SEC03-BP01 定義存取需求 - 安全支柱
實作指引資源

SEC03-BP01 定義存取需求

管理員、終端使用者或其他元件都需要存取工作負載的每個元件或資源。請明確定義應該有權存取每個元件的人員和機器,選擇適當的身分類型及驗證和授權方法。

常見的反模式:

  • 將機密硬式編碼或儲存在應用程式中。

  • 為每名使用者授予自訂許可。

  • 使用長期憑證。

未建立此最佳實務時的曝險等級:

實作指引

管理員、終端使用者或其他元件都需要存取工作負載的每個元件或資源。請明確定義應該有權存取每個元件的人員和機器,選擇適當的身分類型及驗證和授權方法。

應提供組織內對 AWS 帳戶 的定期存取 (使用聯合存取或集中式身分提供者)。您應集中進行身分管理,並確保有既定的實務,可將 AWS 存取整合至員工的存取生命週期。例如,當員工改為擔任具有不同存取層級的任務角色時,其群組成員資格也應變更,以反映新的存取需求。

為非真人身分定義存取需求時,請判斷哪些應用程式和組成部分需要存取權,以及如何授予許可。使用透過最低權限存取模型建置的 IAM 角色是建議的方法。AWS受管政策提供預先定義的 IAM 政策,其中涵蓋最常見的使用案例。

AWS 服務 (例如 AWS Secrets ManagerAWS Systems Manager Parameter Store) 可以協助在無法使用 IAM 角色的情況下,將機密從應用程式或工作負載中安全地分離。在 Secrets Manager 中,您可以為憑證建立自動輪換。您可以使用 Systems Manager 來參考指令碼、命令、SSM 文件、組態和自動化工作流程中的參數,方法是使用您在建立參數時指定的唯一名稱。

您可以使用 AWS IAM Roles Anywhere 取得 IAM 中的臨時安全憑證,以用於在 AWS 外部執行的工作負載。工作負載可以透過與 AWS 應用程式搭配使用的相同 IAM 政策IAM 角色來存取 AWS 資源。

可能的話,請選擇短期臨時憑證,而不是長期靜態憑證。對於您希望使用者具備程式設計存取權和長期憑證的情況,請使用存取金鑰上次使用的資訊來輪換和移除存取金鑰。

若使用者想要與 AWS Management Console 之外的 AWS 互動,則需要程式設計存取權。授予程式設計存取權的方式取決於存取 AWS 的使用者類型。

若要授與使用者程式設計存取權,請選擇下列其中一個選項。

哪個使用者需要程式設計存取權? 根據

人力資源身分

(IAM Identity Center 中管理的使用者)

 使用臨時憑證簽署對 AWS CLI、AWS SDKs 或 AWS APIs 的程式設計請求。

請依照您要使用的介面所提供的指示操作。
IAM 使用臨時憑證簽署對 AWS CLI、AWS SDKs 或 AWS APIs 的程式設計請求。 請遵循 IAM 使用者指南使用臨時憑證搭配 AWS 資源 中的指示。
IAM

(不建議使用)

使用長期憑證簽署 AWS CLI、AWS SDKs 或 AWS APIs 的程式設計要求。

請依照您要使用的介面所提供的指示操作。

資源

相關文件:

相關影片: