选择您的 Cookie 首选项

我们使用必要 Cookie 和类似工具提供我们的网站和服务。我们使用性能 Cookie 收集匿名统计数据,以便我们可以了解客户如何使用我们的网站并进行改进。必要 Cookie 无法停用,但您可以单击“自定义”或“拒绝”来拒绝性能 Cookie。

如果您同意,AWS 和经批准的第三方还将使用 Cookie 提供有用的网站功能、记住您的首选项并显示相关内容,包括相关广告。要接受或拒绝所有非必要 Cookie,请单击“接受”或“拒绝”。要做出更详细的选择,请单击“自定义”。

首选项
联系我们
反馈
AWS Documentation
创建 AWS 账户
SEC03-BP04 持续减少权限 - AWS Well-Architected Framework
实施指导 资源

SEC03-BP04 持续减少权限

PDFRSS

当团队和工作负载确定他们需要哪些访问权限时,删除他们不再使用的权限,并建立审核流程以实现最低权限。持续监控和减少未使用的身份和权限。

当团队和项目刚刚起步时,您有时会选择授予宽泛的访问权限(在开发或测试环境中),以激励创新和敏捷性。我们建议您持续评估访问权限,特别是在生产环境中,将访问权限限制为仅提供所需的权限,实现最低权限。AWS 提供了访问权限分析功能,以帮助您识别未使用的访问权限。为了帮助您识别未使用的用户、角色、权限和凭证,AWS 会分析访问活动,并提供关于访问密钥和角色的上次使用情况的信息。您可以使用 上次访问时间戳识别未使用的用户和角色并将它们移除。此外,您还可以查看关于服务和操作的上次访问情况的信息,并 收紧特定用户和角色的权限。例如,您可以使用关于上次访问情况的信息,确定您的应用程序角色需要执行的特定 Amazon Simple Storage Service(Amazon S3)操作,并只允许访问这些操作。AWS Management Console中提供了这些功能,您也可以对这些功能进行编程,以便将它们整合到您的基础设施工作流程和自动化工具中。

未建立这种最佳实践的情况下暴露的风险等级:

实施指导

  • 配置 AWS Identity and Access Management(IAM)Access Analyzer:AWS IAM Access Analyzer 帮助您识别组织和账户中与外部实体共享的资源,例如 Amazon Simple Storage Service(Amazon S3)存储桶或 IAM 角色。

资源

相关文档:

相关视频:

需要帮助吗?

隐私网站条款Cookie 首选项
© 2025, Amazon Web Services, Inc. 或其附属公司。保留所有权利。