SEC01-BP02 安全帳戶根使用者和屬性 - AWS 建構良好的架構
實作指引資源

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

SEC01-BP02 安全帳戶根使用者和屬性

根使用者是 中最高權限的使用者 AWS 帳戶,具有帳戶內所有資源的完整管理存取權,在某些情況下,安全政策不會限制這些權限。停用對根使用者的程式設計存取,為根使用者建立適當的控制,以及避免例行使用根使用者,可降低意外暴露根憑證及後續危及雲端環境的風險。

預期成果:保護根使用者有助於減少因濫用根使用者憑證而造成意外或蓄意損壞的機會。建立偵測控制也能在當使用根使用者採取動作時警告適當的人員。

常見的反模式:

  • 將根使用者用於需要根使用者憑證以外的工作。 

  • 疏於定期測試緊急應變計畫以確認重大基礎設施、程序和人員在緊急情況下的運作情形。

  • 僅考慮一般帳戶登入流程而疏於考慮或測試替代帳戶復原方法。

  • 不將 DNS、電子郵件伺服器和電話供應商作為關鍵安全周邊的一部分處理,因為這些會在帳戶復原流程中使用。

建立此最佳實務的優勢:保護對根使用者的存取,可建立對帳戶中的動作加以控制和稽核的信心。

未建立此最佳實務時的風險暴露等級:高

實作指引

AWS 提供許多工具來協助保護您的帳戶。然而,由於預設情況下不會開啟其中一些措施,因此您必須採取直接行動加以實作。考慮將這些建議作為保護 AWS 帳戶的基本步驟。實作這些步驟時,務必建立程序以持續評估和監視安全控制。

當您第一次建立 時 AWS 帳戶,您會從一個身分開始,該身分可完全存取 帳戶中的所有 AWS 服務和資源。此身分稱為 AWS 帳戶 根使用者。您可以使用您用來建立帳戶的電子郵件地址和密碼,以根使用者的身分登入。由於授予 AWS 根使用者的存取提升,您必須限制 AWS 根使用者的使用,才能執行特別需要 的任務。根使用者登入憑證必須受到嚴密保護,且 AWS 帳戶 根使用者應一律使用多重要素身分驗證 (MFA)。

除了使用使用者名稱、密碼和多重要素身分驗證 (MFA) 裝置登入根使用者的正常身分驗證流程之外,還有帳戶復原流程,可讓您登入 AWS 帳戶 根使用者,並存取與帳戶相關聯的電子郵件地址和電話號碼。因此,保護傳送復原電子郵件的根使用者電子郵件帳戶以及與帳戶相關聯的電話號碼同樣也很重要。此外,也請考量與根使用者相關聯的電子郵件地址託管在相同 的電子郵件伺服器或網域名稱服務 (DNS) 資源上的潛在循環相依性 AWS 帳戶。

使用 時 AWS Organizations, AWS 帳戶 每個都有多個具有根使用者的 。將一個帳戶指定為管理帳戶,接著可以在該管理帳戶之下新增數層成員帳戶。優先保護您的管理帳戶根使用者後,再來處理成員帳戶根使用者。保護管理帳戶根使用者的策略可不同於成員帳戶根使用者,而且您可以對成員帳戶根使用者設立預防性安全控制。

實作步驟

以下是為根使用者建立控制的建議實作步驟。如適用,建議會交互參照至 CIS AWS Foundations 基準 1.4.0 版。除了這些步驟之外,請參閱保護您 AWS 帳戶 和資源的AWS 最佳實務準則

預防性控制

  1. 為帳戶設定準確的聯絡資訊

    1. 此資訊用於遺失密碼復原流程、遺失MFA裝置帳戶復原流程,以及與團隊進行關鍵安全相關通訊。

    2. 使用由您的企業網域所託管的電子郵件地址 (最好是使用分發清單) 作為根使用者的電子郵件地址。使用分發清單而不是個人的電子郵件帳戶可對長期存取根帳戶提供額外的備援和持續性。

