模块 2:保护 AWS 账户

教程

配置用户

在本模块中,您将学习保护 AWS 账户的最佳实践

您将学到的内容

在本模块中,您将了解如何:
  • 以根用户身份登录
  • 为根用户提供额外的安全保护
  • 设置更多 AWS IAM Identity Center(AWS SSO 的后继者)用户
  • 登录 AWS 访问门户
  • 为 Identity Center 用户设置 MFA

实施

当您创建 AWS 账户时,系统会自动为您的账户创建根用户。根用户是一个特殊的实体,其拥有账户的完全访问权限,可以执行所有操作,包括更改支付方式或关闭账户。当您使用根用户登录时,可以全面访问账户中的所有 AWS 服务和资源。由于此权限级别,我们建议您:

  • 通过多因素身份验证为根用户提供额外的安全保护
  • 设置其他用户来执行与您的账户相关的日常任务

AWS 有两种身份服务:

  • AWS Identity and Access Management (IAM)。该服务提供访问控制策略,并可管理长期用户,例如根用户。如果您在 IAM 中创建用户,则这些用户将拥有长期访问凭证。作为安全最佳实践,建议您尽量减少在 AWS 中使用长期凭证。在本教程中,您不会创建 IAM 用户。
  • AWS IAM Identity Center(AWS Single Sign-On 的后继者)。此服务提供临时凭证,这些凭证在用户每次登录会话时授予。它可以与您可能已经拥有的任何现有身份提供者(例如 Microsoft Active Directory 或 Okta)集成,这样您的用户就可以轻松登录 AWS,就像在您的组织登录其他服务一样。如果您没有其他身份提供者,则可以在 IAM Identity Center 创建用户。这是为您的 AWS 账户创建更多用户的推荐方法,也是我们将在本教程中介绍的方法。

 完成时间

15 分钟

 模块要求

  • 互联网浏览器
  • AWS 账户

 获取帮助

以根用户身份登录

使用您创建账户时使用的电子邮件地址和密码登录即可访问 AWS 账户根用户。

1.登录 AWS 管理控制台

2.选择根用户并输入您在创建账户时指定的电子邮件地址,然后选择下一步

AWS 管理控制台中的 IAM 控制面板,可以选择为根用户添加 MFA。

3.系统可能会提示您完成安全检查。在提供的空白处键入图像中的字符,然后选择提交。您必须完成此检查才能进入下一步。

提示:选择声音按钮可听到一组要键入的数字和字母。如果您无法辨认原始图像中的字符,请选择刷新按钮以更改图像。

用于为根用户选择 MFA 设备的对话框。

4.在登录页面上,输入您的密码并选择登录

用于为根用户选择 MFA 设备的对话框。

恭喜,您刚刚已经以根用户身份登录 AWS 管理控制台。但是您不需要使用您的根用户来完成日常任务。根用户只能用于特定的账户管理任务,我们将在本教程的下一部分中完成其中两项任务。 

  • 为根用户启用 MFA
  • 在 IAM Identity Center 创建管理用户

有关需要您以根用户身份登录的任务的完整列表,请参阅需要根用户凭证的任务

增加对根用户登录的安全保护

为了有助于保护您的根用户凭证安全,我们强烈建议您为根用户登录启用多重身份验证(MFA)。启用 MFA 后,除了提供根用户的电子邮件地址和密码外,您还需要提供来自其他身份验证器的凭证,这就大大提高了他人在未经您许可的情况下使用您的根用户凭证的难度。

让我们增加对根用户登录的安全保护。为此,我们将使用 AWS Identity and Access Management(IAM)服务。有关更多信息,请参阅什么是 IAM?

1.使用根用户凭证登录新创建的 AWS 账户

2.在 AWS 管理控制台搜索栏中,输入 IAM,然后选择 IAM。 

AWS 管理控制台中的 IAM 控制面板,可以选择为根用户添加 MFA。

3.在安全建议下会显示一条通知,要求为根用户添加 MFA
4.选择添加 MFA。 

AWS 管理控制台中的 IAM 控制面板,可以选择为根用户添加 MFA。

5.此时将打开我的安全凭证(根用户)页面。系统会显示一条提醒,提示您尚未分配 MFA。 选择分配 MFA

6.此时将打开选择 MFA 设备页面。在指定 MFA 设备名称中,输入您的 MFA 设备的名称。我们建议使用一个有助于您记住此凭证分配给哪个设备和用户的名称。

7.在本教程中,我们将在移动设备上使用身份验证器应用程序。输入设备名称 phone-root

8.在选择 MFA 设备中,选择身份验证器应用程序选项,然后选择下一步

提示:如果您无法访问移动设备或硬件设备,则无法启用 MFA。了解如何从 AWS 获取免费的 MFA 安全密钥

此时将打开设置设备页面。需要在此页面完成三个步骤。

9.在您的移动设备上设置身份验证器应用程序。Android 和 iOS 设备都支持几种不同的身份验证器应用程序。有关支持的应用程序列表及其下载位置的链接,请参阅 IAM 多重身份验证(MFA)页面上的虚拟身份验证器应用程序部分。

10.在您的移动设备上打开身份验证器应用程序。

11.选择显示二维码链接,显示您的账户的唯一二维码。如果您无法扫描二维码,请选择显示密钥链接以显示文本密钥,您可以将其输入到身份验证器应用程序中以识别您的账户。

12.使用身份验证器应用程序扫描二维码,或者在身份验证器应用程序中输入二维码,将身份验证器设备关联到您的账户。

13.您的身份验证器建立指向您的账户的链接后,将开始生成在有限秒数内有效的密码。在 MFA 代码 1 中,键入您在应用程序中看到的代码。等待该代码更改为下一个代码,然后在 MFA 代码 2 中键入该代码,然后在第二个代码过期之前选择添加 MFA

您将返回到我的安全凭证(根用户)页面。顶部会显示一条通知消息,说明已分配 MFA 设备。

现在,您的根用户凭证更加安全。 

14.从控制台注销。下次使用根用户凭证登录时,您需要提供来自您的 MFA 设备的凭证以及您的电子邮件地址和密码。

 

用于为根用户选择 MFA 设备的对话框。

在 IAM Identity Center 中设置用户

不使用根账户执行日常任务被认为是确保安全性的最佳做法,但现在您只有一个根用户。在本教程中,我们将使用 IAM Identity Center 创建管理用户。我们之所以使用 IAM Identity Center,是因为它会针对每个会话为用户提供唯一凭证,也称为临时凭证。向用户提供这些凭证可以增强您的 AWS 账户的安全性,因为它们是在用户每次登录时生成的。一旦获得管理用户,即可使用该用户登录以创建其他 Identity Center 用户,并将他们分配到有权执行特定工作职能的组。在 IAM Identity Center 中创建用户的另一个好处是,用户可以自动获得访问 AWS 账单与成本管理控制台的权限。

有关账单的更多信息,请参阅 AWS 账单用户指南。 

本教程的这一部分包含以下步骤: 

  • 启用 IAM Identity Center
    • 添加用户
    • 将用户添加到组
  • 配置您的身份来源
  • 创建管理权限集
  • 使用您的管理凭证登录 AWS 访问门户       
启用 IAM Identity Center

1.使用根用户凭证登录您的 AWS 账户

2.在 AWS 管理控制台搜索栏中,输入 IAM Identity Center,然后选择 IAM Identity Center

在 IAM 控制台中创建用户组页面。

3.此时将打开 IAM Identity Center 服务概述页面。查看信息以了解 IAM Identity Center 服务的功能,然后在启用 IAM Identity Center下选择启用

启用 IAM Identity Center 时,您还需要同时启用 AWS Organizations。AWS Organizations 使您可以组织多个 AWS 账户,这样就可以针对不同的用例拥有单独的 AWS 账户。AWS Organizations 是 AWS 账户提供的一项功能,因此您无需支付额外费用。
 
4.选择 创建 AWS 组织以继续。
 
根用户现在是 AWS 组织的管理账户。
 
此时,AWS Organizations 会向根用户发送一封验证电子邮件。该电子邮件会验证您的根用户账户允许您邀请其他账户成为您组织的成员账户,因此在继续学习本教程之前,您无需验证您的账户。有关账户管理的更多信息,请参阅 AWS Organizations 用户指南。 
 
注意:验证链接仅在 24 小时内有效,因此,如果您等待验证电子邮件地址的时间超过 24 小时,则需要重新发送验证电子邮件。有关如何执行此操作的更多信息,请参阅 电子邮件地址验证。 
在 IAM 控制台中添加用户页面。
配置您的身份来源

身份来源就是您管理用户和组的位置。配置身份源后,您可以查找用户或群组,向他们授予对 AWS 账户、云应用程序或两者的单点登录访问权限。

每个组织只能有一个身份来源。您可以使用以下任一方法:

  • Identity Center 目录:当您首次启用 IAM Identity Center 时,系统会自动使用 Identity Center 目录将其配置为您的默认身份来源,您将在其中管理用户和组。
  • Active Directory:使用 AWS Directory Service 在 AWS 托管的 Microsoft AD 目录中,或者在 Active Directory(AD)中的自管理目录中管理用户和组。
  • 外部身份提供者:用户和群组在 Okta 或 Azure Active Directory 等外部身份提供者(IdP)中进行管理。

在本教程中,我们将使用 Identity Center 目录。

1.导航到 IAM Identity Center 控制台并选择用户。然后选择添加用户

在 IAM 控制台中创建用户组页面。
2.在 指定用户详细信息页面上,填写以下信息:
  • 用户名:用户名用于登录 AWS 访问门户,以后无法更改。选择一个容易记住的名字。在本教程中,我们将添加用户 John
  • 密码:选择向该用户发送包含密码设置说明的电子邮件(推荐)。 此选项将向用户发送一封来自 Amazon Web Services 的电子邮件,主题为“邀请您加入 IAM Identity Center(AWS Single Sign-On 的后继者)”。这封电子邮件将来自 no-reply@signin.awsno-reply@login.awsapps.com。将这些电子邮件地址添加到您的批准发件人列表中,这样它们就不会被视为垃圾邮件。

3.在主要信息部分,填写所需的用户详细信息:  

  • 电子邮件地址:输入可以接收电子邮件的用户的电子邮件地址。然后,再次输入以确认。每个用户都必须有一个唯一的电子邮件地址。

提示:在测试期间,您可以使用电子邮件子寻址为多个虚构用户创建有效的电子邮件地址。如果您的电子邮件提供商支持,您可以通过在您当前的电子邮件地址上附加加号(+)和数字或字符来创建新的电子邮件地址,例如 someone@example.com、someone+1@example.com 和 someone+test@example.com。所有这些电子邮件地址都会导致在同一个电子邮件地址上收到电子邮件。 

  • 名字:输入用户的名字。
  • 姓氏:输入用户的姓氏。
  • 显示名称:自动填充用户的名字和姓氏。如果要更改显示名称,可以输入不同的名称。显示名称在登录门户和用户列表中可见。 
  • 如果需要,请填写可选信息。本教程中不使用它,可以稍后添加。

4.选择下一步

在 IAM 控制台中创建用户组页面。
将用户添加到组 — 可选

您可以通过用户组为多个用户指定权限,这会让这些用户的权限管理工作变得更加轻松。

1.选择创建组

在 IAM 控制台中创建用户组页面。

2.此时将打开一个新的浏览器选项卡,显示创建组页面。

3.在组详细信息下的组名称中,输入管理员

4.选择创建组

在 IAM 控制台中创建用户组页面。

此时将显示页面,其中会显示您的新管理员组。

5.退出或离开浏览器选项卡,然后返回到添加用户浏览器选项卡。

在 IAM 控制台中创建用户组页面。

6.在区域中,选择刷新按钮。 

此时,新的管理员组将出现在列表中。 

7.选中管理员组旁边的复选框,然后选择下一步

8.在查看并添加用户页面上,确认以下内容:

