特权账号管理实践

AWS特权账号管理实践

特权管理员建议屏蔽掉的权限

• 拒绝KMS管理权限，避免特权账号泄漏后获取敏感数据；(可以利用权限边界 Permission Boundary进行限制)

• 拒绝创建用户和角色权限，避免特权账号泄漏后创建新的没有权限限制的账号绕过SCP安全控制；(可以利用权限边界 Permission Boundary进行限制)

• 拆分出单独的KMS管理员，和IAM账号管理员；

使用AWS Organization管理账号

如果您想使用简单的用户界面和内置的最佳实践来开始使用您的 AWS 环境，我们向您推荐 AWS Control Tower。AWS Control Tower可以帮助您轻松建立和管理安全的多账户环境 。并且是基于AWS成千上万客户的最佳实践。

Management Account的最佳实践

• 只在需要管理账户的任务中使用管理账户；

• 为管理账户的根用户配置一个组的电子邮件地址；

• 为管理账户的根用户使用一个复杂的密码

• 为你的根用户凭证启用MFA

• 在账户联系信息中添加一个电话号码

• 审查并跟踪谁有访问权

• 记录使用根用户凭证的过程

• 应用控制措施来监控对根用户凭证的访问

• 妥善保存根用户，平时不要使用，另外创建一个管理员账号

Member Account的最佳实践

• 为所有会员账户根用户使用一个团体电子邮件地址

• 为会员账户根用户使用一个复杂的密码

• 为根用户的凭证启用MFA

• 将管理账户的电话号码添加到会员账户的联系信息中

• 审查并跟踪谁有访问权

• 记录使用根用户凭证的过程

• 使用SCP来限制你的会员账户中的根用户可以做什么

• 应用控制措施来监控对根用户凭证的访问

开启MFA

对于特权账号，建议开启硬件MFA，至少开启虚拟MFA。更多如何避免AWS Root账号被盗可以参考这个清单，挨个确认是否完成。有的企业一个人知道root账号的用户名和密码，另外一个持有MFA，当需要root账号才能解决的事情时，必须两个人才能执行。避免一个人的恶意行为或者AKSK丢失导致严重的安全事故。