Centralize Root Access In AWS(AssumeRoot)

根用户权限存在的问题

每个账户都有自己的根用户，根用户拥有特权可以访问账户的任何东西，做任何事情。一旦根用户权限丢失，会造成非常严重的安全损失。管理这些特权用户的安全凭据是一件非常头疼的事情，通常是要定期轮换密码，绑定MFA设备最好是硬件MFA，以及通过 Service Control Policies (SCPs)限制根用户的权限。

实际很多人的成员账户并没有定期轮换密钥，也没有绑定任何的MFA。甚至还用根用户天天登录完成日常工作（推荐的安全做法是将根用户束之高阁，创建IAM Role进行授权）。

集中根访问权限改变了这一切。你现在可以集中管理每个账户的根用户凭证，而不是逐个处理。你甚至可以选择从成员账户中完全删除根用户凭据，确保它们无法恢复，除非你明确允许从管理账户或授权管理员那里恢复。

减少维护工作，更高的安全性

如何集中管理root权限可以参考官方文档：https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-enable-root-access.html

参考资料：

1- https://medium.com/@oraspir/hands-on-security-tips-for-centralize-root-access-in-aws-assumeroot-5d315de423cd

2- https://docs.aws.amazon.com/IAM/latest/UserGuide/root-user-best-practices.html

3- https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-enable-root-access.html

上一页使用SCP限制根用户的行为下一页用SCP限制创建IAM User结合安全规范要求指定人员才能创建

最后更新于1个月前