適用於 AWS 帳戶的根使用者最佳實務 - AWS Identity and Access Management
保護您的根使用者憑證,以防止未經授權使用使用強式根使用者密碼來協助保護存取使用多重要素驗證 (MFA) 保護您的根使用者登入不要為根使用者建立存取金鑰盡可能為根使用者登入使用多人核准使用群組電子郵件地址作為根使用者憑證限制存取帳戶復原機制保護您的 Organizations 帳戶根使用者憑證監控存取和用量

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

適用於 AWS 帳戶的根使用者最佳實務

當您第一次建立時 AWS 帳戶,您會從一組預設的認證開始,並可完整存取您帳戶中的所有 AWS 資源。此身分稱為 AWS 帳戶 根使用者。強烈建議您不要存取 AWS 帳戶 root 使用者,除非您有需要 root 使用者認證的工作。您需要保護根使用者憑證和帳戶復原機制,以協助確保不會公開具有高權限的憑證以供未經授權使用。

並非存取根使用者,而是建立日常任務的系統管理使用者。

然後,您可以使用管理使用者為需要存取 AWS 帳戶中資源的使用者建立其他身分。強烈建議您要求使用者在存取時使用臨時登入資料進行驗證 AWS。

  • 對於單一、獨立 AWS 帳戶,使用IAM 角色在您的帳戶中建立具有特定權限的身分識別。角色旨在可由任何需要它的使用者擔任。此外,角色沒有與之關聯的標準長期憑證,例如密碼或存取金鑰。反之,當您擔任角色時,其會為您的角色工作階段提供臨時安全性憑證。與 IAM 角色不同,IAM 使用者 擁有長期憑證,例如密碼和存取金鑰。最佳實務建議盡可能依賴暫時憑證,而不是建立擁有長期憑證 (例如密碼和存取金鑰) 的 IAM 使用者。

  • 對於透過 Organizations AWS 帳戶 管理的多個人,請使用 IAM 身分中心人力使用者。透過 IAM 身分中心,您可以集中管理各個帳戶的使用者 AWS 帳戶 和這些帳戶內的許可。可使用 IAM Identity Center 或外部身分供應商來管理使用者身分。如需詳細資訊,請參閱 AWS IAM Identity Center 使用者指南中的什麼是 AWS IAM Identity Center

保護您的根使用者憑證,以防止未經授權使用

保護您的根使用者憑證,僅將其用於需要它們的任務。為了防止未經授權的使用,請勿與任何人共用您的 root 使用者密碼、MFA、 CloudFront 存取金鑰、金鑰配對或簽署憑證,除非具有嚴格業務需求才能存取 root 使用者的憑證。

不要將 root 用戶密碼與依賴於使用相同密碼訪問的帳戶 AWS 服務 中的工具存儲在一起。如果您遺失或忘記 root 使用者密碼,將無法存取這些工具。我們建議您優先考慮彈性,並考慮要求兩個或更多人授權存取儲存位置。應記錄並監控任何對密碼的存取或其儲存位置。

使用強式根使用者密碼來協助保護存取

我們建議您使用高強度且唯一的密碼。具有強密碼產生演算法的密碼管理器之類的工具可協助您實現這些目標。 AWS 要求您的密碼必須符合下列條件:

  • 它必須至少有 8 個字元,最多 128 個字元。

  • 它至少混用 3 種下列類型字元:大寫、小寫、數字和 ! @ # $ % ^ & * () <> [] {} | _+-= 符號。

  • 它不得與您的 AWS 帳戶 姓名或電子郵件地址相同。

如需詳細資訊,請參閱 更改密碼 AWS 帳戶根使用者

使用多重要素驗證 (MFA) 保護您的根使用者登入

因為根使用者可以執行特權動作,因此除了將電子郵件地址和密碼作為登入憑證之外,還要將根使用者的 MFA 新增為第二個身分驗證因素。我們強烈建議您為根使用者憑證啟用多個 MFA,以在安全性策略中提供額外的靈活性和彈性。您可以以目前受支援 MFA 類型的任意組合為您的 AWS 帳戶 根使用者註冊最多八台 MFA 裝置。

不要為根使用者建立存取金鑰

存取金鑰可讓您在 AWS 命令列介面 (AWS CLI) 中執行命令,或從其中一個 AWS SDK 使用 API 作業。強烈建議您不要為 root 使用者建立存取金鑰配對,因為 root 使用者擁有帳戶中所有 AWS 服務 資源的完整存取權,包括帳單資訊。

由於只有少數工作需要 root 使用者,而且您通常不常執行這些工作,因此建議您登入以執行 root 使用者工作。 AWS Management Console 在建立存取金鑰前,請檢閱長期存取金鑰的替代方案

盡可能為根使用者登入使用多人核准

請考慮使用多人核准,以確保沒有任何人可以同時存取根使用者的 MFA 和密碼。有些公司會設定可存取密碼的管理員群組,以及另一個可存取 MFA 的管理員群組,藉此增加額外的安全性層級。每個群組必須各有一位成員共同作為根使用者登入。

使用群組電子郵件地址作為根使用者憑證

使用由企業管理的電子郵件地址,直接將收到的訊息轉寄給使用者群組。如果 AWS 必須聯繫帳戶的所有者,這種方法可以降低響應延遲的風險,即使個人休假,生病或已經離開了業務。用於根使用者的電子郵件地址不得用於其他目的。

