SEC03-BP09 安全地與第三方共用資源

PDFRSS

您雲端環境的安全並不止於您的組織。您的組織可能仰賴第三方來管理您的部分資料。針對第三方管理的系統的許可管理應該遵循即時存取的做法，採用最低權限的原則搭配臨時憑證。透過與第三方密切合作，您可以同時減少影響範圍以及意外存取的風險。

預期成果：您會避免使用長期 AWS Identity and Access Management (IAM) 憑證，例如存取金鑰和私密金鑰，因為這些金鑰遭到濫用的情況下，會帶來安全風險。您改用 IAM 角色和臨時憑證來改善您的安全狀態，並將管理長期憑證的營運負擔降至最低。授予第三方存取權時，您使用通用唯一識別碼 (UUID) 做為 IAM 信任政策中的外部 ID，並持續掌控與角色連接的 IAM 政策，以確保最低權限存取。如需有關分析外部共用資源的方案指引，請參閱 SEC03-BP07 分析公開和跨帳戶存取權。

常見的反模式：

• 無條件地使用預設 IAM 信任政策。

• 使用長期 IAM 憑證和存取金鑰。

• 重複使用外部 ID。

未建立此最佳實務時的曝險等級：中

實作指引

您可能會想要允許在 AWS Organizations 之外共用資源或將帳戶存取權授予第三方。例如，第三方可能提供監控解決方案，而該解決方案需要存取您帳戶中的資源。在這些情況下，僅以第三方需要的權限來建立 IAM 跨帳戶角色。此外，請使用外部 ID 條件定義信任政策。當使用外部 ID 時，您或第三方可以為每個客戶、第三方或租用戶產生唯一 ID。在建立唯一 ID 後，其不應該受除了您之外的任何人控制。第三方必須實作程序，以安全、可稽核且可重新產生的方式將外部 ID 與客戶關聯。

您還可以使用 IAM Roles Anywhere 為 AWS 之外使用 AWS API 的應用程式管理 IAM 角色。

如果第三方不再需要存取您的環境，請移除該角色。避免為第三方提供長期憑證。持續關注其他支援共用的 AWS 服務，例如，允許與其他 AWS 帳戶 共用工作負載的 AWS Well-Architected Tool，以及可協助您與其他帳戶安全共用您所擁有 AWS 資源的 AWS Resource Access Manager。

實作步驟

1. 使用跨帳戶角色提供存取權給外部帳戶。跨帳戶角色可減少外部帳戶和第三方為了服務客戶所儲存的敏感資訊量。跨帳戶角色允許您在帳戶中將 AWS 資源的存取權安全地授予第三方，例如 AWS 合作夥伴或組織內的其他帳戶，同時維持管理和稽核該存取權的能力。第三方可能從混合式基礎設施為您提供服務，或將資料提取至異地。IAM Roles Anywhere 可協助您讓第三方工作負載安全地與您的 AWS 工作負載進行互動，並進一步減少使用長期憑證的需要。

   您不應該使用與使用者關聯的長期憑證或存取金鑰來提供外部帳戶存取權。反而應該使用跨帳戶角色來提供跨帳戶存取權。

2. 執行盡職調查並確保第三方 SaaS 提供者的安全存取。與第三方 SaaS 提供者共用資源時，請執行徹底的盡職調查，以確保他們採取安全且負責任的方法來存取您的 AWS 資源。評估他們的共同責任模型，以了解他們提供哪些安全措施，以及您的責任範圍。確保 SaaS 提供者採取安全且可稽核的程序來存取您的資源，包括使用外部 ID 和最低權限存取原則。使用外部 ID 有助於解決權利義務混淆問題。

   實作安全控制，以確保在授予存取權給第三方 SaaS 提供者時，能夠安全存取並遵守最低權限原則。這可能包括使用外部 ID、通用唯一識別碼 (UUID) 和 IAM 信任政策，這些會將存取權限於絕對必要的身分。與 SaaS 提供者密切合作，以建立安全存取機制、定期審查他們對您 AWS 資源的存取，並進行稽核以確保遵循您的安全需求。

3. 棄用客戶提供的長期憑證。棄用長期憑證並使用跨帳戶角色或 IAM Roles Anywhere。如果您必須使用長期憑證，請制定計畫以遷移至角色型存取。如需有關管理金鑰的詳細資訊，請參閱身分管理。另外也與您的 AWS 帳戶 團隊和第三方合作建立風險緩解執行手冊。如需有關回應和緩解潛在安全事件的衝擊的方案指引，請參閱事件回應。

4. 確認設定具有方案指引且已自動化。外部 ID 不會被視為機密，但外部 ID 不能是容易猜測的值，例如電話號碼、名稱或帳戶 ID。將外部 ID 設為唯讀欄位，而使外部 ID 不能為了冒充設定的目的而遭到變更。

   您或第三方可以產生外部 ID。定義程序以決定由誰負責產生 ID。無論建立外部 ID 的實體為何，第三方都要在客戶間一致地強制唯一性和格式。

   您的帳戶中為跨帳戶存取權建立的政策必須遵循最低權限原則。第三方必須提供角色政策文件，或使用 AWS CloudFormation 範本或對您來說同等的自動設定機制。這可減少發生與手動政策建立相關聯之錯誤的機率，並提供可稽核的記錄。如需有關使用 AWS CloudFormation 範本來建立跨帳戶角色的詳細資訊，請參閱跨帳戶角色。

   第三方應該提供自動化、可稽核的設定機制。然而，透過使用概述所需存取權的角色政策文件，您應該可自動設定角色。使用 AWS CloudFormation 範本或同等項目，您應該透過偏移偵測來監控變更，以做為稽核實務的一部份。

5. 將變更列入考量。您的帳戶結構、對第三方的需求或他們提供的服務方案可能發生變更。您應該預期變更和失敗，並透過合適的人員、程序和技術相應進行規劃。定期稽核您提供的存取層級，並實作偵測方法以在發生意外變更時通知您。監控和稽核角色和外部 ID 資料儲存的使用。您應該準備好在發生意外變更或存取模式時撤銷第三方存取權，無論是暫時或永久撤銷。另外，衡量撤銷作業的衝擊，包括執行所花的時間、牽涉的人員、成本，以及對其他資源的衝擊。

   如需有關偵測方法的方案指引，請參閱偵測最佳實務。

資源

相關的最佳實務：

• SEC02-BP02 使用臨時憑證

• SEC03-BP05 為您的組織定義許可防護機制

• SEC03-BP06 根據生命週期管理存取

• SEC03-BP07 分析公有和跨帳戶存取權

• SEC04 偵測

相關文件：

• 儲存貯體擁有者將跨帳戶許可授予非其擁有的物件

• 如何搭配 IAM 角色使用信任政策

• 使用 IAM 角色在 AWS 帳戶 間委派存取權

• 如何使用 IAM 存取另一個 AWS 帳戶 中的資源？

• IAM 中的安全最佳實務

• 跨帳戶政策評估邏輯

• 將 AWS 資源的存取權授予第三方時如何使用外部 ID

• 從在外部帳戶中使用自訂資源建立的 AWS CloudFormation 資源收集資訊

• 安全地使用外部 ID 存取其他人擁有的 AWS 帳戶

• 使用 IAM Roles Anywhere 將 IAM 角色擴展到 IAM 之外的工作負載

相關影片：

• 如何允許不同 AWS 帳戶 中的使用者或角色存取我的 AWS 帳戶？

• AWS re:Invent 2018：在 60 分鐘內精通 IAM 政策

• AWS 知識中心直播：IAM 最佳實務和設計決策

相關範例：

• Well-Architected 實驗室 - Lambda 跨帳戶 IAM 角色擔任 (Level 300)

• 設定對 Amazon DynamoDB 的跨帳戶存取權

• AWS STS 網路查詢工具