本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
AWS 帳戶 管理員的安全最佳實務
如果您是建立新 的帳戶管理員 AWS 帳戶,我們建議您執行下列步驟,以協助使用者在登入時遵循 AWS 安全最佳實務。
-
以根使用者身分登入以啟用多重要素驗證 (MFA),如果您尚未建立AWS 管理使用者,請在 IAM Identity Center 中建立管理使用者。然後,保護您的根憑證,不要將其用於日常任務。
-
以 AWS 帳戶 管理員身分登入並設定下列身分:
-
設定工作負載的臨時登入資料。
-
僅針對需要長期憑證的使用案例建立存取金鑰。
-
新增許可以授予這些身分的存取權。您可以開始使用 AWS 受管政策,並轉向最低權限許可。
-
針對需要長期憑證的使用案例,為 IAM 使用者新增身分型政策。
-
如需 IAM 使用者的詳細資訊,請參閱 IAM 中的安全最佳實務。
-
儲存和共用有關 的資訊登入 AWS 管理主控台。視您建立的身分類型而定,此資訊會有所不同。
-
將您的根使用者電子郵件地址和主要帳戶聯絡電話號碼保持在最新狀態,以確保您可以接收重要的帳戶和安全相關通知。
-
檢閱 IAM 中的安全最佳實務,以了解其他身分和存取管理最佳實務。
-
實作以網路為基礎的存取控制:使用以資源為基礎的登入政策或資源控制政策 (RCPs),將主控台登入限制為來自已核准 IP 地址範圍或 VPCs請求。對於使用主控台私有存取的環境,請設定 VPC 端點政策,以控制可透過端點存取哪些帳戶 (請參閱主控台私有存取)。登入資源型政策、RCPs 和 VPC 端點政策共同在不同強制執行點提供分層網路控制。對於根使用者,登入政策會在未經授權的網路嘗試存取時完全封鎖登入資料頁面。 AWS 建議設定排除的主體進行復原存取,以防止帳戶鎖定,但這是選用的。如需詳細資訊,請參閱使用以資源為基礎的政策和資源控制政策來控制主控台存取。