設定您的 AWS 環境

入門指南

第 2 單元:保護您的 AWS 帳戶

在本單元中,您將學習保護 AWS 帳戶的最佳實務。

簡介

設定新 AWS 帳戶時,您需要保護根使用者並建立其他 AWS IAM 使用者以登入該帳戶。根使用者是一個特殊的帳戶,擁有帳戶的完全存取權,可執行所有操作,包括變更付款方式或關閉帳戶。因此,建議使用雙重要素驗證來進行保護,並設定額外的 IAM 使用者進行登入。本單元將介紹如何保護根使用者,以及設定 IAM 使用者。

您將學到的內容

  • 如何保護根使用者帳戶
  • 設定其他 IAM 使用者

 完成時間

5 分鐘

 單元要求

  • 網際網路瀏覽器

實作

保護根使用者

登入新建立的 AWS 帳戶後,在頁面頂部中央的搜尋方塊中輸入 IAM,然後按一下 IAM。「安全警示」下會出現提示,以使用多重要素驗證 (MFA) 來保護根使用者。按一下 Enable MFA (啟用 MFA),然後在下一個螢幕上按一下 Activate MFA (啟動 MFA)。

gsg_secure_step_1

您現在需要在可用的 MFA 選項之間進行選擇。若要查看選項概觀,請閱讀多重要素驗證指南。如果不確定選擇哪個選項,請選擇 Virtual MFA device (虛擬 MFA 裝置),然後安裝其中一個適用於您手機的應用程式。 請注意,您選擇的驗證器應用程式如何處理備份和還原,因為將來您可能需要能夠在其他手機上設定該應用程式。您的根使用者登入現已得到保護。

gsg_secure_step_2

設定其他使用者和角色

不將您的根帳戶用於日常使用,而是針對特定角色和功能建立單獨的使用者,這被認為是一種安全最佳實務。若要進行設定,您將首先建立一個 IAM 使用者群組,這將具有一組適用於屬於該群組的任何使用者的許可。按一下左側導覽中的 User groups (使用者群組),然後按一下 Create group (建立群組)。輸入群組名稱,例如 "administrators" (管理員),然後向下捲動至 Attach permissions policies (連接許可政策)。搜尋 "AdministratorAccess",然後選中名稱為 "AdministratorAccess" 的政策旁邊的方塊,向下滾動並按一下 Create Group (建立群組)。

gsg_secure_step_3

接下來,我們將按一下左側導覽中的 Users (使用者),然後按一下 Add user (新增使用者),建立一個 IAM 使用者。輸入使用者名稱後,您需要選擇 AWS 存取類型。以程式設計方式存取將會建立用於 AWS CLI、CDK 和其他應用程式的存取金鑰 ID 和機密對,而 AWS 管理主控台存取將允許使用者登入此帳戶的 AWS 主控台。在本指南中,請選擇這兩個選項。

gsg_secure_step_4

按一下 Next (下一步),將使用者新增至我們建立的群組,從清單中選擇,然後按一下 Next:Tags (下一步︰標籤)。

gsg_secure_step_4-1

標籤可用於跨服務搜尋資源,或新增部門等中繼資料。針對我們的使用案例,按一下 Next: Review (下一步︰檢閱) 而不新增標籤。您現在可以在實際建立之前,檢閱針對您建立的使用者而設定的值。您會注意到,在我們建立的 "administrators" (管理員) 下方新增了一個名稱為 "IAMUserChangePassword" 的附加受管政策,這會新增至任何選擇強制其變更密碼選項的使用者,因為並非所有 IAM 政策都可能具有其中所需的許可。

gsg_secure_step_5

按一下 Create user (建立使用者) 以建立使用者。您現在將會看到使用者的確認螢幕,但不要按一下 Close (關閉) 按鈕。自動產生的密碼和 API 存取的私密存取金鑰只能從此螢幕存取一次。記下存取金鑰 ID、私密存取金鑰和密碼,我們將在本指南的下一個單元中使用它們。然後,按一下 Close (關閉)。

gsg_secure_step_6

後續步驟

在我們登出並開始使用我們的新 IAM 使用者之前,我們還需要完成兩個步驟。首先是為我們的帳戶設定一個別名,使其比 12 位帳戶 ID 更容易記住。若要設定,請按一下左側導覽中的 Dashboard (儀表板),然後按一下右側面板中 "AWS Account" (AWS 帳戶) 區段下的 Create (建立)。您現在可以為您的帳戶設定別名,這需要在所有 AWS 帳戶中全域唯一,因此您的第一選項可能不可用。

gsg_secure_step_8

按一下 Save (儲存) 以設定值,然後複製產生的 URL 以供今後在本指南中使用。它的格式為 https://<your-text>.signin.aws.amazon.com/console。

gsg_secure_step_7

需要完成的最後一步是,啟用您可能需要使用的任何區域。這僅適用於 2019 年 3 月 20 日之後推出的區域。目前包括:

  • 非洲 (開普敦)
  • 亞太區域 (香港)
  • 歐洲 (米蘭)
  • 中東 (巴林)
 
如果您需要啟用這些區域中的任何一個,請按照 此處的說明進行操作。

結論

祝賀您,您已學會如何保護您的帳戶。請記得登出,然後使用您在上面建立的新使用者帳戶重新登入。

下一步:設定 AWS CLI

讓我們知道我們做的如何。

感謝您的意見回饋
我們很高興此頁面對您有所幫助。您願意分享更多詳細資訊以協助我們繼續改進嗎?
關閉
感謝您的意見回饋
很抱歉此頁面沒有幫助到您。您願意分享更多詳細資訊以協助我們繼續改進嗎?
關閉