設定您的 AWS 環境

入門指南

第 2 單元:保護您的 AWS 帳戶

在本單元中,您將學習保護 AWS 帳戶的最佳實務。

簡介

設定新 AWS 帳戶時,您需要保護根使用者並建立其他 AWS IAM 使用者以登入該帳戶。根使用者是一個特殊的帳戶,擁有帳戶的完全存取權,可執行所有操作,包括變更付款方式或關閉帳戶。因此,建議使用雙重要素驗證來進行保護,並設定額外的 IAM 使用者進行登入。本單元將介紹如何保護根使用者,以及設定 IAM 使用者。

您將學到的內容

  • 如何保護根使用者帳戶
  • 設定其他 IAM 使用者

 完成時間

5 分鐘

 單元要求

  • 網際網路瀏覽器

實作

保護根使用者

登入新建立的 AWS 帳戶後,在頁面頂部中央的搜尋方塊中輸入 IAM,然後按一下 IAM。「安全警示」下會出現提示,以使用多重要素驗證 (MFA) 來保護根使用者。按一下 Enable MFA (啟用 MFA),然後在下一個螢幕上按一下 Activate MFA (啟動 MFA)。

您現在需要在可用的 MFA 選項之間進行選擇。若要查看選項概觀,請閱讀多重要素驗證指南。如果不確定選擇哪個選項,請選擇 Virtual MFA device (虛擬 MFA 裝置),然後安裝其中一個適用於您手機的應用程式。 請注意,您選擇的驗證器應用程式如何處理備份和還原,因為將來您可能需要能夠在其他手機上設定該應用程式。您的根使用者登入現已得到保護。

設定其他使用者和角色

不將您的根帳戶用於日常使用,而是針對特定角色和功能建立單獨的使用者,這被認為是一種安全最佳實務。若要進行設定,您將首先建立一個 IAM 使用者群組,這將具有一組適用於屬於該群組的任何使用者的許可。按一下左側導覽中的 User groups (使用者群組),然後按一下 Create group (建立群組)。輸入群組名稱,例如 "administrators" (管理員),然後向下捲動至 Attach permissions policies (連接許可政策)。搜尋 "AdministratorAccess",然後選中名稱為 "AdministratorAccess" 的政策旁邊的方塊,向下滾動並按一下 Create Group (建立群組)。

接下來,我們將按一下左側導覽中的 Users (使用者),然後按一下 Add user (新增使用者),建立一個 IAM 使用者。輸入使用者名稱後,您需要選擇 AWS 存取類型。以程式設計方式存取將會建立用於 AWS CLI、CDK 和其他應用程式的存取金鑰 ID 和機密對,而 AWS 管理主控台存取將允許使用者登入此帳戶的 AWS 主控台。在本指南中,請選擇這兩個選項。

按一下 Next (下一步),將使用者新增至我們建立的群組,從清單中選擇,然後按一下 Next:Tags (下一步︰標籤)。

標籤可用於跨服務搜尋資源,或新增部門等中繼資料。針對我們的使用案例,按一下 Next: Review (下一步︰檢閱) 而不新增標籤。您現在可以在實際建立之前,檢閱針對您建立的使用者而設定的值。您會注意到,在我們建立的 "administrators" (管理員) 下方新增了一個名稱為 "IAMUserChangePassword" 的附加受管政策,這會新增至任何選擇強制其變更密碼選項的使用者,因為並非所有 IAM 政策都可能具有其中所需的許可。

按一下 Create user (建立使用者) 以建立使用者。您現在將會看到使用者的確認螢幕,但不要按一下 Close (關閉) 按鈕。自動產生的密碼和 API 存取的私密存取金鑰只能從此螢幕存取一次。記下存取金鑰 ID、私密存取金鑰和密碼,我們將在本指南的下一個單元中使用它們。然後,按一下 Close (關閉)。

後續步驟

在我們登出並開始使用我們的新 IAM 使用者之前,我們還需要完成兩個步驟。首先是為我們的帳戶設定一個別名,使其比 12 位帳戶 ID 更容易記住。若要設定,請按一下左側導覽中的 Dashboard (儀表板),然後按一下右側面板中 "AWS Account" (AWS 帳戶) 區段下的 Create (建立)。您現在可以為您的帳戶設定別名,這需要在所有 AWS 帳戶中全域唯一,因此您的第一選項可能不可用。

按一下 Save (儲存) 以設定值,然後複製產生的 URL 以供今後在本指南中使用。它的格式為 https://<your-text>.signin.aws.amazon.com/console。

需要完成的最後一步是,啟用您可能需要使用的任何區域。這僅適用於 2019 年 3 月 20 日之後推出的區域。目前包括:

  • 非洲 (開普敦)
  • 亞太區域 (香港)
  • 歐洲 (米蘭)
  • 中東 (巴林)
 
如果您需要啟用這些區域中的任何一個,請按照 此處的說明進行操作。

結論

祝賀您,您已學會如何保護您的帳戶。請記得登出,然後使用您在上面建立的新使用者帳戶重新登入。

下一步:設定 AWS CLI

讓我們知道我們做的如何。