許可管理 - 安全支柱

許可管理

管理許可,以控制對需要存取 AWS 和工作負載的人員和機器身分的存取。許可控制誰可以在何種條件下存取哪些內容。將許可設定為特定的人類和機器身份,以授予對特定資源執行特定服務動作的存取權。此外,指定必須為 true 才能授予存取的條件。例如,您可以允許開發人員建立新的 Lambda 函數,但僅限於特定區域。大規模管理您的 AWS 環境時,請遵循下列最佳實務,以確保這些人員身分僅擁有各自所需的存取權。

有多種方法可以授予對不同類型資源的存取權。其中一種方法是使用不同的政策類型。

IAM 中以身分為基礎的政策受管內嵌的政策,並連接到 IAM 身分,包括使用者、群組或角色。這些政策可讓您指定該身分可以做什麼 (其許可)。可以進一步將身分型政策分類。

受管政策 – 您可以附加到 AWS 帳戶中多個使用者、群組和角色的獨立身分型政策。有兩種類型的受管政策:

  • AWS 受管政策 – 由 AWS 建立和管理的受管政策。

  • 客戶受管政策 – 您在 AWS 帳戶中建立和管理的受管政策。客戶受管政策比 AWS 受管政策更能精確地控制您的政策。

受管政策是套用許可的慣用方法。不過,您也可以使用內嵌政策,直接將其新增到單一使用者、群組或角色。內嵌政策會在政策和身分之間維持嚴格的一對一關係。刪除身分時也會刪除內嵌政策。

在大多數情況下,您應該建立自己的客戶受管政策,並遵循最低權限原則。

以資源為基礎的政策會附加至資源。例如,S3 儲存貯體是資源型政策。這些政策會將許可授予與資源位於同一帳戶的主體,或位於另一個帳戶的主體。如需支援以資源為基礎的政策的服務清單,請參閱可搭配 IAM 運作的 AWS 服務

許可界限使用受管政策,設定管理員可以設定的最大許可。這讓您能夠將建立和管理許可的功能委派給開發人員,例如建立 IAM 角色,但限制其可以授予的許可,讓他們無法利用自己建立的內容提升許可。

屬性型存取控制 (ABAC) 可讓您根據屬性授予許可。在 AWS 中,這些稱為標籤。標籤可以附加至 IAM 主體 (使用者或角色) 和 AWS 資源。使用 IAM 政策,管理員可以建立可重複使用的政策,根據 IAM 主體的屬性套用許可。例如,作為管理員,您可以使用單一 IAM 政策,授予組織中的開發人員存取符合開發人員專案標籤的 AWS 資源。隨著開發人員團隊將資源新增至專案,會根據屬性自動套用許可。因此,無須為每個新資源更新政策。

組織服務控制政策 (SCP) 為組織或組織單位 (OU) 的帳戶成員定義最大許可。SCP 會限制以身分為基礎的政策或以資源為基礎的政策授予帳戶內實體 (使用者或角色) 的許可,但不會授予許可。

工作階段政策會擔任角色或聯合身分使用者。在使用 AWS CLI 或 AWS API 工作階段政策時傳遞工作階段政策,以限制角色或使用者的身分型政策授予工作階段的許可。這些政策會限制已建立工作階段的許可,但不會授予許可。如需詳細資訊,請參閱工作階段政策

最佳實務