AWS 安全認證 - AWS 身分和存取權管理
安全考量

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

AWS 安全認證

與之互動時 AWS,您可以指定 AWS 安全登入資料,以驗證您的身分,以及您是否有權存取要求的資源。 AWS 使用安全認證來驗證和授權您的請求。

例如,如果要從 Amazon Simple Storage Service (Amazon S3) 儲存貯體下載受保護的檔案,您的憑證必須允許此存取動作。如果您的認證未顯示您獲得下載檔案的授權,請 AWS 拒絕您的要求。不過,您不需要您的 AWS 安全登入資料即可在公開共用的 Amazon S3 儲存貯體中下載檔案。

中有不同類型的使用者 AWS,每個使用者都有自己的安全登入資料:

  • 帳戶所有者(root 用戶)— 創建 AWS 帳戶 和具有完全訪問權限的用戶。

  • AWS IAM Identity Center 使用者 — 在中管理的使用者 AWS IAM Identity Center。

  • 同盟使用者 — 來自外部身分識別提供者的使用者,這些提供者可 AWS 透過同盟獲得暫時存 如需聯合身分的詳細資訊,請參閱 身分提供者與聯合

  • IAMuser — 在 AWS Identity and Access Management (IAM) 服務中建立的個別使用者。

使用者擁有長期或暫時安全憑證。根使用者、IAM使用者和存取金鑰具有不會過期的長期安全性登入資料。為了保護長期登入資料,必須具備管理存取金鑰變更密碼啟用的程序MFA。如需詳細資訊,請參閱AWS Identity and Access Management中的安全最佳實務和使用案例

IAM角色 AWS IAM Identity Center 的使用者、和同盟使用者具有暫時的安全性登入資料。暫時安全憑證會在定義的一段時間或使用者結束工作階段後過期。暫時憑證的作用幾乎與長期憑證完全相同,而其差異如下:

  • 暫時安全憑證是「短期」的,如其名稱所暗示。其可設定為在任何地方持續幾分鐘到幾小時不等。認證過期後,將 AWS 不再識別它們或允許從使用它們發出的API請求中進行任何類型的訪問。

  • 暫時性安全憑證不會與使用者一起儲存,但會動態產生並在請求時提供給使用者。當暫時性安全憑證到期時 (或者即使在此之前),使用者可以請求新的憑證,只要使用者的請求仍具有可這麼做的許可。

因此,相較於長期憑證,暫時性憑證具有下列優點:

  • 您不需要在應用程式中散佈或內嵌長期 AWS 安全性登入資料。

  • 您可以為使用者提供對資 AWS 源的存取權,而不必為使用者定義 AWS 身分。暫時憑證是角色和聯合身分的基礎。

  • 臨時安全憑證的存留期有限,因此當不再需要時,您不需要更新它們或明確予以撤銷。暫時性安全憑證到期之後,就無法重複使用。您可以指定憑證的有效期,達到最長限制。

安全考量

建議您在決定適用於 AWS 帳戶的安全規定時,考量下列資訊:

  • 當您建立時 AWS 帳戶,我們會建立帳戶 root 使用者。根使用者 (帳戶擁有者) 的憑證可以完整存取帳戶中的所有資源。您對 root 使用者執行的第一項工作是授與您的其他使用者管理權限, AWS 帳戶 以便將 root 使用者的使用量降到最低。

  • 多因素驗證 (MFA) 為可以存取您 AWS 帳戶的. 的使用者提供額外的安全性等級。為了提高安全性,我們建議您需要MFA AWS 帳戶根使用者 認證和所有IAM使用者。如需詳細資訊,請參閱AWS 多因素身份驗證 IAM

  • AWS 需要不同類型的安全登入資料,具體取決於您存取的方式 AWS 和 AWS 使用者類型。例如,您在使用存取金鑰進行程式設計呼叫 AWS Management Console 時,使用登入認證。 AWS如需判斷使用者類型和登入頁面的說明,請參閱《AWS 登入 使用者指南》中的「什麼是 AWS 登入」。

  • 您無法使用IAM政策明確拒絕 root 使用者存取資源。您只能使用 AWS Organizations 服務控制策略 (SCP) 來限制 root 使用者的權限。

  • 如果您忘記或遺失根使用者密碼,則必須擁有與您帳戶相關聯之電子郵件地址的存取權,才能重設密碼。

  • 如果遺失根使用者存取金鑰,則您必須能夠以根使用者身分登入您的帳戶,才能建立新的金鑰。

  • 請勿將您的根使用者用於日常任務。請將其用來執行只能由根使用者執行的任務。如需檢視需要您以根使用者身分登入的任務完整清單,請參閱 需要根使用者憑證的任務

  • 安全登入資料是帳戶專屬的資料。如果您可以存取多個 AWS 帳戶,則每個帳戶都有單獨憑證。

  • 策略會決定使用者、角色或使用者群組成員可以執行的動作、對哪些 AWS 資源以及在何種情況下可執行的動作。使用政策,您可以安全地控制 AWS 帳戶. AWS 服務 如果您必須修改或撤銷許可以回應安全性事件,則您可以刪除或修改政策,而不是直接變更身分。

  • 請務必將緊急存取IAM使用者的登入認證,以及為程式設計方式存取而建立的任何存取金鑰儲存在安全位置。如果您遺失存取金鑰,則必須登入帳戶建立新金鑰。

  • 強烈建議您使用由IAM角色和同盟使用者提供的暫時登入資料,而不要使用使用IAM者和存取金鑰提供的長期認證。