適用於 AWS 帳戶的根使用者最佳實務

第一次建立 時 AWS 帳戶，您會從一組預設憑證開始，並完全存取您帳戶中的所有 AWS 資源。此身分稱為 AWS 帳戶 根使用者。強烈建議您不要存取 AWS 帳戶 根使用者，除非您的任務需要根使用者憑證 。您需要保護根使用者憑證和帳戶復原機制，以協助確保不會公開具有高權限的憑證以供未經授權使用。

對於透過 Organizations AWS 帳戶 管理的多個 ，我們建議您從成員帳戶移除根使用者憑證，以協助防止未經授權的使用。您可以移除根使用者密碼、存取金鑰、簽署憑證，以及停用和刪除多重要素身分驗證 （MFA）。成員帳戶無法登入其根使用者，也無法為其根使用者執行密碼復原。如需詳細資訊，請參閱集中管理成員帳戶的根存取權。

並非存取根使用者，而是建立日常任務的系統管理使用者。

• 如果您有新的 AWS 帳戶，請參閱 設定您的 AWS 帳戶。

• 對於透過 AWS 帳戶 受管的多個 AWS Organizations，請參閱設定 IAM Identity Center 管理使用者 的 AWS 帳戶 存取權。

然後，您可以使用管理使用者為需要存取 AWS 帳戶中資源的使用者建立其他身分。我們強烈建議您在存取 時，要求使用者使用臨時憑證進行身分驗證 AWS。

• 對於單一獨立 AWS 帳戶，請使用 IAM 角色在您的帳戶中建立具有特定許可的身分。角色旨在可由任何需要它的使用者擔任。此外，角色沒有與之關聯的標準長期憑證，例如密碼或存取金鑰。反之，當您擔任角色時，其會為您的角色工作階段提供臨時安全性憑證。與IAM角色不同， IAM 使用者具有長期憑證，例如密碼和存取金鑰。如果可能，最佳實務建議依賴臨時憑證，而不是建立具有密碼和存取金鑰等長期憑證IAM的使用者。

• 對於透過 Organizations AWS 帳戶 管理的多個 ，請使用 IAM Identity Center 人力資源使用者。使用 IAM Identity Center，您可以集中管理這些帳戶中您 AWS 帳戶 和 許可的使用者。使用 IAM Identity Center 或從外部身分提供者管理您的使用者身分。如需詳細資訊，請參閱 AWS IAM Identity Center 使用者指南中的什麼是 AWS IAM Identity Center。

保護您的根使用者憑證，以防止未經授權使用

保護您的根使用者憑證，僅將其用於需要它們的任務。為了協助防止未經授權的使用，請勿與任何人共用您的根使用者密碼、MFA、存取金鑰、 CloudFront 金鑰對或簽署憑證，除非那些具有嚴格業務需求的人員需要存取根使用者。

請勿將根使用者密碼與依賴 AWS 服務 於使用相同密碼存取之帳戶中的工具一起存放。如果您遺失或忘記根使用者密碼，您將無法存取這些工具。我們建議您優先考慮彈性，並考慮要求兩個或更多人授權存取儲存位置。應記錄並監控任何對密碼的存取或其儲存位置。

使用強式根使用者密碼來協助保護存取

我們建議您使用高強度且唯一的密碼。具有強密碼產生演算法的密碼管理器之類的工具可協助您實現這些目標。 AWS 要求您的密碼必須符合下列條件：

• 它必須至少有 8 個字元，最多 128 個字元。

• 它至少混用 3 種下列類型字元：大寫、小寫、數字和 ! @ # $ % ^ & * () <> [] {} | _+-= 符號。

• 不得與 AWS 帳戶 您的姓名或電子郵件地址相同。

如需詳細資訊，請參閱變更 的密碼 AWS 帳戶根使用者。

使用多重要素驗證來保護您的根使用者登入 （MFA）

由於根使用者可以執行特權動作，因此除了電子郵件地址和密碼之外，將MFA根使用者新增為第二個身分驗證因素，做為登入憑證也很重要。我們強烈建議MFA為您的根使用者憑證啟用多個 ，以便在您的安全策略中提供額外的靈活性和彈性。您最多可以向 AWS 帳戶 根使用者註冊八部MFA裝置，任何目前支援的MFA類型組合。

