设置 AWS 环境

入门指南

模块 2:保护 AWS 账户

在本模块中,您将学习保护 AWS 账户的最佳实践。

简介

设置新 AWS 账户时,您需要保护根用户并创建其他 AWS IAM 用户以登录该账户。根用户是一个特殊的账户,其拥有账户的完全访问权限,可以执行所有操作,包括更改支付方式或关闭账户。因此,建议使用双重身份验证来保护此用户,并设置额外的 IAM 用户来登录。本模块将涵盖保护根用户和设置 IAM 用户。

您将学到的内容

  • 如何保护根用户账户
  • 设置额外的 IAM 用户

 完成时间

5 分钟

 模块要求

  • 互联网浏览器

实施

保护根用户

登录新创建的 AWS 账户后,在页面顶部中心的搜索框中键入 IAM,然后单击 IAM。“安全警报”下会出现提示,表明要使用多重身份验证 (MFA) 保护根用户。单击启用 MFA,然后在下一个屏幕上单击激活 MFA

gsg_secure_step_1

您现在需要在可用的 MFA 选项之间进行选择。要查看各个选项的概览,请阅读“多重身份验证”指南。如果不确定选择哪个选项,请选择虚拟 MFA 设备并安装适用于您手机的应用程序之一。 请注意您选择的身份验证器应用程序如何处理备份和恢复,因为将来可能需要能够在其他手机上设置该应用程序。您的根用户登录现已得到保护。

gsg_secure_step_2

设置其他用户和角色

不将根账户用于日常使用,而是为特定角色和职能创建单独的用户,这被认为是一种安全最佳实践。要设置此用户,您将首先创建一个 IAM 用户组 - 其将具有一组适用于属于该组中任何用户的权限。单击左侧导航栏中的用户组,然后单击创建组。输入组名,例如 “管理员”,然后向下滚动到附上权限策略。搜索“AdministratorAccess”,然后选中名为“AdministratorAccess”的策略旁边的复选框,向下滚动并单击创建组

gsg_secure_step_3

接下来,我们将单击左侧导航栏中的用户,然后单击添加用户,以此创建一个 IAM 用户。输入用户名后,您需要选择 AWS 访问类型。编程访问方式将创建用于 AWS CLI、CDK 和其他应用程序的访问密钥 ID 和密钥对,而 AWS 管理控制台访问可让用户登录此账户的 AWS 控制台。对于本指南,请同时选择这两个选项。

gsg_secure_step_4

单击下一步t将用户添加到我们创建的组中,从列表中选择该用户,然后单击下一步:标签

gsg_secure_step_4-1

标签可用于跨服务搜索资源,或用于添加部门等元数据。对于我们的使用案例,请单击下一步:审查而不添加标签。您现在可以在实际创建之前查看为所创建用户设置的值。您会注意到在我们创建的“管理员”下方添加了一个名为“IAMUserChangePassword”的附加托管策略 - 此策略将添加到任何选择强制其更改密码选项的用户,因为并非所有 IAM 策略都可能具有其中所需的权限。

gsg_secure_step_5

单击创建用户以创建用户。您现在将看到用户的确认屏幕,但请勿单击关闭按钮。自动生成的密码和用于 API 访问的秘密访问密钥只能从此屏幕访问一次。记下访问密钥 ID、秘密访问密钥和密码 - 我们将在本指南的下一个模块中使用它们。然后,单击关闭

gsg_secure_step_6

最后的步骤

在注销并开始使用新的 IAM 用户之前,我们还有两个步骤需要完成。首先是为我们的账户设置一个别名,此别名应比 12 位的账户 ID 更容易记住。要设置别名,请单击左侧导航栏中的控制面板,然后单击右侧面板中“AWS 账户”部分下的创建。您现在可以为账户设置别名 - 此别名需要在所有 AWS 账户中全局唯一,因此您的第一选择可能不可用。

gsg_secure_step_8

单击保存设置值,然后复制生成的 URL 以供以后在本指南中使用。它的格式为 https://<your-text>.signin.aws.amazon.com/console。

gsg_secure_step_7

需要完成的最后一步是启用您可能需要使用的任何区域。这仅适用于 2019 年 3 月 20 日之后推出的区域。目前包括如下区域:

  • 非洲(开普敦)
  • 亚太地区(香港)
  • 欧洲(米兰)
  • 中东(巴林)
 
如果您需要启用这些区域中的任何一个,请按照 此处的说明进行操作。

结论

恭喜,您已经了解如何保护账户。请记住注销并使用在上面创建的新用户账户重新登录。

下一步:设置 AWS CLI

请就我们的表现提供反馈。

感谢您的反馈
很高兴此页面对您有所帮助。您是否乐意分享更多详细信息,以帮助我们继续改进?
关闭
感谢您的反馈
很抱歉,此页面未能帮到您。您是否乐意分享更多详细信息,以帮助我们继续改进?
关闭