本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
IAM 資源
| 進行簡短的調查 |
雖然 AWS Identity and Access Management (IAM) 不是包含在傳統架構圖表中的服務,但它觸及 AWS 組織、AWS 帳戶和 AWS 服務的每個層面。您必須先建立 AWS 實體並授予許可,才能部署任何 IAM 服務。IAM 的完整說明超出本文件的範圍,但本節提供最佳實務建議和其他資源指標的重要摘要。
-
如需 IAM 最佳實務,請參閱 IAM 文件中的 Word 安全最佳實務、IAM 安全部落格中的 Word 文章
,以及 AWS re:Invent 簡報 。 AWS AWS -
AWS Well-Architected 安全支柱概述許可管理程序中的關鍵步驟:定義許可保護機制、授予最低權限存取、分析公有和跨帳戶存取、安全地共用資源、持續減少許可,以及建立緊急存取程序。
-
下表及其隨附的備註提供關於可用 IAM 許可政策類型以及如何在安全架構中使用它們的建議指引的高階概觀。若要進一步了解,請參閱有關選擇正確 AWS 政策組合的 IAM re:Invent 2020 影片
。
使用案例或政策 |
效果 |
管理者 |
用途 |
與 相關 |
影響 |
部署於 |
服務控制政策 (SCPs) |
Restrict |
中央團隊,例如平台或安全團隊 【1】 |
Guardrails、治理 |
Organization、OU、帳戶 |
Organization、OU 和 帳戶中的所有主體 |
組織管理帳戶 【2】 |
基準帳戶自動化政策 (平台用來操作帳戶的 IAM 角色) |
授予和限制 |
中央團隊,例如平台、安全或 IAM 團隊 【1】 |
(基準) 非工作負載自動化角色的許可 【3】 |
單一帳戶 【4】 |
成員帳戶中自動化所使用的主體 |
成員帳戶 |
基準人工政策 (授予使用者執行其工作的許可的 IAM 角色) |
授予和限制 |
中央團隊,例如平台、安全或 IAM 團隊 【1】 |
人類角色的許可 【5】 |
單一帳戶 【4】 |
聯合主體 【5】 和 IAM 使用者 【6】 |
成員帳戶 |
許可界限 (授權開發人員可指派給其他主體的最大許可) |
Restrict |
中央團隊,例如平台、安全或 IAM 團隊 【1】 |
應用程式角色的護欄 (必須套用) |
單一帳戶 【4】 |
此帳戶中應用程式或工作負載的個別角色 【7】 |
成員帳戶 |
應用程式 (連接至開發人員部署之基礎設施的角色) 的機器角色政策 |
授予和限制 |
委派給開發人員 【8】 |
應用程式或工作負載的許可 【9】 |
單一帳戶 |
此帳戶中的主體 |
成員帳戶 |
資源政策 |
授予和限制 |
委派給開發人員 【8,10】 |
資源的許可 |
單一帳戶 |
帳戶中的主體 【11】 |
成員帳戶 |
資料表中的備註:
-
企業有許多集中式團隊 (例如雲端平台、安全操作或身分和存取管理團隊),這些團隊會劃分這些獨立控制的責任,並對彼此的政策進行對等審查。資料表中的範例為預留位置。您需要為企業確定最有效的職責分離。
-
若要使用 SCPs,您必須啟用 Word Organizations 中的所有功能。 AWS
-
通常需要常見的基準角色和政策才能啟用自動化,例如管道的許可、部署工具、監控工具 (例如 AWS Lambda 和 AWS Config 規則) 和其他許可。此組態通常會在佈建帳戶時傳送。
-
雖然這些與單一帳戶中的資源 (例如角色或政策) 相關,但可以使用 AWS CloudFormation Word StackSets複寫或部署到多個帳戶。
-
定義由中央團隊 (通常在帳戶佈建期間) 部署到所有成員帳戶的核心一組基準人工角色和政策。範例包括平台團隊的開發人員、IAM 團隊和安全稽核團隊。
-
盡可能使用身分聯合 (而非本機 IAM 使用者)。
-
授權界限由委派的管理員使用。此 IAM 政策會定義最大許可,並覆寫其他政策 (包括允許資源上所有動作
“*:*”的政策)。基準人工政策中應該需要許可界限,作為建立角色 (例如工作負載效能角色) 和連接政策的條件。其他組態,例如 SCPs 強制連接許可界限。 -
這會假設已部署足夠的防護機制 (例如 SCPs 和許可界限)。
-
這些選用政策可在帳戶佈建期間交付,或作為應用程式開發程序的一部分交付。建立和連接這些政策的許可將受應用程式開發人員自己的許可所管理。
-
除了本機帳戶許可之外,集中式團隊 (例如雲端平台團隊或安全操作團隊) 通常會管理某些資源型政策,以允許跨帳戶存取以操作帳戶 (例如,提供 S3 儲存貯體的存取以供記錄)。
-
資源型 IAM 政策可以參考任何帳戶中的任何主體,以允許或拒絕對其資源的存取。它甚至可以參考匿名主體來啟用公有存取。
確保 IAM 身分僅具有描述明確的任務集所需的許可,對於降低惡意或無意濫用許可的風險至關重要。建立和維護最低權限模型需要刻意的計畫,才能持續更新、評估和緩解過多權限。以下是該計畫的一些其他建議:
-
使用組織的治理模型和已建立的風險偏好來建立特定的防護機制和許可界限。
-
透過持續迭代程序實作最低權限。這不是一次性練習。
-
使用 SCPs 來降低可採取行動的風險。這些旨在作為廣泛的防護機制,而不是狹窄的目標控制。
-
使用許可界限,以更安全的方式委派 IAM 管理。
-
確定委派的管理員將適當的 IAM 邊界政策連接到他們建立的角色和使用者。
-
-
作為 a defense-in-depth 方法 (搭配身分型政策),使用資源型 IAM 政策來拒絕對資源的廣泛存取。
-
使用 IAM Access Advisor、AWS CloudTrailWord、IAM AWS Access Analyzer 和相關工具定期分析歷史用量和授予的許可。立即修復明顯的過度許可。
-
適用時,將廣泛的動作範圍涵蓋到特定資源,而不是使用星號作為萬用字元來表示所有資源。
-
實作機制,根據請求快速識別、檢閱和核准 IAM 政策例外狀況。
