本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
ACCT.03 設定每個使用者的主控台存取權
最佳實務是, AWS 建議使用臨時憑證來授予對 AWS 帳戶 和資源的存取權。暫時憑證的生命週期有限,因此當不再需要時,您不需要將其進行輪換或明確予以撤銷。如需詳細資訊,請參閱暫時安全登入資料 (IAM 文件)。
對於人類使用者, AWS 建議使用來自集中式身分提供者 (IdP) 的聯合身分 AWS IAM Identity Center,例如 Okta、Active Directory 或 Ping Identity。聯合使用者可讓您在單一中央位置定義身分,使用者可以安全地向多個應用程式和網站進行身分驗證 AWS,包括只使用一組登入資料。如需詳細資訊,請參閱 和 Identity Center (網站) 中的 AWS
注意
聯合身分可能會使從單帳戶架構至多帳戶架構的轉換變得複雜。新創公司通常會延遲實作聯合身分,直到建立了在 AWS Organizations中管理的多帳戶架構。
設定聯合身分
-
如果您使用的是 IAM Identity Center,請參閱入門 (IAM Identity Center 文件)。
如果您使用的是外部或第三方 IdP,請參閱身分提供者和聯合 (IAM 文件)。
-
確保您的 IdP 強制執行多重要素驗證 (MFA)。
-
根據 ACCT.04 指派許可 套用許可。
對於尚未準備好設定聯合身分的啟動,您可以直接在 中建立使用者IAM。這不是建議的安全最佳實務,因此這是永不過期的長期憑證。但是,這是新創公司在早期營運中的常見實務,以防止在營運就緒後難以轉換至多帳戶架構。
作為基準,您可以為每個需要存取 的人員建立 IAM使用者 AWS Management Console。如果您設定IAM使用者,請勿在使用者之間共用登入資料,並定期輪換長期登入資料。
警告
IAM 使用者有長期登入資料,這會造成安全風險。為了協助降低此風險,我們建議您只為這些使用者提供執行任務所需的許可,並在不再需要這些使用者時將其移除。
建立 IAM 使用者
-
建立IAM使用者 (IAM 文件)。
-
根據 ACCT.04 指派許可 套用許可。