• FIDO 經認證的硬體安全金鑰由第三方供應商提供。如需詳細資訊，請參閱啟用 AWS 帳戶 根使用者 FIDO的安全金鑰。

• 根據以時間為基礎的一次性密碼 （TOTP） 演算法產生六位數數字碼的硬體裝置。如需詳細資訊，請參閱為 AWS 帳戶 根使用者 啟用硬體TOTP權杖。

• 在手機或其他裝置上執行並模擬實體裝置的虛擬驗證器應用程式。如需詳細資訊，請參閱為 AWS 帳戶 根使用者 啟用虛擬MFA裝置。

不要為根使用者建立存取金鑰

存取金鑰可讓您在命令列介面 （AWS CLI） 中執行 AWS 命令，或使用其中一個 API的操作 AWS SDKs。強烈建議您不要為根使用者建立存取金鑰對，因為根使用者可以完全存取帳戶中的所有 AWS 服務 和資源，包括帳單資訊。

由於只有少數任務需要根使用者，而且您通常不常執行這些任務，因此我們建議您登入 AWS Management Console 以執行根使用者任務。在建立存取金鑰前，請檢閱長期存取金鑰的替代方案。

盡可能為根使用者登入使用多人核准

考慮使用多人核准，以確保沒有人可以存取根使用者的 MFA和 密碼。有些公司透過設定一組可存取密碼的管理員，以及另一組可存取 的管理員，來新增額外的安全層MFA。每個群組必須各有一位成員共同作為根使用者登入。

使用群組電子郵件地址作為根使用者憑證

使用由企業管理的電子郵件地址，直接將收到的訊息轉寄給使用者群組。如果 AWS 必須聯絡 帳戶的擁有者，即使個人正在休假、生病或已離開業務，此方法也會降低延遲回應的風險。用於根使用者的電子郵件地址不得用於其他目的。

限制存取帳戶復原機制

務必制定程序來管理根使用者憑證復原機制，以防在緊急情況下需要存取該機制，例如接管您的管理帳戶。

• 確保您有權存取根使用者電子郵件收件匣，以便可以重設遺失或忘記的根使用者密碼。

• 如果您的MFA AWS 帳戶 根使用者遺失、損壞或無法使用，您可以使用另一個MFA註冊到相同根使用者憑證的 登入。如果您失去所有 的存取權MFAs，您需要用於註冊帳戶的電話號碼和電子郵件，才能保持最新狀態，並且可以復原您的 MFA。如需詳細資訊，請參閱復原根使用者MFA裝置 。

• 如果您選擇不儲存根使用者密碼和 MFA，則可以使用帳戶中註冊的電話號碼作為復原根使用者憑證的替代方式。確保您可以存取聯絡人電話號碼，保持更新此電話號碼，並且限制可以存取以管理電話號碼的使用者。

應沒有任何人有權同時存取電子郵件收件匣和電話號碼，因為兩者都是復原根使用者密碼的驗證渠道。務必安排兩組人員管理這些渠道。一個群組可以存取您的主要電子郵件地址，另一個群組可以存取主要電話號碼，從而復原以根使用者身分存取您帳戶的許可。

保護您的 Organizations 帳戶根使用者憑證

當您使用 Organizations 移至多帳戶策略時，您的每個 AWS 帳戶 都有自己的根使用者憑證，您需要保護這些憑證。您用來建立組織的帳戶是管理帳戶，組織中的其餘帳戶則為成員帳戶。

保護成員帳戶的根使用者憑證

如果您使用 Organizations 來管理多個帳戶，可以採取兩種策略來保護 Organizations 中的根使用者存取權。

• 集中存取根目錄，並從成員帳戶移除根使用者憑證。您可以移除根使用者密碼、存取金鑰、簽署憑證，以及停用和刪除多重要素身分驗證 （MFA）。成員帳戶無法登入其根使用者，也無法為其根使用者執行密碼復原。如需詳細資訊，請參閱集中管理成員帳戶的根存取權。