  • 主要信息按您的预期显示
  • 组显示已添加到所创建组中的用户

如果需要进行更改,请选择编辑进行更新。

9.更正所有信息后,选择添加用户

在 IAM 控制台中创建用户组页面。

您将返回到 IAM Identity Center > 用户主页面。 

系统将显示一条通知消息,通知您该用户已成功添加。

恭喜,您的 AWS 组织中现在有了一个用户。您可以重复以上步骤来添加其他用户和组。

管理对您的 AWS 账户的访问权限

您的新用户已存在,但无权访问任何资源、服务或应用程序,因此该用户还无法替代您的根用户来执行日常管理任务。现在,让我们向您的新用户授予访问您的 AWS 账户的权限。由于我们将用户置于一个组中,因此我们需要将该组分配给一个账户,然后添加一个权限集来定义组成员可以访问的内容。

在此过程中,我们仍将使用根用户凭证。

使用根用户凭证登录您的 AWS 账户。

在 IAM 控制台中创建用户组页面。

导航到 IAM Identity Center 控制台,在推荐的设置步骤下,选择管理对多个 AWS 账户的访问权限

组织结构下的 AWS 账户页面上,您的根账户显示在层次结构中,测试账户位于其下方。选中您的测试账户对应的复选框,然后选择分配用户或组

此时将显示“分配用户和组”工作流程。该工作流程包括以下步骤: 

步骤 1:选择用户和组中,选择您之前在本教程中创建的管理员组。然后,选择下一步

在 IAM 控制台中创建用户组页面。

对于步骤 2:选择权限集,选择创建权限集以打开一个新选项卡,引导您完成创建权限集所涉及的三个子步骤。

在 IAM 控制台中创建用户组页面。

此时将打开一个新的浏览器选项卡,其中显示步骤 1:选择权限集类型。做出以下选择:

  1. 对于权限集类型,选择预定义的权限集
  2. 预定义权限集的策略中,选择 AdministratorAccess
  3. 然后,选择下一步继续。

对于步骤 2:指定权限集详细信息,保留默认设置,然后选择下一步。 默认设置会创建一个名为 AdministratorAccess 的权限集,其会话持续时间设置为一小时。 

步骤 3:查看和创建中,验证权限集类型是否使用 AWS 托管式策略 AdministratorAccess。选择创建

您将返回到权限集页面。页面顶部会显示一条通知,通知您权限集已成功创建。选择 X 关闭选项卡。

分配用户和群组浏览器选项卡上,对于“步骤 2:选择权限集”,在权限集部分中,选择刷新。此时,您创建的 AdministratorAccess 权限集将出现在列表中。选中该权限集的复选框,然后选择下一步。 

对于步骤 3:查看并提交,查看选定的用户和组以及权限集,然后选择提交

页面将更新,并显示一条消息,提示您的 AWS 账户正在配置中。等待该过程完成。

您将返回到 IAM Identity Center 的 AWS 账户页面。系统将显示一条通知消息,通知您的 AWS 账户已重新配置且已应用更新的权限集。 

您可以在组织结构部分中看到,您的 AWS 账户现在是 AWS 组织根账户下的管理账户。在本教程中,我们使用的是占位符 AWS 账户名称 Test-acct。因此,您将看到您的 AWS 账户的名称。 

恭喜,您的用户现在可以登录您的 AWS 访问门户并访问您的 AWS 账户中的资源。 

使用您的管理凭证登录 AWS 访问门户

现在,您已准备好使用新的管理用户登录。如果您之前曾尝试登录,则当时只能为用户设置密码和启用多重身份验证(MFA),因为没有向该用户授予其他权限。现在,该用户将拥有对您的 AWS 资源的完全权限,但他们仍然需要配置密码和设置 MFA,因此,让我们来完成这些步骤。

系统向您在创建用户时指定的电子邮件地址发送了一封新的用户电子邮件。该电子邮件包含三项重要内容:

