

本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 的安全最佳实践 AWS 账户 管理员
<a name="best-practices-admin"></a>

如果您是账户管理员并创建了新的账户 AWS 账户，我们建议您采取以下步骤来帮助您的用户在登录时遵循 AWS 安全最佳实践。

1. 以根用户身份登录以[启用多重身份验证 (MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#id_root-user_manage_mfa))，[并在 IAM Identity Center 中创建 AWS 管理](https://docs.aws.amazon.com/singlesignon/latest/userguide/getting-started.html)用户（如果您尚未这样做）。然后，[保护您的根用户凭证](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#lock-away-credentials) ，请勿将其用于日常任务。

1. 以 AWS 账户 管理员身份登录并设置以下身份：
   + 为其他[人员](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp)创建[最低权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege)用户。
   + [为工作负载设置临时凭证](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-workloads-use-roles)。
   + 仅为[需要长期凭证的使用案例](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#rotate-credentials)创建访问密钥。

1. 添加权限以向这些身份授予访问权限。您可以[开始使用 AWS 托管策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-use-aws-defined-policies)，然后转向[最低权限权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege)。
   + 向 [AWS IAM 身份中心（ AWS 单一身份的继任者 Sign-On）用户添加权限集](https://docs.aws.amazon.com/singlesignon/latest/userguide/howtocreatepermissionset.html)。
   + 向用于工作负载的[ IAM 角色添加基于身份的策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html#add-policies-console)。
   + 对于需要长期凭证的使用案例，[向 IAM 用户添加基于身份的策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html#add-policies-console)。
   + 有关 IAM 用户的更多信息，请参阅 [IAM 安全最佳实践](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)。

1.  保存和共享有关 [登录 AWS 管理控制台](how-to-sign-in.md) 的信息。这些信息不尽相同，具体取决于您创建的身份类型。

1. 请及时更新根用户电子邮件地址和主要账户联系人电话号码，以确保您可以收到与账户和安全相关的重要通知。
   + [修改 AWS 账户根用户的账户名称、电子邮件地址或密码](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-update-root-user.html)。
   + [访问或更新主要账户联系人](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-update-contact-primary.html)。

1. 回顾 [IAM 安全最佳实践](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)，了解其他身份和访问管理最佳实践。

1. 实施基于网络的访问控制：使用 Sign-in 基于资源的策略或资源控制策略 (RCP)，将控制台登录限制为来自经批准的 IP 地址范围或 VPC 的请求。对于使用控制台私有访问的环境，请配置 VPC 终端节点策略以控制可以通过您的终端节点访问哪些账户（参见[控制台私有访问](https://docs.aws.amazon.com/awsconsolehelpdocs/latest/gsg/console-private-access.html)）。 Sign-in 基于资源的策略、RCP 和 VPC 终端节点策略共同在不同的实施点提供分层网络控制。对于 root 用户， Sign-in 策略会在未经授权的网络尝试访问时完全阻止凭据页面。 AWS 建议将排除的主体配置为恢复访问权限以防止帐户锁定，尽管这是可选的。有关更多信息，请参阅 [使用基于资源的策略和资源控制策略控制控制台访问权限](console-access-control.md)。