• 使用 保護 Organizations 帳戶的根使用者憑證MFA。

如需詳細資訊，請參閱 Organizations 使用者指南中的存取組織中的成員帳戶。

使用服務控制政策在 Organizations 中設定預防性安全控制 （SCP）

如果組織中的成員帳戶已啟用根使用者憑證，您可以套用 SCP 來限制對成員帳戶根使用者的存取。拒絕成員帳戶中的所有根使用者動作 (除了某些僅限根的動作)，這樣有助於防止未經授權的存取。如需詳細資訊，請參閱使用 SCP來限制成員帳戶中的根使用者可執行哪些操作。

監控存取和用量

我們建議您使用目前的追蹤機制來監控、警示和報告根使用者憑證的登入和使用情況，包括宣告根使用者登入和用量的警示。下列服務可協助確保追蹤根使用者憑證用量，並且執行安全性檢查，以防止未經授權的使用。

注意

CloudTrail 會記錄根使用者和權限根使用者工作階段的不同登入事件。這些特殊權限工作階段允許在組織中的成員帳戶中執行需要根使用者憑證的任務。您可以使用登入事件來識別管理帳戶或使用 委派管理員所採取的動作sts:AssumeRoot。如需詳細資訊，請參閱在 中追蹤特殊權限任務 CloudTrail。

• 如果您想要收到帳戶中根使用者登入活動的通知，您可以利用 Amazon CloudWatch 建立事件規則，以偵測何時使用根使用者憑證，並觸發通知給您的安全管理員。如需詳細資訊，請參閱監控並通知 AWS 帳戶 根使用者活動。

• 如果您想要設定通知來提醒您已核准的根使用者動作，您可以利用 Amazon EventBridge 和 Amazon SNS編寫 EventBridge 規則來追蹤特定動作的根使用者用量，並使用 Amazon SNS主題通知您。如需範例，請參閱建立 Amazon S3 物件時傳送通知。

• 如果您已使用 GuardDuty 作為威脅偵測服務，您可以擴展其功能，以便在帳戶中使用根使用者憑證時通知您。

此警示應包含但不得限於根使用者的電子郵件地址。制定如何回應警示的適當程序，從而收到根使用者存取警示的人員可了解如何驗證預期的根使用者存取權，以及如果他們認為安全事件正在進行中該如何上報。如需如何設定警示的範例，請參閱監控並通知 AWS 帳戶 根使用者活動 。

評估根使用者MFA合規性

下列 服務可協助評估根使用者憑證的MFA合規性。

MFA如果您遵循移除根使用者憑證的最佳實務，則 相關規則會傳回不合規。

我們建議您從組織中的成員帳戶移除根使用者憑證，以協助防止未經授權的使用。移除根使用者憑證後，包括 MFA，這些成員帳戶會評估為不合規。

• AWS Config 提供規則來監控對根使用者最佳實務的合規性。您可以使用 AWS Config 受管規則來協助您MFA強制執行根使用者憑證 。 AWS Config 也可以識別根使用者 的存取金鑰。

• Security Hub 為您提供 中安全狀態的全面檢視 AWS ，並協助您根據安全產業標準和最佳實務評估 AWS 環境，例如在根使用者MFA上擁有 ，以及沒有根使用者存取金鑰。如需有關可用規則的詳細資訊，請參閱 Security Hub 使用者指南中的 AWS Identity and Access Management 控制項。

• Trusted Advisor 提供安全檢查，以便您了解根使用者帳戶上MFA是否未啟用 。如需詳細資訊，請參閱 AWS 支援使用者指南 中的MFA根帳戶。

如果您需要回報帳戶的安全性問題，請參閱回報可疑電子郵件或弱點回報。或者，您可以聯絡 AWS 以取得協助和其他指導。