主題 4：管理身分

涵蓋的基本八大策略

限制管理權限、多重要素驗證

強大的身分和許可管理是管理雲端安全性的關鍵層面。強大的身分實務會平衡必要的存取和最低權限。這有助於開發團隊快速移動，而不會犧牲安全性。

使用聯合身分來集中管理身分。這可讓您更輕鬆地管理多個應用程式和服務之間的存取，因為您管理來自單一位置的存取。這也可協助您實作暫時許可和多重要素驗證 (MFA)。

僅授予使用者執行任務所需的許可。 AWS Identity and Access Management Access Analyzer 可以驗證政策，並驗證公有和跨帳戶存取。 AWS Organizations 服務控制政策 (SCPs)、IAM 政策條件、IAM 許可界限和 AWS IAM Identity Center 許可集等功能可協助您設定精細存取控制 (FGAC)。

執行任何類型的身分驗證時，最好使用臨時憑證來減少或消除風險，例如不小心公開、共用或遭竊的憑證。使用 IAM 角色，而非 IAM 使用者。

使用強大的登入機制，例如 MFA，以降低不小心公開或容易猜到登入憑證的風險。需要根使用者的 MFA，您也可以在聯合層級要求它。如果無法避免使用 IAM 使用者，請強制執行 MFA。

若要監控和報告合規性，您必須持續努力減少許可、監控 IAM Access Analyzer 的調查結果，以及移除未使用的 IAM 資源。使用 AWS Config 規則來確保強制執行強大的登入機制、短期登入資料，以及使用 IAM 資源。

AWS Well-Architected Framework 中的相關最佳實務

• SEC02-BP01 使用強大的登入機制

• SEC02-BP02 使用臨時憑證

• SEC02-BP03 安全地儲存和使用機密

• SEC02-BP04 仰賴集中式身分提供者

• SEC02-BP05 定期稽核和輪換憑證

• SEC02-BP06 採用使用者群組和屬性

• SEC03-BP01 定義存取需求

• SEC03-BP02 授予最低權限存取權

• SEC03-BP03 建立緊急存取程序

• SEC03-BP04 持續減少許可

• SEC03-BP05 為您的組織定義許可防護機制

• SEC03-BP06 根據生命週期管理存取

• SEC03-BP07 分析公有和跨帳戶存取權

• SEC03-BP08 在組織內安全地共用資源

實作此主題

實作聯合身分

• 要求人類使用者與身分提供者聯合 AWS 使用臨時憑證來存取

• 實作對您 AWS 環境的暫時提升存取

套用最低權限許可

• 保護您的根使用者憑證，不要將其用於日常任務

• 使用 IAM Access Analyzer 根據存取活動產生最低權限政策

• 使用 IAM Access Analyzer 驗證對資源的公有和跨帳戶存取權

• 使用 IAM Access Analyzer 驗證您的 IAM 政策是否有安全和功能許可

• 跨多個帳戶建立許可護欄

• 使用許可界限來設定身分型政策可授予的最大許可

• 使用 IAM 政策中的條件進一步限制存取

• 定期檢閱和移除未使用的使用者、角色、許可、政策和登入資料

• 開始使用 AWS 受管政策並邁向最低權限許可

• 使用 IAM Identity Center 中的許可集功能

輪換憑證

• 要求工作負載使用 IAM 角色來存取 AWS

• 自動化刪除未使用的 IAM 角色

• 針對需要長期憑證的使用案例，定期輪換存取金鑰

強制執行 MFA

• 需要根使用者的 MFA

• 透過 IAM Identity Center 需要 MFA

• 考慮要求 MFA 進行服務特定的 API 動作

監控此主題

監控最低權限存取

• 將 IAM Access Analyzer 調查結果傳送至 AWS Security Hub

• 考慮設定重要 IAM Identity Center 調查結果的通知

• 定期檢閱 的登入資料報告 AWS 帳戶

實作下列 AWS Config 規則

• ACCESS_KEYS_ROTATED

• IAM_ROOT_ACCESS_KEY_CHECK

• IAM_USER_MFA_ENABLED

• IAM_USER_UNUSED_CREDENTIALS_CHECK

• IAM_PASSWORD_POLICY

• ROOT_ACCOUNT_HARDWARE_MFA_ENABLED