  1. 接受加入邀请的链接
  2. 您的 AWS 访问门户网站的 URL
  3. 您将用于登录的用户名

打开电子邮件并记录 AWS 访问门户的 URL 和用户名以备将来使用。然后选择接受邀请链接。 

提示:如果您在收件箱文件夹中没有看到加入 IAM Identity Center 的邀请电子邮件,请查看您的垃圾邮件和已删除邮件(或垃圾桶)文件夹。IAM Identity Center 服务发送的所有电子邮件都将来自地址 no-reply@signin.awsno-reply@login.awsapps.com。如果找不到该电子邮件,请以根用户身份登录重置 Identity Center 用户的密码。有关说明,请参阅重置 IAM Identity Center 用户密码。如果您仍未收到电子邮件,请再次重置密码,然后选择生成一次性密码选项,您可以改为与用户共享该密码。

在 IAM 控制台中创建用户组页面。

该链接将打开浏览器窗口并显示新用户注册页面。

新用户注册页面中,指定一个新密码。

密码必须:

  • 长度为 8 - 64 个字符
  • 由大写和小写字母、数字和非字母数字字符组成。

确认密码后,选择“设置新密码”。

预置用户时会出现短暂的延迟。 

    

在 IAM 控制台中创建用户组页面。

AWS 控制台将打开。

在顶部栏的用户名旁边,选择要设置 MFA 的 MFA 设备

在 IAM 控制台中创建用户组页面。

此时,多重身份验证(MFA)设备页面将打开。选择注册设备

在 IAM 控制台中创建用户组页面。

注册 MFA 设备页面上,选择要与账户一起使用的 MFA 设备。您的浏览器或平台不支持的选项将变暗且无法选择。

我们将浏览身份验证器应用程序选项的屏幕。这与您在教程第一部分中为根用户设置 MFA 设备时所遵循的过程类似。不同之处在于,这个 MFA 设备是在 IAM Identity Center,而不是 IAM 注册的。如果您选择了其他 MFA 设备,请按照所选设备的说明进行操作。 

在 IAM 控制台中创建用户组页面。

选择显示二维码链接以显示您的 AWS 组织的唯一二维码。如果您无法扫描二维码,请选择显示密钥链接以显示文本密钥,您可以将其输入到身份验证器应用程序中以识别您的组织。使用身份验证器应用程序扫描二维码,或者在身份验证器应用程序中输入二维码,将身份验证器设备关联到您的组织。 

您的身份验证器建立指向您的组织的链接后,将开始生成在有限秒数内有效的密码。在身份验证器代码中,键入您在应用程序中看到的代码,然后选择分配 MFA。 

注意:在 IAM Identity Center 中注册 MFA 设备时,只需要提供一个身份验证码即可。

您的设备已成功注册,请选择完成。 

在 IAM 控制台中创建用户组页面。

您可以注册另一台设备、重命名或删除现有的 MFA 设备,或者从 MFA 设备页面执行这些操作。 

在导航栏中选择 AWS 访问门户返回主门户并访问 AWS 账户。

从访问门户中选择要管理的 AWS 账户。系统会显示为您的账户配置的权限,其中包含两个连接选项。

  • 选择管理控制台打开 AWS 管理控制台并使用服务控制台控制面板管理您的 AWS 资源。
  • 选择命令行或编程访问,获取以编程方式或从 AWS CLI 访问 AWS 资源的凭证。要了解有关获取这些凭证的更多信息,请参阅获取 AWS CLI 或 AWS SDK 的 IAM Identity Center 用户凭证。 

对于本教程,选择管理控制台

AWS 管理控制台将打开。作为具有管理权限的用户,您可以添加服务、添加其他用户以及配置策略和权限。您不再需要使用根用户来完成这些任务。 

在 IAM 控制台中创建用户组页面。

结论

恭喜! 现在,您已经完成了登录流程,在 IAM Identity Center 中创建了管理用户,增强了对根用户和管理用户的安全保护,并准备开始使用 AWS 服务和应用程序。  请记住,当您使用 Identity Center 管理用户登录时,您将使用在邀请电子邮件中收到的访问门户 URL。

重要:每个 AWS 组织都有唯一的访问门户 URL。请务必将其与用户登录信息一起记录。 

此页内容对您是否有帮助?

设置 AWS CLI