• SEC03-BP03 建立紧急访问流程

• SEC03-BP04 持续减少权限

• SEC03-BP05 为您的组织定义权限护栏

• SEC03-BP06 基于生命周期管理访问权限

• SEC03-BP07 分析公共和跨账户访问

• SEC03-BP08 在组织内安全地共享资源

实现这个主题

实施身份联合

• 要求人类用户与身份提供商联合使用临时 AWS 证书进行访问

• 对您的 AWS 环境实施临时提升访问权限

应用最低权限许可

• 保护您的根用户凭证，不要将其用于日常任务

• 使用 IAM 访问分析器根据访问活动生成最低权限策略

• 使用 IAM Access Analyzer 验证公共和跨账户对资源的访问权限

• 使用 IAM 访问分析器验证您的 IAM 策略以获得安全和功能权限

• 跨多个账户建立权限防护栏

• 使用权限边界设置基于身份的策略可以授予的最大权限

• 使用 IAM 策略中的条件进一步限制访问权限

• 定期审查并删除未使用的用户、角色、权限、策略和证书

• 开始使用 AWS 托管策略，转向最低权限权限

• 使用 IAM 身份中心中的权限集功能

轮换证书

• 要求工作负载使用 IAM 角色进行访问 AWS

• 自动删除未使用的 IAM 角色

• 对于需要长期凭证的用例，定期轮换访问密钥

强制执行 MFA

• 需要为根用户提供 MFA

• 要求通过 IAM 身份中心进行 MFA

• 考虑要求对特定于服务的 API 操作进行 MFA

监视此主题

监控最低权限访问权限

• 将 IAM 访问分析器的调查结果发送至 AWS Security Hub

• 考虑为关键 IAM 身份中心调查结果设置通知

• 定期查看您的证书报告 AWS 账户

实施以下 AWS Config 规则

• ACCESS_KEYS_ROTATED

• IAM_ROOT_ACCESS_KEY_CHECK

• IAM_USER_MFA_ENABLED

• IAM_USER_UNUSED_CREDENTIALS_CHECK

• IAM_PASSWORD_POLICY

• ROOT_ACCOUNT_HARDWARE_MFA_ENABLED