AWS非常重视其服务和资源的安全性,向客户提供健壮的访问控制服务IAM( Identity and Access Management  ) 服务允许客户管理用户、组、角色和权限。如何正确配置IAM以满足安全性要求完全取决于AWS客户自己。本文收集、整理了安全使用IAM的最佳实践,供读者参考实践。

 

根账号保护

限制AWS根帐户的使用

当您在AWS注册一个帐户时,创建的初始用户帐户称为根帐户。该帐户可以完全访问所有AWS资源(包括账单信息),使其成为特权最高的用户帐户。由于不能限制根帐户凭据权限,建议将对根帐户的访问限制为只能使用根帐户完成的任务(比如创建第一个管理帐户)。对于所有其他任务,创建一个具有管理权限的IAM用户,并使用该帐户日常管理AWS环境。

轮换根帐户访问密钥

无论使用AWS根帐户的次数有多少,强烈建议使用security credentials页面定期轮换帐户访问密钥。

启用多因素身份验证(MFA)

建议您使用虚拟MFA认证,虚拟 MFA 设备是一种软件应用程序,在手机或其他移动设备上运行,基于进行了时间同步的一次性密码算法生成一个六位数字代码。用户登陆除了使用用户名/密码之外,还要提供来自 AWS支持的 MFA,增强账户安全性。

 

IAM用户管理

切勿共享AWS帐户凭证

为需要访问AWS资源的员工创建个人IAM用户,而不是共享AWS帐户。这将允许您根据不同用户的作业需求将一组惟一的权限分配给他们。

使用AWS托管策略分配权限

Amazon提供了一组预定义的策略,完全由AWS管理,客户不允许编辑权限。这些策略旨在服务于常见用例,同时使实施访问策略比自己从头创建策略更容易。使用这些策略的一个重要优势是,您可以在控制台中的一个位置查看所有托管策略。您还可以使用单个 AWS CLI 或 AWS API 操作查看此信息。内联策略是仅 IAM 身份(用户、组或角色)具有的策略。托管策略是可附加到多个身份的独立的 IAM 资源。

使用组分配权限

定义与每个组相关的权限。最后,将 IAM 用户分配到这些组。一个 IAM 组中的所有用户将继承分配到该组的权限。这样,您在一个位置即可更改组内的所有人。公司人员发生调动时,您只需更改 IAM 用户所属的 IAM 组。

授予最低权限

创建 IAM 策略时,请遵循授予最小权限 这一标准安全建议,或仅授予执行任务所需的权限。确定用户(和角色)需要执行的操作,然后制订允许他们 执行这些任务的策略。

执行强密码策略

当留给自己的设备时,大多数用户会选择一个容易被猜到的密码,尽管存在安全风险。根据Skyhigh的数据,最常见的前20个密码占所有密码的10%,其中“123456”和“password”等热门密码占所有密码的5%以上。这意味着,黑客只要使用上述两个密码,就可以侵入二十分之一的用户账户,而无需任何暴力攻击。不过,创建高度安全及易于记忆的密码是可行的,采取以下步骤可确保IAM凭证得到保护:

  • 定义至少14个字符的最小密码长度
  • 需要非字母字符,至少一个大写字母和一个符号
  • 设置密码过期策略并禁止密码重用
  • 不鼓励特权用户在密码中使用字典中的单词

启用多因素认证(MFA)

组织应该假设至少他们的一些云服务用户凭证已经被泄露。由于员工有在不同服务之间重用密码的倾向,启用MFA应该不仅是AWS的要求,也是组织中正在使用的任何云服务的要求。

定期轮换凭证

定期更改您自己的密码和访问密钥,并确保账户中的所有 IAM 用户也这么做。这样,若在您不知情的情况下密码或访问密钥外泄,则您可限制凭证在多长时间之内可用于访问资源。您可以将密码策略应用于您的账户,以要求所有 IAM 用户轮换其密码。也可以选择他们必须轮换密码的时间间隔。

 

 

最佳实践

对EC2上的应用程序使用IAM角色

任何需要访问其他AWS服务才能正常工作的应用程序都需要自己的凭证。作为一种安全最佳实践,使用IAM角色向应用程序提供凭据。角色可以拥有自己的一组权限,不需要附加任何用户/组。

当用户第一次启动EC2实例时,他们可以确定该实例的角色,然后部署在该EC2实例上的任何应用程序都可以使用该角色的凭据来访问其他AWS资源。

使用角色授权权限

请勿在不同账户之间共享安全凭证,防止另一个 AWS 账户的用户访问您 AWS 账户中的资源。而应使用 IAM 角色。您可以定义角色来指定允许其他账户中的 IAM 用户拥有哪些权限。您还可以指定哪些 AWS 账户拥有允许代入该角色的 IAM 用户。

使用策略条件作为附加的安全措施

使用日期/时间条件来限制对资源的访问,这样IAM用户只能在工作日/轮班期间访问资源。

设置允许访问AWS资源的IP地址白名单的条件,以确保只有受信任的IP地址能够访问AWS资源。

对于合同雇员/合作伙伴,设置日期条件,阻止在合同终止日期之后访问AWS资源。

 

 

日常运维

定期检查IAM权限

作为一项安全最佳实践,定期检查组织的AWS IAM策略以确保它们授予的特权最少是很重要的。每个策略都附带一个策略摘要,这是审计IAM策略的一个很好的起点。

删除不必要的IAM用户/凭证

为了将IAM用户凭证被盗的风险降到最低,应该终止所有不必要的IAM用户的访问权限。不再在某个组织工作的员工或跳槽到不需要访问AWS权限的其他部门的员工不应该拥有访问AWS的权限。组织应该审核他们的IAM用户活动,看看哪些用户至少90天没有登录AWS,并撤销他们的权限。

监控用户活动

监控所有云服务中的用户活动(包括IAM用户活动),以识别来自账户受损或恶意/疏忽的内部员工的异常活动。亚马逊通过AWS CloudTrail支持AWS活动监控。

如何查看和跟踪特定 IAM 用户、角色和 AWS 访问密钥的账户活动历史记录,参考如下网址:

https://amazonaws-china.com/cn/premiumsupport/knowledge-center/view-iam-history/

如需进一步协助或服务,请留言,泰岳云业务会提供自动化工具及专业服务。