本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
COST02-BP04 實作群組和角色
實作符合您政策的群組和角色,並控制哪些人員可以建立、修改或停用每個群組中的執行個體和資源。例如,實作開發、測試和生產群組。這適用於 AWS 服務和第三方解決方案。
未建立此最佳實務時的曝險等級:低
實作指引
使用者角色和群組是設計和實作安全高效系統的基礎建置組塊。角色和群組可協助組織在控制需求與靈活性和生產力的要求兩方面取得平衡,從而最終能支援組織目標和使用者需求。如 AWS Well-Architected Framework Security Pillar 的身分和存取管理區段中建議,您需要強大的身分管理和許可,以便在正確的條件下為正確的人員提供正確的資源存取權。使用者只會獲得要完成其任務所需的存取權。這可將未經授權存取或濫用的相關風險降至最低。
在制定政策後,您可以在組織內建立邏輯群組和使用者角色。這可讓您指派許可、控制使用情況,並協助實作強大的存取控制機制,防止有人未經授權存取敏感資訊。從簡要的人員分組開始。通常這與組織單位和工作角色 (例如 IT 部門的系統管理員、財務控制者或商業分析師) 相符。這些群組會將執行類似任務且需要類似存取權限的人員進行分類。角色定義群組必須執行的工作。管理群組和角色的許可會比管理個別使用者的許可容易。角色和群組能以一致且有系統的方式為所有使用者指派許可,以避免錯誤和不一致。
當使用者的角色變更時,管理員可以調整角色或群組層級的存取權,而不是重新設定個別使用者帳戶。例如,IT 的系統管理員需要建立所有資源的存取權限,但分析團隊成員只需要建立分析資源的權限。
實作步驟
資源
相關文件:
相關影片:
相關範例: