SEC03-BP04 持續減少許可

在團隊確定所需的存取權時，請移除不需要的許可，並建立審查程序以達到最低權限的許可。持續監視人類和機器存取權，並移除不使用的身分和許可。

預期成果：許可政策應遵循最低權限原則。隨著工作職責和角色的定義變得更具體，您需要審查許可政策以移除不必要的許可。若憑證遭到意外洩露或以其他方式在未經授權下遭存取，此方法可縮小影響範圍。

常見的反模式：

• 預設授予使用者管理員許可。

• 建立過於寬鬆的政策，但不具完整的管理員權限。

• 保留不再需要的許可政策。

未建立此最佳實務時的曝險等級：中

實作指引

在團隊和專案剛開始時，可使用寬鬆的許可政策來激發創新和敏捷性。例如，在開發或測試環境中，開發人員可以存取廣泛的 AWS 服務。我們建議您持續評估存取權，並將存取權限於完成目前工作所需的這些服務和服務動作。我們建議對人類和機器身分進行此項評估。機器身分，有時稱為系統或服務帳戶，是 AWS 可存取應用程式或伺服器的身分。此存取權在生產環境中尤為重要，因為過於寬鬆的許可可能影響廣大而且可能暴露客戶資料。

AWS 提供多種方法，以協助識別未使用的使用者、角色、許可和憑證。 AWS 也可以協助分析IAM使用者和角色的存取活動，包括相關聯的存取金鑰，以及對 AWS 資源的存取，例如 Amazon S3 儲存貯體中的物件。 AWS Identity and Access Management Access Analyzer 產生政策可協助您根據主體互動的實際服務和動作建立限制性許可政策。屬性型存取控制 （ABAC） 可協助簡化許可管理，因為您可以使用其屬性提供許可給使用者，而不是將許可政策直接連接到每個使用者。

實作步驟

• 使用 AWS Identity and Access Management Access Analyzer：IAMAccess Analyzer 有助於識別組織和帳戶中的資源，例如 Amazon Simple Storage Service （Amazon S3） 儲存貯體或與外部實體共用IAM的角色。

• 使用 IAM Access Analyzer 政策產生 ：IAMAccess Analyzer 政策產生可協助您根據IAM使用者或角色的存取活動 建立精細的許可政策。

• 判斷IAM使用者和角色可接受的時間範圍和使用政策：使用上次存取的時間戳記來識別未使用的使用者和角色，並將其移除。檢閱服務和動作上次存取的資訊，以識別和設定特定使用者和角色的許可範圍。例如，您可以使用上次存取的資訊來識別您的應用程式角色所需的特定 Amazon S3 動作，並將該角色的存取權僅限於這些動作。上一次存取的資訊功能可在 中使用， AWS Management Console 並以程式設計方式可讓您將它們整合到您的基礎設施工作流程和自動化工具中。

• 考慮在 中記錄資料事件 AWS CloudTrail：根據預設， CloudTrail 不會記錄資料事件，例如 Amazon S3 物件層級活動 （例如 GetObject和 DeleteObject） 或 Amazon DynamoDB 資料表活動 （例如 PutItem和 DeleteItem）。考慮對這些事件使用日誌記錄功能，以確定哪些使用者和角色需要存取特定 Amazon S3 物件或 DynamoDB 資料表項目。

資源

相關文件：

• 授予最低權限

• 移除不必要的憑證

• 什麼是 AWS CloudTrail？

• 使用 政策

• DynamoDB 中的日誌記錄和監控

• 針對 Amazon S3 儲存貯體和物件使用 CloudTrail 事件記錄

• 取得 的憑證報告 AWS 帳戶

相關影片：

• 在 60 分鐘內成為IAM政策主檔

• 責任區隔、最低權限、委派和 CI/CD

• AWS re：Inforce 2022 - AWS Identity and Access Management （IAM） 深入探討