SEC02-BP05 定期审核和轮换证书

定期审计和轮换凭证，以限制凭证可用于访问资源的时间。长期凭证会产生许多风险，可通过定期轮换长期凭证来降低这些风险。

期望结果：实施凭证轮换，以帮助降低长期凭证相关风险。定期审计并纠正不符合凭证轮换策略的情况。

常见反模式：

• 不审计凭证的使用情况。

• 不必要地使用长期凭证。

• 使用长期凭证，不定期轮换。

在未建立这种最佳实践的情况下暴露的风险等级：高

实施指导

当你不能依赖临时凭证而需要长期凭证时，可以对证书进行审计，以验证诸如多因素身份验证 (MFA) 之类的已定义控件是否已强制执行、定期轮换并具有适当的访问级别。

（最好通过自动化工具）定期验证，以确保实施正确的控制措施。对于人员身份，您应要求用户定期更改他们的密码并停用访问密钥，以支持临时凭证。当你从 AWS Identity and Access Management (IAM) 用户转移到集中身份时，你可以生成一份凭证报告来审核你的用户。

我们还建议您在身份提供商MFA中强制执行和监控。您可以设置AWS Config 规则或使用AWS Security Hub 安全标准来监控用户是否已配置MFA。考虑使用 Ro IAM les Anywhere 为计算机身份提供临时证书。在无法使用IAM角色和临时证书的情况下，需要经常审核和轮换访问密钥。

实施步骤

• 定期审核凭证：审核在您的身份提供商中配置的身份，并IAM帮助验证只有经过授权的身份才能访问您的工作负载。此类身份可以包括但不限于IAM用户、 AWS IAM Identity Center 用户、Active Directory 用户或其他上游身份提供商中的用户。例如，删除离开组织的人员，并删除不再需要的跨账户角色。制定定期审计IAM实体访问服务的权限的流程。这有助于您确定需要修改的策略，以删除任何未使用的权限。使用凭证报告和AWS Identity and Access Management Access Analyzer来审计IAM凭证和权限。您可以使用 Amazon CloudWatch 为在您的 AWS 环境中呼叫的特定API呼叫设置警报。Amazon 还 GuardDuty 会提醒您注意意外活动，这可能表明访问权限过于宽松或意外访问了凭证。IAM

• 定期轮换证书：当您无法使用临时证书时，请定期轮换长期IAM访问密钥（最多每 90 天轮换一次）。如果在您不知情的情况下无意中泄露了访问密钥，这将限制凭证用于访问资源的时间。有关轮换IAM用户访问密钥的信息，请参阅轮换访问密钥。

• 查看IAM权限：为了提高您的安全性 AWS 账户，请定期查看和监控您的每项IAM政策。验证这些策略是否遵循最低权限原则。

• 考虑自动创建和更新IAM资源：Ident IAM ity Center 可自动IAM执行许多任务，例如角色和策略管理。或者， AWS CloudFormation 可以用来自动部署IAM资源，包括角色和策略，以减少人为错误的机会，因为模板可以经过验证和版本控制。

• 使用 R IAM oles Anywhere 替换IAM用户的计算机身份：IAMRoles Anywhere 允许您在传统上无法使用的领域（例如本地服务器）中使用角色。IAMRoles Anywhere 使用受信任的 X.509 证书对临时证书进行身份验证 AWS 和接收临时证书。使用 R IAM oles Anywhere 可以避免轮换这些证书，因为长期证书不再存储在您的本地环境中。请注意，您需要监控 X.509 证书，并在该证书即将到期时轮换它。

资源

相关最佳实践：

• SEC02-BP02 使用临时证书

• SEC02-BP03 安全地存储和使用密钥

相关文档：

• 入门 AWS Secrets Manager

• IAM最佳实践

• 身份提供程序和联合身份验证

• 安全合作伙伴解决方案：访问和访问控制

• 临时安全凭证

• 获取您的凭证报告 AWS 账户

相关视频：

• Best Practices for Managing, Retrieving, and Rotating Secrets at Scale

• 通过以下方式大规模管理用户权限 AWS IAM Identity Center

• Mastering identity at every layer of the cake

相关示例：

• Well-Architected Lab-自动用户清理 IAM

• Well-Architected Lab-群组和角色的自动部署 IAM