AWS安全讲堂：身份认证秘籍！

小提示：您能找到这篇{AWS安全讲堂：身份认证秘籍！}绝对不是偶然，我们能帮您找到潜在客户，解决您的困扰。如果您对本页介绍的AWS安全讲堂：身份认证秘籍！内容感兴趣，有相关需求意向欢迎拨打我们的服务热线，或留言咨询，我们将第一时间联系您！

< ">嘀嘀~各位云计算界的小伙伴们~

< ">欢迎乘坐AWS安全直通车！

< ">安全直通车

< ">之“AWS身份认证安全”号

< ">< color: rgb(247, 150, 70);">安全一直是Amazon Web Services(AWS)的核心主题之一，无论是在云采用框架CAF，还是在Well-architected Framework中。同样，安全也一直是亚马逊re:危机负面处理公关公司Invent的热点内容，在讨论的众多方面里，AWS身份认证安全是企业IT部署和运维中要面临的首要问题。

< ">在这一类事件中，每一个操作者都不是有意为之，每一个攻击者也不需要很强的技术。< color: rgb(247, 150, 70);">因此，虽然安全技术很重要，但是比安全技术更重要的是安全规范和安全意识。

< ">接下来小编就告诉你< color: rgb(247, 150, 70);">2个常见的不规范操作，各位小伙伴们可要记住避雷哟~

< ">01 把秘钥上传到公网，被黑客截取后对账号进行危险操作。（X）

< ">02 对存储桶设置了公网读写权限，导致重要信息的泄露。（X）

< ">身份设置是使用AWS的基础，开始使用AWS之前必须要设置身份认证。< color: rgb(247, 150, 70);">本文将归纳总结如何从身份安全的角度来设计应用架构。AWS中的身份认证服务是AWS Identity and Access Management(AWS IAM)，AWS所有的服务都会使用AWS IAM来决定如何访问其他的服务。因此，有必要对身份的安全最佳实践进行梳理，发现并修复资源、账户以及整个组织内的权限问题。通过这些安全检查，可以优化组织的AWS身份，拥有更好的安全性。

< ">围绕AWS身份认证的安全实践，主要原则包括以下几点：

最小权限原则

< ">避免在Policy的Action和Resource元素中使用通配符，要避免使用宽泛授权。

使用多个AWS账号

< ">根据环境类型（开发、测试、生产）等分类创建不同的AWS账号，这样就可以清晰地拆分账单，以及从根本上设置用户操作的安全边界。

创建有意义的

Organizational Unit(OU)结构

< ">当组织创建越来越多的AWS账号时，就需要使用AWS Organization来管理账号，通过OU对账号进行分组。在使用OU对账号进行分组时，应该保证OU能够反映实际业务、环境，甚至组织架构。另外，AWS Control Tower和AWS Landing Zone两项服务，可以帮助用户使用最佳实践创建AWS账号结构，并实施初始安全基线。

使用服务控制策略

(Service Control Policy,SCP)

< ">当认真构建了OU层级之后，就可以针对整个组织、OU，或者单独的成员账号，设置SCP，进行账号层面的权限管控。

使用联合身份认证

< ">如果组织已有企业目录，那么建议使用其对AWS账号进行联合身份认证。这样，就可以避免在云上再单独维护一份身份清单，并且避免创建长期身份，即IAM User。

使用Role

< ">要使用联合身份认证，需要创建Role，以保证联合权限只在Role的过期时间内有效。另外，Role应该用于运行在AWS环境上的应用的授权，这样就不需要创建并分发长期秘钥。同时，Role也应该用于跨账号访问的授权，避免为第三方应用创建组织账号内的长期权限。

清楚定义信任策略

(Trust Policy)

< ">信任策略定义了谁（Principal）可以使用某个Role。Principal可以是用户、另一个Role、账号，或者Identity Provider。当使用Role进行授权的时候，注意要清楚定义使用Role的Principal，避免使用星号，如sts:assumerole:*。

尽量避免使用长期秘钥

< ">在必须创建Access Key的情况下要保证密钥的安全，应当遵循如下五点：

< ">1)对Access Key设置IP白名单授权，保证只能从授权的服务器使用；

< ">2)不要把密钥硬编码到代码里；

< ">3)定时Rotate Access Key；

< ">4)不要以明文发送Access Key，应当加密文件，然后将文件和解密密码分两封邮件发送；

< ">5)不要把Access Key上传到GitHub等公网环境。

保证root用户的安全

< ">除了一些特殊操作之外，永远不要使用root用户，尤其不应该使用root进行日常的运维操作。同时，在实践中应当遵循：

< ">1)删除Access Keys；

< ">2)使用SCP限制root权限；

< ">3)启用Multi-factor Authentication(MFA)；

< ">4)设置强密码，并定期修改密码；

< ">5)将root用户邮箱设置为组邮箱，便于root找回。

保证IAM User安全

< ">如果组织暂时无法使用联合身份认证，则需要在AWS创建User，应当遵循：

< ">1)创建IAM Group，按照不同的用户角色对用户进行分组；

< ">2)设置强密码策略，并定期修改密码；

< ">3)为每个人创建单独的用户，不能多人共用User；

< ">4)用户登录使用MFA；

< ">5)使用AWS Config审查没有设置MFA的用户；

< ">6)避免为个人用户创建秘钥，使用CloudShell。

定期检查Policy设置

< ">在最初设置Policy的时候使用IAM Policy Simulator模拟Policy的权限，以保证最小权限。之后使用IAM Access Advisor持续查看一定时间内没有被访问过的服务，然后在SCP中禁用这些服务。

定期检查未使用的身份

< ">通过Credential Report检查一定时间内没有使用过的Identity（Role、Access Key、User），并且将其禁用或者删除。

定期检查与第三方账号

共享的权限

< ">AWS IAM Access Analyzer支持分析基于资源的策略，例如Amazon S3存储桶、SQS Queue、IAM角色。这样，组织就可以识别对资源和数据的计划外访问，而这种访问可能会造成安全风险。

设置审计

< ">对整个组织开启CloudTrail，并且将CloudTrail日志存储到单独账号，以避免用户删除操作记录。同时，运维人员应该熟悉使用Athena等服务查询CloudTrail日志的方式。

< ">< color: rgb(247, 150, 70);">上述建议从账号管理到用户管理，从最小权限原则到操作审计，都需要认真落实。让组织内每一个人都规范操作，建立起安全意识，预防安全事故的出现。聚云科技深知安全的重要性，因此从一开始就会对客户进行安全培训，并定期与客户沟通对配置进行巡检，保证客户人文素质及危机公关考试题账号环境的安全。

下图是对如上原则的总结以及各原则之间的关系，便于组织进行安全巡检：