SEC02-BP05 定期稽核和輪換登入資料
當您無法倚賴臨時登入資料且需要長期登入資料時,請稽核登入資料以確保定義的控制 (例如 多重要素驗證 (MFA)) 會定期強制執行、輪換,且具有適當的存取層級。定期驗證 (最好是透過自動化工具) 是確認強制執行正確的控制項的必要項目。若是人類身份,您應要求使用者定期變更密碼,並使用臨時登入資料淘汰存取金鑰。當您從 AWS Identity and Access Management (IAM) 使用者移至集中式身份時,可以 產生登入資料報告 來稽核您的 IAM 使用者。我們也建議您在身份供應商中強制執行 MFA 設定。您可以設定 AWS Config 規則 來監控這些設定。若是機器身份,您應倚賴使用 IAM 角色的臨時登入資料。在無法執行此操作的情況下,需要頻繁稽核和輪換存取金鑰。
若未建立此最佳實務,暴露的風險等級為: 中
實作指引
-
定期稽核登入資料:使用登入資料報告和 Identify and Access Management (IAM) Access Analyzer,來稽核 IAM 登入資料和許可。
-
使用存取層級來檢閱 IAM 許可:為了改善 AWS 帳戶的安全性,請定期檢閱和監控每個 IAM 政策。請確定您的政策授予僅執行必要動作所需的最低權限。
-
考慮自動化 IAM 資源建立和更新:AWS CloudFormation 可以用來自動化 IAM 資源 (包括角色和政策) 的部署,以減少人為錯誤,因為範本可以進行驗證和進行版本控制。
資源
相關文件:
相關影片: