SEC02-BP05 定期审计和轮换凭证
定期审计和轮换凭证,以限制凭证可用于访问资源的时间。使用长期凭证会产生许多风险,可通过定期轮换来降低这些风险。
期望结果:实施凭证轮换,以帮助降低长期凭证相关风险。定期审计并纠正不符合凭证轮换策略的情况。
常见反模式:
-
不审计凭证的使用情况。
-
不必要地使用长期凭证。
-
使用长期凭证,不定期轮换。
在未建立这种最佳实践的情况下暴露的风险等级:高
实施指导
当您无法依赖临时凭证并需要长期凭证时,请审计凭证,以验证实施了定义的控制措施(例如多重身份验证(MFA)),并且定期轮换凭证,使凭证具有适当的访问级别。
(最好通过自动化工具)定期验证,以确保实施正确的控制措施。对于人员身份,您应要求用户定期更改他们的密码并弃用访问密钥,以支持临时凭证。从 AWS Identity and Access Management(IAM)用户转向集中式身份时,您可以生成凭证报告来审计您的用户。
我们还建议您在身份提供者中实施并监控 MFA。您可以设置 AWS Config 规则 或使用 AWS Security Hub 安全标准来监控用户是否启用了 MFA。考虑使用 IAM Roles Anywhere 为机器身份提供临时凭证。在无法使用 IAM 角色和临时凭证的情况下,需要经常审计和轮换访问密钥。
实施步骤
-
定期审计凭证:对您的身份提供者和 IAM 中配置的身份进行审计,这有助于验证只有经过授权的身份才能访问您的工作负载。此类身份可能包括但不限于 IAM 用户、AWS IAM Identity Center 用户、Active Directory 用户或不同上游身份提供者中的用户。例如,删除离开组织的人员,并删除不再需要的跨账户角色。制定流程,以定期审计 IAM 实体所访问服务的权限。这有助于您确定需要修改的策略,以删除任何未使用的权限。使用凭证报告和 AWS Identity and Access Management Access Analyzer 来审计 IAM 凭证和权限。您可以使用 Amazon CloudWatch 为 AWS 环境中调用的特定 API 调用设置警报。Amazon GuardDuty 还可以提醒您注意意外活动,出现这种提醒,可表明对 IAM 凭证的访问过于宽松,或出现了意外访问情况。
-
定期轮换凭证:当您无法使用临时凭证时,请定期轮换长期 IAM 访问密钥(最多每 90 天一次)。如果在您不知情的情况下无意中泄露了访问密钥,这将限制凭证用于访问资源的时间。有关轮换 IAM 用户的访问密钥的信息,请参阅轮换访问密钥。
-
审核 IAM 权限:为了提高您的 AWS 账户 的安全性,请定期审核和监控每个 IAM 策略。验证这些策略是否遵循最低权限原则。
-
考虑自动创建和更新 IAM 资源:IAM Identity Center 会自动执行许多 IAM 任务,比如角色和策略管理。或者,AWS CloudFormation 可用于自动部署 IAM 资源(包括角色和策略),以减少人为错误的机会,因为可以验证模板和控制版本。
-
对于机器身份,使用 IAM Roles Anywhere 替换 IAM 用户:IAM Roles Anywhere 将使您能够在传统上无法使用角色的领域(例如本地服务器)使用角色。IAM Roles Anywhere 使用可信的 X.509 证书向 AWS 进行身份验证并接收临时凭证。使用 IAM Roles Anywhere 便无需轮换这些凭证,因为长期凭证不再存储在本地环境中。请注意,您需要监控 X.509 证书,并在该证书即将到期时轮换它。
资源
相关最佳实践:
相关文档:
相关视频:
相关示例:
