SEC02-BP05 定期审计和轮换凭证
当您无法依赖临时凭证并需要长期凭证时,请审计凭证,以确保实施了定义的控制措施(例如多重身份验证(MFA))、凭证定期轮换且具有适当的访问级别。(最好通过自动化工具)定期验证,以确保实施正确的控制措施。对于人员身份,您应要求用户定期更改他们的密码并弃用访问密钥,以支持临时凭证。在从 AWS Identity and Access Management(IAM)用户转向集中身份时,您可以 生成凭证报告 以审计 IAM 用户。我们还建议您在身份提供者中实施 MFA 设置。您可以设置 AWS Config 规则 来监控这些设置。对于机器身份,您应依靠使用 IAM 角色的临时凭证。当无法执行此操作时,需要经常审计和轮换访问密钥。
未建立这种最佳实践的情况下暴露的风险等级: 中
实施指导
-
定期审计凭证:使用凭证报告以及 Identity and Access Management(IAM)Access Analyzer 审计 IAM 凭证和权限。
-
使用访问级别审核 IAM 权限:为了提高您的 AWS 账户的安全性,请定期审核和监控每个 IAM 策略。请确保您的策略授予仅执行必要操作所需的最低权限。
-
考虑自动创建和更新 IAM 资源:AWS CloudFormation 可用于自动部署 IAM 资源(包括角色和策略),以减少人为错误,因为可以验证模板和控制版本。
资源
相关文档:
相关视频: