保護 AWS 帳戶及其資源的最佳實務有哪些?

2 分的閱讀內容
0

我想保護 AWS 資源或帳戶免受未經授權的活動。我想要一些保護 AWS 帳戶及其資源的最佳實務。

簡短描述

AWS 提供許多工具來協助保護您的帳戶安全。但是,由於許多措施在預設情況未處於作用中狀態,因此必須採取直接動作來執行。以下是保護帳戶及其資源安全時應考慮的一些最佳實務:

  • 保護您的密碼和存取金鑰
  • 為 AWS 帳戶根使用者和任何具有 AWS Identity and Access Management (IAM) 互動式存取權的使用者啟用多重要素驗證 (MFA)
  • 限制 AWS 帳戶根使用者對您資源的存取權
  • 經常稽核 IAM 使用者及其政策
  • 建立 Amazon Elastic Block Store (Amazon EBS) 快照、Amazon Relational Database Service (Amazon RDS) 快照,以及 Amazon Simple Storage Service (Amazon S3) 物件版本
  • 使用 AWS Git 專案審視未經授權使用的證據
  • 監控您的帳戶及其資源

**注意:**如果您使用 AWS Identity Center 或 IAM 聯合身分使用者,IAM 使用者的最佳實務也適用於聯合身分使用者。

解決方法

保護您的密碼和存取金鑰

用於存取帳戶的兩種主要憑證類型是密碼和存取金鑰。密碼和存取金鑰可套用至 AWS 根使用者帳戶與個別 IAM 使用者。最佳實務是如同保護任何其他機密個人資料一樣妥善地保護密碼和存取金鑰的安全。切勿將其嵌入於可公開存取的程式碼 (例如,公有 Git 儲存庫)。為了增加安全性,請經常輪換並更新所有安全憑證。

如果您懷疑密碼或存取金鑰對遭洩露,請執行下列步驟:

  1. 輪換所有存取金鑰對
  2. 變更 AWS 帳戶根使用者密碼
  3. 遵循如果 AWS 帳戶中有未經授權的活動該怎麼辦?中的指示進行操作

啟用 MFA

啟用 MFA 有助於保護帳戶,並防止未經授權的使用者在無安全字符的情況登入帳戶。

為了提高安全性,最佳實務是設定 MFA 以協助保護 AWS 資源。您可以為 IAM 使用者啟用虛擬 MFA為 AWS 帳戶根使用者啟用虛擬 MFA。為根使用者啟用 MFA 只會影響根使用者憑證。帳戶中的 IAM 使用者各自具有識別其身分的憑證,且每個身分都有獨自的 MFA 設定。

如需詳細資訊,請參閱在 AWS 中為使用者啟用 MFA 裝置

限制根使用者存取您的資源

根使用者帳戶憑證 (根密碼或根存取金鑰) 可授與您帳戶及其資源的無限制存取權。最佳實務是保護並減少根使用者對您帳戶的存取權。

請考慮下列策略來限制根使用者存取您帳戶的權限:

如需詳細資訊,請參閱保護您的根使用者憑證,不要將其用於日常任務

經常稽核 IAM 使用者及其政策

與 IAM 使用者共同使用時,請考慮下列最佳實務:

您可以使用 IAM 主控台中的視覺化編輯器來協助定義安全政策。如需常見商業使用案例的範例,以及可能用來處理這些案例的政策,請參閱適用於 IAM 的商業使用案例

建立 Amazon EBS 快照、Amazon RDS 快照及 Amazon S3 物件版本

若要建立 EBS 磁碟區的時間點快照,請參閱建立 Amazon EBS 快照

若要啟用 Amazon RDS 自動快照並設定備份保留期,請參閱啟用自動備份

若要建立用於備份和存檔的標準 S3 儲存貯體,請參閱建立用於備份和存檔的標準 S3 儲存貯體。若要建立 S3 儲存貯體版本控制,請參閱在 S3 儲存貯體中使用版本控制

若要使用主控台建立 AWS Backup 計畫,請參閱建立備份計畫。若要使用 AWS Command Line Interface (AWS CLI) 建立 AWS Backup 計畫,請參閱如何使用 AWS CLI 建立 AWS Backup 計畫或執行隨需任務?

使用 AWS Git 專案防止未經授權的使用

AWS 提供您可以安裝的 Git 專案,協助保護您的帳戶:

  • Git Secrets 可掃描合併內容、提交內容及提交訊息以審視密碼資訊 (存取金鑰)。如果 Git Secrets 偵測到禁止的規則運算式,可以拒絕將這些提交內容發佈至公有儲存庫。
  • 使用 AWS Step Functions 和 AWS Lambda 從 AWS HealthAWS Trusted Advisor 產生 Amazon CloudWatch Events。如果有證據顯示您的存取金鑰遭洩露,專案則可協助自動偵測、記錄及減緩事件。

監控您的帳戶及其資源

最佳實務是主動監控您的帳戶及其資源,以偵測任何不尋常的活動或對您帳戶的存取。請考慮下列一或多個解決方案:

**注意:**最佳實務是為所有區域 (而不只是經常使用的區域) 開啟記錄。

相關資訊

AWS 雲端安全

管理 AWS 帳戶的最佳實務

安全、身分和合規的最佳實務

如何保護 Amazon S3 儲存貯體中的檔案?

Amazon S3 監控和稽核最佳實務