限制存取帳戶復原機制

務必制定程序來管理根使用者憑證復原機制,以防在緊急情況下需要存取該機制,例如接管您的管理帳戶。

  • 確保您有權存取根使用者電子郵件收件匣,以便可以重設遺失或忘記的根使用者密碼

  • 如果 AWS 帳戶 根使用者的 MFA 遺失、損壞或無法運作,您可以使用向相同根使用者認證註冊的另一個 MFA 登入。如果您無法訪問所有 MFA,則需要註冊帳戶時使用的電話號碼和電子郵件地址,以保持最新狀態並可以訪問以恢復您的 MFA。如需詳細資訊,請參閱復原根使用者 MFA 裝置

  • 如果您選擇不儲存根使用者密碼和 MFA,則可以使用帳戶中註冊的電話號碼作為復原根使用者憑證的替代方法。確保您可以存取聯絡人電話號碼,保持更新此電話號碼,並且限制可以存取以管理電話號碼的使用者。

應沒有任何人有權同時存取電子郵件收件匣和電話號碼,因為兩者都是復原根使用者密碼的驗證渠道。務必安排兩組人員管理這些渠道。一個群組可以存取您的主要電子郵件地址,另一個群組可以存取主要電話號碼,從而復原以根使用者身分存取您帳戶的許可。

保護您的 Organizations 帳戶根使用者憑證

當您使用 Organizations 轉向多帳戶策略時,您的每個人都 AWS 帳戶 有自己的 root 使用者憑證,以確保您需要保護這些憑證。您用來建立組織的帳戶是管理帳戶,組織中的其餘帳戶則為成員帳戶

保護成員帳戶的根使用者憑證

如果您使用 Organizations 來管理多個帳戶,可以採取兩種策略來保護 Organizations 中的根使用者存取權。

  • 使用 MFA 保護 Organizations 帳戶的根使用者憑證。

  • 請勿為您的帳戶重設根使用者密碼,只有在需要時才使用密碼重設程序復原存取權限。當您在組織中建立成員帳戶時,Organizations 會自動在成員帳戶中建立 IAM 角色,該角色允許管理帳戶暫時存取成員帳戶。

如需詳細資訊,請參閱 Organizations 使用者指南中的存取組織中的成員帳戶

使用服務控制政策 (SCP) 設定 Organizations 中的預防安全控制措施

如果您使用 Organizations 管理多個帳戶,可以套用 SCP 來限制對成員帳戶根使用者的存取。拒絕成員帳戶中的所有根使用者動作 (除了某些僅限根的動作),這樣有助於防止未經授權的存取。有關詳細資訊,請參閱使用 SCP 來限制成員帳戶中根使用者可執行的動作

監控存取和用量

我們建議您使用目前的追蹤機制來監控、警示和報告根使用者憑證的登入和使用情況,包括宣告根使用者登入和用量的警示。下列服務可協助確保追蹤根使用者憑證用量,並且執行安全性檢查,以防止未經授權的使用。

  • 如果您希望收到有關帳戶中根使用者登入活動的通知,可以利用 Amazon CloudWatch 建立事件規則,以偵測何時使用 root 使用者登入資料,並向安全管理員觸發通知。如需詳細資訊,請參閱監控 AWS 帳戶 根使用者活動並通知

  • 如果您想要設定通知以提醒您核准的根使用者動作,可以利用 Amazon EventBridge 和 Amazon SNS 撰寫 EventBridge 規則來追蹤特定動作的根使用者使用情況,並使用 Amazon SNS 主題通知您。如需範例,請參閱建立 Amazon S3 物件時傳送通知

  • 如果您已經用 GuardDuty 作威脅偵測服務,您可以擴充其功能,以便在帳戶中使用 root 使用者認證時通知您。

此警示應包含但不得限於根使用者的電子郵件地址。制定如何回應警示的適當程序,從而收到根使用者存取警示的人員可了解如何驗證預期的根使用者存取權,以及如果他們認為安全事件正在進行中該如何上報。有關如何設定警示的範例,請參閱監控和通知 AWS 帳戶 根使用者活動

評估根使用者 MFA 合規

  • AWS Config 使用規則來協助強制執行 root 使用者的最佳作法。您可以使用 AWS 受管規則來要求 root 使用者啟用多因素驗證 (MFA)。 AWS Config 也可以識別 root 使用者的存取金鑰

  • Security Hub 為您提供中安全性狀態的全面檢視, AWS 並協助您根據安全性產業標準和最佳做法來評估您的 AWS 環境,例如針對 root 使用者擁有 MFA,而且沒有 root 使用者存取金鑰。如需有關可用規則的詳細資訊,請參閱 Security Hub 使用者指南中的 AWS Identity and Access Management 控制項

  • Trusted Advisor 提供安全性檢查,以便您知道根使用者帳戶是否未啟用 MFA。如需詳細資訊,請參閱 AWS 支援使用者指南中的根帳戶上的 MFA

如果您需要回報帳戶的安全性問題,請參閱回報可疑電子郵件弱點回報。或者,您可以聯絡 AWS 以取得協助和其他指導。