SEC03-BP01 定義存取需求
工作負載的每個組成部分或資源都需要由管理員、最終使用者或其他組成部分存取。您需要清楚定義哪些人或哪些項目應該可以存取每個組成部分,然後選擇適當的身分類型與身分驗證和授權方法。
常見的反模式:
-
將機密硬式編碼或存放在應用程式中。
-
為每名使用者授予自訂許可。
-
使用長期憑證。
若未建立此最佳實務,暴露的風險等級: 高
實作指引
工作負載的每個組成部分或資源都需要由管理員、最終使用者或其他組成部分存取。您需要清楚定義哪些人或哪些項目應該可以存取每個組成部分,然後選擇適當的身分類型與身分驗證和授權方法。
應提供組織中對 AWS 帳戶 的定期存取 (使用 聯合存取
為非人類身分定義存取需求時,請判斷哪些應用程式和組成部分需要存取權,以及如何授予許可。使用透過最低權限存取模型建置的 IAM 角色是建議的方法。AWS 受管政策 提供預先定義的 IAM 政策,其中涵蓋最常見的使用案例。
AWS 服務,例如 AWS Secrets Manager
您可以使用 AWS Identity and Access Management Roles Anywhere 來取得 IAM 中的臨時安全憑證, 該憑證適用於在 AWS 以外執行的工作負載。您的工作負載可以使用相同的 IAM 政策 和 IAM 角色 ,您可以將這些政策和角色與 AWS 應用程式搭配使用,來存取 AWS 資源。
可能的話,請選擇短期暫時憑證,而不是長期靜態憑證。對於您希望 IAM 使用者具備程式設計存取權和長期憑證的情況,請使用 存取金鑰前次使用的資訊 來輪換和移除存取金鑰。
資源
相關文件:
相關影片: