ACCT.03 – 為每個使用者設定主控台存取權 - AWS 規範指南

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

ACCT.03 – 為每個使用者設定主控台存取權

最佳作法是 AWS 建議使用臨時登入資料來授 AWS 帳戶 與資源的存取權限。暫時憑證的生命週期有限,因此當不再需要時,您不需要將其進行輪換或明確予以撤銷。如需詳細資訊,請參閱暫時安全憑證 (IAM 文件)。

對於人類使用者, AWS 建議使用集中式身分識別提供者 (IdP) 的同盟身分識別,例如 Okta AWS IAM Identity Center、作用中目錄或 Ping 身分識別。同盟使用者可讓您在單一集中位置定義身分識別,而使用者可以安全地對多個應用程式和網站進行驗證 AWS,包括僅使用一組認證。如需詳細資訊,請參閱中的聯合身分識別 AWS和 IAM 身分中心 (AWS 網站)。

注意

聯合身分可能會使從單帳戶架構至多帳戶架構的轉換變得複雜。新創公司通常會延遲實作聯合身分,直到建立了在 AWS Organizations中管理的多帳戶架構。

設定聯合身分

  1. 如果您使用的是 IAM Identity Center,請參閱入門 (IAM Identity Center 文件)。

    如果您使用的是外部或第三方 IdP,請參閱建立 IAM 身分提供者 (IAM 文件)。

  2. 確保您的 IdP 強制執行多重要素驗證 (MFA)。

  3. 根據 ACCT.04 – 指派許可 套用許可。

對於尚未準備好設定聯合身分的新創公司,您可以直接在 IAM 中建立使用者。這不是建議的安全最佳實務,因此這是永不過期的長期憑證。但是,這是新創公司在早期營運中的常見實務,以防止在營運就緒後難以轉換至多帳戶架構。

作為基準,您可以為每個需要存取 AWS Management Console的人員建立 IAM 使用者。如果您設定 IAM 使用者,請勿在使用者之間共用憑證,並定期輪換長期憑證。

警告

IAM 使用者擁有長期登入資料,這會帶來安全風險。為了減輕此風險,我們建議您僅向這些使用者提供執行工作所需的權限,並在不再需要這些使用者時移除這些使用者。

建立 IAM 使用者

  1. 建立 IAM 使用者 (IAM 文件)。

  2. 根據 ACCT.04 – 指派許可 套用許可。