SEC02-BP05 定期稽核和輪換登入資料

當您無法倚賴臨時登入資料且需要長期登入資料時，請稽核登入資料以確保定義的控制 (例如多重要素驗證 (MFA)) 會定期強制執行、輪換，且具有適當的存取層級。定期驗證 (最好是透過自動化工具) 是確認強制執行正確的控制項的必要項目。若是人類身份，您應要求使用者定期變更密碼，並使用臨時登入資料淘汰存取金鑰。當您從 AWS Identity and Access Management (IAM) 使用者移至集中式身份時，可以產生登入資料報告來稽核您的 IAM 使用者。我們也建議您在身份供應商中強制執行 MFA 設定。您可以設定 AWS Config 規則來監控這些設定。若是機器身份，您應倚賴使用 IAM 角色的臨時登入資料。在無法執行此操作的情況下，需要頻繁稽核和輪換存取金鑰。

若未建立此最佳實務，暴露的風險等級為： 中

實作指引

定期稽核登入資料：使用登入資料報告和 Identify and Access Management (IAM) Access Analyzer，來稽核 IAM 登入資料和許可。
使用存取層級來檢閱 IAM 許可：為了改善 AWS 帳戶的安全性，請定期檢閱和監控每個 IAM 政策。請確定您的政策授予僅執行必要動作所需的最低權限。
- 使用存取層級來檢閱 IAM 許可

考慮自動化 IAM 資源建立和更新：AWS CloudFormation 可以用來自動化 IAM 資源 (包括角色和政策) 的部署，以減少人為錯誤，因為範本可以進行驗證和進行版本控制。
- 實驗室：IAM 群組和角色的自動部署

資源

相關文件：

相關影片：

您的瀏覽器已停用或無法使用 Javascript。

您必須啟用 Javascript，才能使用 AWS 文件。請參閱您的瀏覽器說明頁以取得說明。

文件慣用形式

SEC02-BP04 倚賴集中化的身分提供者

SEC02-BP06 利用使用者群組和屬性