SEC03-BP01 定義存取需求

工作負載的每個組成部分或資源都需要由管理員、最終使用者或其他組成部分存取。您需要清楚定義哪些人或哪些項目應該可以存取每個組成部分，然後選擇適當的身分類型與身分驗證和授權方法。

常見的反模式：

• 將機密硬式編碼或存放在應用程式中。

• 為每名使用者授予自訂許可。

• 使用長期憑證。

若未建立此最佳實務，暴露的風險等級： 高

實作指引

工作負載的每個組成部分或資源都需要由管理員、最終使用者或其他組成部分存取。您需要清楚定義哪些人或哪些項目應該可以存取每個組成部分，然後選擇適當的身分類型與身分驗證和授權方法。

應提供組織中對 AWS 帳戶 的定期存取 (使用 聯合存取 或集中式的身分提供者)。 您應集中進行身分管理，並確保有既定的實務，可將 AWS 存取整合至員工的存取生命週期。例如，當員工改為擔任具有不同存取層級的任務角色時，其群組成員資格也應變更，以反映新的存取需求。

為非人類身分定義存取需求時，請判斷哪些應用程式和組成部分需要存取權，以及如何授予許可。使用透過最低權限存取模型建置的 IAM 角色是建議的方法。AWS 受管政策 提供預先定義的 IAM 政策，其中涵蓋最常見的使用案例。

AWS 服務，例如 AWS Secrets Manager 和 AWS Systems Manager 參數存放區，可以協助在無法使用 IAM 角色的情況下，將機密從應用程式或工作負載中安全地分離。在 Secrets Manager 中，您可以為憑證建立自動輪換。您可以使用 Systems Manager 來參考指令碼、命令、SSM 文件、組態和自動化工作流程中的參數，方法是使用您在建立參數時指定的唯一名稱。

您可以使用 AWS Identity and Access Management Roles Anywhere 來取得 IAM 中的臨時安全憑證， 該憑證適用於在 AWS 以外執行的工作負載。您的工作負載可以使用相同的 IAM 政策 和 IAM 角色 ，您可以將這些政策和角色與 AWS 應用程式搭配使用，來存取 AWS 資源。

可能的話，請選擇短期暫時憑證，而不是長期靜態憑證。對於您希望 IAM 使用者具備程式設計存取權和長期憑證的情況，請使用 存取金鑰前次使用的資訊 來輪換和移除存取金鑰。

資源

相關文件：

• 屬性型存取控制 (ABAC)

• AWS IAM Identity Center

• IAM Roles Anywhere

• IAM Identity Center 的 AWS 受管政策

• AWSIAM 政策條件

• IAM 使用案例

• 移除不需要的憑證

• 制定政策

• 如何根據 AWS 帳戶、OU 或組織控制對 AWS 資源的存取權

• 使用 AWS Secrets Manager 中增強的搜尋功能來輕鬆識別、安排和管理機密

相關影片：

• 在 60 分鐘內精通 IAM 政策

• 責任區隔、最低權限、委派和 CI/CD

• 簡化身分和存取管理，以促進創新