ACCT.03 設定每個使用者的主控台存取權 - AWS 規範指引

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

ACCT.03 設定每個使用者的主控台存取權

最佳實務是, AWS 建議使用臨時憑證來授予對 AWS 帳戶 和資源的存取權。暫時憑證的生命週期有限,因此當不再需要時,您不需要將其進行輪換或明確予以撤銷。如需詳細資訊,請參閱暫時安全登入資料 (IAM 文件)。

對於人類使用者, AWS 建議使用來自集中式身分提供者 (IdP) 的聯合身分 AWS IAM Identity Center,例如 Okta、Active Directory 或 Ping Identity。聯合使用者可讓您在單一中央位置定義身分,使用者可以安全地向多個應用程式和網站進行身分驗證 AWS,包括只使用一組登入資料。如需詳細資訊,請參閱 和 Identity Center (網站) 中的 AWSIAM聯合身分。AWS

注意

聯合身分可能會使從單帳戶架構至多帳戶架構的轉換變得複雜。新創公司通常會延遲實作聯合身分,直到建立了在 AWS Organizations中管理的多帳戶架構。

設定聯合身分

  1. 如果您使用的是 IAM Identity Center,請參閱入門 (IAM Identity Center 文件)。

    如果您使用的是外部或第三方 IdP,請參閱身分提供者和聯合 (IAM 文件)。

  2. 確保您的 IdP 強制執行多重要素驗證 (MFA)。

  3. 根據 ACCT.04 指派許可 套用許可。

對於尚未準備好設定聯合身分的啟動,您可以直接在 中建立使用者IAM。這不是建議的安全最佳實務,因此這是永不過期的長期憑證。但是,這是新創公司在早期營運中的常見實務,以防止在營運就緒後難以轉換至多帳戶架構。

作為基準,您可以為每個需要存取 的人員建立 IAM使用者 AWS Management Console。如果您設定IAM使用者,請勿在使用者之間共用登入資料,並定期輪換長期登入資料。

警告

IAM 使用者有長期登入資料,這會造成安全風險。為了協助降低此風險,我們建議您只為這些使用者提供執行任務所需的許可,並在不再需要這些使用者時將其移除。

建立 IAM 使用者

  1. 建立IAM使用者 (IAM 文件)。

  2. 根據 ACCT.04 指派許可 套用許可。