SEC 3: 如何管理人員和機器的許可？

管理許可，以控制對需要存取 AWS 和工作負載的人員和機器身分的存取。許可控制誰可以在何種條件下存取哪些內容。

資源

Become an IAM Policy Master in 60 Minutes or Less
Separation of Duties, Least Privilege, Delegation, and CI/CD
Grant least privilege
Working with Policies
IAM Access Analyzer
Remove unnecessary credentials
Attribute-based access control (ABAC)

最佳實務:

• 定義存取需求: 工作負載的每個元件或資源都需要由管理員、最終使用者或其他元件存取。您需要清楚定義哪些人或哪些項目應該可以存取每個元件，然後選擇適當的身分類型與身份驗證和授權方法。

• 授予最低權限存取權: 允許在特定條件下對特定 AWS 資源執行特定動作的存取權，來僅授予身分所需的存取權。倚賴群組和身分屬性，大規模動態設定許可，而不是定義個別使用者的許可。例如，您可以允許一組開發人員的存取權，以只管理其專案的資源。如此一來，將開發人員從群組移除時，在使用該群組來進行存取控制的任何地方都會撤銷該開發人員的存取權，而不需要對存取政策進行任何變更。

• 建立緊急存取程序: 在極少數的狀況下，自動化程序或管道發生問題時，允許緊急存取工作負載的程序。這可協助您倚賴最低權限的存取權，但確保使用者可在需要時取得適當的存取層級。例如，建立一個程序，讓管理員驗證和核准他們的請求。

• 持續減少許可: 當團隊和工作負載決定他們需要的存取時，請移除他們不再使用的許可，並建立檢閱程序以達到最低權限的許可。持續監控和減少未使用的身分和許可。

• 為您的組織定義許可防護機制: 建立通用控制項，限制對組織中所有身分的存取權。例如，您可以限制對特定 AWS 區域的存取權，或防止操作員刪除常見資源，例如用於中央安全團隊的 IAM 角色。

• 根據生命週期管理存取: 將存取控制與操作員和應用程式之生命週期以及集中化的聯合身分供應商相整合。例如：在使用者離開組織或變更角色時移除其存取權。

• 分析公有和跨帳戶存取: 持續監控強調公有和跨帳戶存取的問題清單。減少對需要此類存取之資源的公有存取和跨帳戶存取。

• 安全地共用資源: 管理跨帳戶或 AWS 組織內共用資源的使用量。監控共用資源並檢閱共用資源存取。

改進方案

定義存取需求

定義工作職能與責任的必要權限: 根據使用者的工作職能、角色或責任，定義他們需要存取哪些資源以及可能適用的條件。將具有共同需求的使用者分組在一起，以更輕鬆地委派政策。
IAM use cases

授予最低權限存取權

實作最低權限政策: 將具有最低權限的存取政策指派給 IAM 群組和角色，以反映您已定義的使用者角色或職能。
Grant least privilege

移除不需要的權限: 透過移除不必要的許可來實作最低權限。
Reducing policy scope by viewing user activity
View role access

考慮使用許可界限: 許可界限是使用受管政策的進階功能，可設定以身分為基礎的政策可授與 IAM 實體的最大許可。實體的許可界限只允許執行其以身分為基礎的政策和許可界限同時允許的動作。
Lab: IAM permissions boundaries delegating role creation

考慮使用資源標籤的許可: 您可以使用標籤來控制對支援標記之 AWS 資源的存取。您也可以標記 IAM 使用者和角色，以控制他們可以存取的內容。
Lab: IAM tag based access control for EC2
Attribute-based access control (ABAC)

建立緊急存取程序

預先佈建緊急存取: 從信任的帳戶 (例如安全團隊使用的帳戶) 預先佈建緊急存取的角色，可協助您快速取得存取權。
Tutorial: Delegate Access Across AWS Accounts Using IAM Roles

持續減少許可

設定 IAM Access Analyzer: AWS IAM Access Analyzer 可協助您識別組織和帳戶中與外部實體共用的資源，例如 Amazon S3 儲存貯體或 IAM 角色。
AWS IAM Access Analyzer

為您的組織定義許可防護機制

定義適用於所有身分的常見限制: 根據您組織的獨特需求 (例如僅存取特定 AWS 區域)，建立一些您可以使用 AWS Organizations 套用的限制。
AWS Organizations Service Control Policies

使用 AWS Control Tower 管理防護機制: 根據您組織的獨特需求 (例如僅存取特定 AWS 區域)，建立一些您可以使用 AWS Organizations 套用的限制。
AWS Control Tower Guardrails

根據生命週期管理存取

使用者存取生命週期: 為加入的新使用者、工作職能變更和離開的使用者，實作使用者存取生命週期的政策，以確保只有目前的使用者能夠擁有存取權。

分析公有和跨帳戶存取

設定 IAM Access Analyzer: AWS IAM Access Analyzer 可協助您識別組織和帳戶中與外部實體共用的資源，例如 Amazon S3 儲存貯體或 IAM 角色。
AWS IAM Access Analyzer

安全地共用資源

使用 AWS Resource Access Manager: AWS Resource Access Manager (RAM) 是一種服務，可讓您輕鬆安全地與任何 AWS 帳戶或在 AWS 組織內共用 AWS 資源。
AWS Resource Access Manager