SEC 3: 如何管理人员和机器的权限?
管理权限以控制对需要访问 AWS 和您的工作负载的人员和机器身份的访问。权限用于控制哪些人可以在什么条件下访问哪些内容。
资源
Become an IAM Policy Master in 60 Minutes or Less
Separation of Duties, Least Privilege, Delegation, and CI/CD
Grant least privilege
Working with Policies
IAM Access Analyzer
Remove unnecessary credentials
Attribute-based access control (ABAC)
最佳实践:
-
定义访问要求: 管理员、最终用户或其他组件都需要访问您工作负载的每个组件或资源。明确定义哪些人员或事物应当有权访问每个组件,选择用于进行身份验证和授权的适当身份类型和方法。
-
授予最低访问权限: 通过允许在特定条件下访问特定 AWS 资源上的特定操作,仅授予身份所需的访问权限。依靠组和身份属性来大规模动态设置权限,而不是为单个用户定义权限。例如,您可以允许一组开发人员访问,以便仅管理其项目的资源。这样,当开发人员从组中删除时,开发人员的访问权限将在使用该组进行访问控制的任何位置被撤消,而无需对访问策略进行任何更改。
-
建立紧急访问流程: 此流程允许在遇到不太可能发生的自动化流程或管道问题时紧急访问您的工作负载。这将帮助您依赖最低权限访问,但确保用户可以在需要时获得相应的访问级别。例如,为管理员建立一个验证和批准其请求的流程。
-
持续减少权限: 当团队和工作负载确定他们需要哪些访问权限时,删除他们不再使用的权限,并建立审核流程以实现最低权限。持续监控和减少未使用的身份和权限。
-
为您的组织定义权限防护: 建立通用控件以限制对组织中所有身份的访问权限。例如,您可以限制对特定 AWS 区域的访问,或防止操作员删除常见资源,例如用于您的核心安全团队的 IAM 角色。
-
基于生命周期管理访问权限: 将访问控制措施与操作员和应用程序生命周期以及您的集中式联合提供工具集成。例如,在用户离开组织或角色发生变化时删除用户的访问权限。
-
分析公共和跨账户访问: 持续监控突出公共和跨账户访问的发现。减少对仅需要此类访问的资源的公共访问和跨账户访问。
-
安全地共享资源: 管理跨账户或您的 AWS 组织内共享资源的占用。监控共享资源并查看共享资源访问。
改进计划
定义访问要求
IAM use cases
授予最低访问权限
Grant least privilege
Reducing policy scope by viewing user activity
View role access
Lab: IAM permissions boundaries delegating role creation
Lab: IAM tag based access control for EC2
Attribute-based access control (ABAC)
建立紧急访问流程
Tutorial: Delegate Access Across AWS Accounts Using IAM Roles
持续减少权限
AWS IAM Access Analyzer
为您的组织定义权限防护
AWS Organizations Service Control Policies
AWS Control Tower Guardrails
基于生命周期管理访问权限
分析公共和跨账户访问
AWS IAM Access Analyzer
安全地共享资源
AWS Resource Access Manager