IAM 最佳实践

隐藏您的AWS账户根用户访问密钥

使用访问密钥直接命令行控制AWS资源虽然很方便,但是根账户权限太高,所以必须禁止给根账户创建访问秘钥,通过使用根用户电子邮件地址和密码登录AWS管理控制台。

创建单独的IAM用户

根用户凭证很难撤销,又无法降权。所以应该给不同的用户创建专有安全证书,进而向每个IAM用户授予不同的权限。

使用组向 IAM 用户分配权限

不同组对应不同部门从而对应不同权限,方便人员调整和批量处理。

授予最低权限

最开始只授予最低权限,然后根据需要添加其他权限

利用 AWS 托管策略开始使用权限
使用客户托管策略而不是内联策略
使用访问权限级别查看 IAM 权限
为您的用户配置强密码策略
为特权用户启用 MFA
针对在 Amazon EC2 实例上运行的应用程序使用角色
使用角色委托权限
不共享访问密钥
定期轮换凭证
删除不需要的凭证
使用策略条件来增强安全性
监控 AWS 账户中的活动
关于 IAM 最佳实践的视频演示