    3. 聯絡資訊上所列的電話號碼應該是針對此用途的專用安全電話。不應公布或與他人共用電話號碼。

  2. 請勿為根使用者建立存取金鑰。如果存在存取金鑰,請將其移除 (CIS 1.4)。

    1. 去除根使用者任何長期存留的程式設計憑證 (存取和秘密金鑰)。

    2. 如果根使用者存取金鑰已存在,您應該使用這些金鑰轉換程序,以使用來自 AWS Identity and Access Management (IAM) 角色的臨時存取金鑰,然後刪除根使用者存取金鑰

  3. 確定您是否需要儲存根使用者的憑證。

    1. 如果您使用 AWS Organizations 建立新的成員帳戶,則新成員帳戶上根使用者的初始密碼會設定為不會公開給您的隨機值。如有需要,請考慮使用來自您的 AWS Organization 管理帳戶的密碼重設流程來存取成員帳戶

    2. 對於獨立 AWS 帳戶 或管理 AWS 組織帳戶,請考慮為根使用者建立並安全地儲存憑證。針對根使用者MFA使用 。

  4. 在 AWS 多帳戶環境中為成員帳戶根使用者使用預防性控制。

    1. 考慮針對成員帳戶使用不允許為根使用者建立根存取金鑰預防性防護機制。

    2. 考慮針對成員帳戶使用不允許以根使用者身分執行動作預防性防護機制。

  5. 如果您需要根使用者的憑證:

    1. 使用複雜密碼。

    2. 為根使用者開啟多重要素驗證 (MFA),特別是 AWS Organizations 管理 (付款人) 帳戶 (CIS 1.5)。

    3. 考慮硬體MFA裝置以確保復原能力和安全性,因為單次使用裝置可以降低包含您MFA程式碼的裝置可能重複使用用於其他目的的機會。確認以電池供電的硬體MFA裝置定期更換。(CIS 1.6)

    4. 考慮註冊多個MFA裝置進行備份。每個帳戶最多允許 8 個MFA裝置

      • 請注意,如果MFA裝置遺失 ,為根使用者註冊多個裝置會自動關閉復原帳戶的流程。 MFA

    5. 請將密碼妥善保管,如果以電子方式儲存密碼,請考慮循環相依性。請勿以需要存取密碼 AWS 帳戶 來取得密碼的方式存放密碼。

  6. 選擇性:考慮為根使用者建立定期密碼輪流排程。

    • 憑證管理最佳實務取決於您法規和政策需求。受 保護的根使用者MFA不依賴密碼作為身分驗證的單一因素。

    • 定期變更根使用者密碼可降低不慎公開密碼遭到濫用的風險。

偵測性控制

操作指引

  • 確定組織內誰應該存取根使用者憑證。

    • 使用兩人規則,讓任何人都無法存取所有必要的憑證MFA,並取得根使用者存取權。

    • 確認組織 (用於密碼重設和MFA重設流程) 維持對與帳戶相關聯的電話號碼和電子郵件別名的控制,而非單一個人。

  • 僅透過例外狀況使用根使用者 (CIS 1.7)。

    • AWS 根使用者不得用於日常任務,即使是管理任務。只有以根使用者身分登入,才能執行需要根使用者的AWS 任務。所有其他動作都應該由其他擔任適當角色的使用者執行。

  • 定期檢查根使用者的存取權操作正常,以便在發生需要使用根使用者憑證的緊急情況之前,測試相關程序。

  • 定期檢查與帳戶相關聯的電子郵件地址,以及替代連絡人下列出的電子郵件地址。監控這些電子郵件收件匣,查看您可能接收的來自 的安全通知。另外確保與帳戶相關聯的任何電話號碼都有效。

  • 準備事件回應程序以回應根帳戶誤用的情況。請參閱 AWS Security Incident Response Guide安全支柱白皮書中「事件回應」一節中的最佳實務,了解如何為 AWS 帳戶建立事件回應策略的詳細資訊。

資源

相關的最佳實務:

相關文件:

相關影片:

相關範例和實驗室: