管理身分和存取的安全控制建議

您可以在 中建立身分 AWS，也可以連接外部身分來源。透過 AWS Identity and Access Management (IAM) 政策，您可以授予使用者必要的許可，讓他們可以存取或管理 AWS 資源和整合的應用程式。有效的身分和存取管理有助於驗證適當的人員和機器在適當的條件下可以存取正確的資源。 AWS Well-Architected Framework 提供管理身分及其許可的最佳實務。最佳實務的範例包括依賴集中式身分提供者和使用強大的登入機制，例如多重要素驗證 (MFA)。本節中的安全控制項可協助您實作這些最佳實務。

監控和設定根使用者活動的通知

當您第一次建立 時 AWS 帳戶，您會從稱為根使用者的單一登入身分開始。根據預設，根使用者可完整存取 帳戶中的所有 AWS 服務 和資源。您應該嚴格控制和監控根使用者，而且只應將其用於需要根使用者憑證的任務。

如需詳細資訊，請參閱下列資源：

• 在 AWS Well-Architected Framework 中授予最低權限存取權

• 在規範指南中監控 IAM 根使用者活動 AWS

不要為根使用者建立存取金鑰

根使用者是 AWS 帳戶中權限最高的使用者。停用對根使用者的程式設計存取，有助於降低使用者登入資料意外暴露和後續雲端環境入侵的風險。我們建議您建立並使用 IAM 角色做為臨時登入資料，以存取您的 AWS 帳戶 和 資源。

如需詳細資訊，請參閱下列資源：

• IAM 根使用者存取金鑰不應存在於 AWS Security Hub 文件中

• 在 IAM 文件中刪除根使用者的存取金鑰

• IAM 文件中的 IAM 角色

為根使用者啟用 MFA

建議您為 AWS 帳戶 根使用者和 IAM 使用者啟用多個多重要素驗證 (MFA) 裝置。這會提高 中的 AWS 帳戶 安全列，並可以簡化存取管理。由於根使用者是可以執行特權動作的高度特權使用者，因此對根使用者要求 MFA 至關重要。您可以使用硬體 MFA 裝置，根據以時間為基礎的一次性密碼 (TOTP) 演算法、FIDO 硬體安全金鑰或虛擬驗證器應用程式產生數值碼。

在 2024 年，MFA 將需要存取任何 的根使用者 AWS 帳戶。如需詳細資訊，請參閱 AWS 安全部落格中的 Secure by Design： AWS 以增強 2024 年的 MFA 需求。我們強烈建議您擴展此安全實務，並要求 AWS 環境中所有使用者類型的 MFA。

如果可能，我們建議您為根使用者使用硬體 MFA 裝置。虛擬 MFA 可能無法提供與硬體 MFA 裝置相同層級的安全。您可以在等待硬體購買核准或交付時使用虛擬 MFA。

在您管理數百個帳戶的情況下 AWS Organizations，視組織的風險承受能力而定，在組織單位 (OU) 中，對每個帳戶的根使用者使用硬體型 MFA 可能無法擴展。在這種情況下，您可以選擇 OU 中充當 OU 管理帳戶的一個帳戶，然後停用該 OU 中其他帳戶的根使用者。根據預設，OU 管理帳戶無法存取其他帳戶。透過預先設定跨帳戶存取，您可以在緊急情況下從 OU 管理帳戶存取其他帳戶。若要設定跨帳戶存取，您可以在成員帳戶中建立 IAM 角色，並定義政策，以便只有 OU 管理帳戶中的根使用者才能擔任此角色。如需詳細資訊，請參閱 IAM 文件中的教學課程： AWS 帳戶 使用 IAM 角色委派跨 的存取。

建議您為根使用者登入資料啟用多個 MFA 裝置。您可以註冊最多八個任何組合的 MFA 裝置。

如需詳細資訊，請參閱下列資源：

• 在 IAM 文件中啟用硬體 TOTP 字符

• 在 IAM 文件中啟用虛擬多重要素驗證 (MFA) 裝置

• 在 IAM 文件中啟用 FIDO 安全金鑰

• 使用 IAM 文件中的多重要素驗證 (MFA) 保護您的根使用者登入

遵循 IAM 的安全最佳實務

IAM 文件包含最佳實務清單，旨在協助您保護 AWS 帳戶 和 資源的安全。其中包括根據最低權限原則設定存取和許可的建議。IAM 安全最佳實務的範例包括設定聯合身分、要求 MFA，以及使用臨時登入資料。

如需詳細資訊，請參閱下列資源：

• IAM 文件中的 IAM 安全最佳實務

• 在 IAM 文件中使用臨時登入資料與 AWS 資源

授予最低權限許可

最低權限是僅授予執行任務所需許可的做法。您可以透過定義在特定條件下對特定資源可採取的動作來執行此操作。

屬性型存取控制 (ABAC) 是一種授權策略，可根據屬性定義許可，例如其標籤。您可以使用群組、身分和資源屬性來動態地大規模定義許可，而不是定義個別使用者的許可。例如，您可以使用 ABAC 來允許一組開發人員僅存取與其專案有關聯之特定標籤的資源。

如需詳細資訊，請參閱下列資源：

• 在 IAM 文件中套用最低權限許可

• IAM 文件中的 ABAC 適用於什麼 AWS

在工作負載層級定義許可護欄

最佳實務是使用多帳戶策略，因為它提供了在工作負載層級定義護欄的彈性。 AWS 安全參考架構提供有關如何建構帳戶的規範性指導。這些帳戶在 中以組織形式管理AWS Organizations，而帳戶會分組為組織單位 OUs)。

AWS 服務等 AWS Control Tower可協助您集中管理整個組織的控制項。我們建議您為組織內的每個帳戶或 OU 定義明確的用途，並根據該用途套用控制。 AWS Control Tower 實作預防性、偵測性和主動控制，協助您管理資源並監控合規。預防性控制旨在防止事件發生。偵測性控制旨在於事件發生後偵測、記錄和提醒。主動控制旨在防止不合規資源的部署，方法是在佈建資源之前對其進行掃描。

如需詳細資訊，請參閱下列資源：

• 使用 Well-Architected Framework 中的帳戶來分隔工作負載 AWS

• 規範指南中的AWS 安全參考架構 (AWS SRA) AWS

• 關於 文件中的 控制項 AWS Control Tower AWS Control Tower

• AWS 在 規範指南中對 實作安全控制 AWS

• 使用 AWS 安全部落格中的服務控制政策，在 AWS 組織中的 帳戶間設定許可護欄

定期輪換 IAM 存取金鑰

最佳實務是針對需要長期憑證的使用案例更新存取金鑰。我們建議每 90 天或更短的時間輪換存取金鑰。輪換存取金鑰可降低使用與遭入侵或終止帳戶相關聯的存取金鑰的風險。它也會使用可能遺失、洩露或遭竊的舊金鑰來防止存取。輪換存取金鑰後，一律更新應用程式。

如需詳細資訊，請參閱下列資源：

• 針對需要 IAM 文件中長期憑證的使用案例，視需要更新存取金鑰

• 使用 AWS Prescriptive Guidance 中的 AWS Organizations 和 大規模自動輪換 IAM 使用者存取金鑰 AWS Secrets Manager

• 更新 IAM 文件中的存取金鑰

識別與外部實體共用的資源

外部實體是 AWS 組織外部的資源、應用程式、服務或使用者，例如另一個、根使用者 AWS 帳戶、IAM 使用者或角色、聯合身分使用者 AWS 服務、 或匿名 （或未驗證） 使用者。使用 IAM Access Analyzer 來識別組織和帳戶中與外部實體共用的資源是安全的最佳實務，例如 Amazon Simple Storage Service (Amazon S3) 儲存貯體或 IAM 角色。這可協助您識別意外存取資源和資料，這是安全風險。

如需詳細資訊，請參閱下列資源：

• 在 IAM 文件中使用 IAM Access Analyzer 驗證對資源的公有和跨帳戶存取權

• 在 AWS Well-Architected Framework 中分析公有和跨帳戶存取

• 在 AWS Identity and Access Management Access Analyzer IAM 文件中使用