保护我的 AWS 账户及其资源的最佳实践有哪些？

简短描述

AWS 提供了许多工具来帮助保护您的账户。但是，由于在默认情况下，其中许多措施处于未激活状态，因此您必须采取直接行动来实施它们。以下是保护您的账户及其资源时要考虑的一些最佳实践：

• 保护您的密码和访问密钥
• 在 AWS 账户根用户和具有 AWS Identity and Access Management（IAM）交互访问权限的任何用户上激活多重身份验证（MFA）
• 限制 AWS 账户根用户对您的资源的访问
• 经常审查 IAM 用户及其策略
• 创建 Amazon Elastic Block Store（Amazon EBS）快照、Amazon Relational Database Service（Amazon RDS）快照以及 Amazon Simple Storage Service（Amazon S3）对象版本
• 使用 AWS Git 项目扫描未经授权使用的证据
• 监控您的账户及其资源

**注意：**如果您使用的是 AWS Identity Center 或 IAM 联合用户，则 IAM 用户的最佳实践也适用于联合用户。

解决方法

保护您的密码和访问密钥

用于访问账户的两个主要类型的凭证是密码和访问密钥。密码和访问密钥可以应用于 AWS 根用户账户以及个人 IAM 用户。最佳实践是像保护任何其他机密个人数据一样妥善地保护密码和访问密钥。切勿将它们嵌入到可公开访问的代码中（例如，公共 Git 存储库）。为增加安全性，请经常轮换和更新所有安全凭证。

如果您怀疑密码或访问密钥对已被泄露，请按照以下步骤进行操作：

1. 轮换所有访问密钥对。
2. 更改 AWS 账户根用户密码。
3. 按照如果发现我的 AWS 账户中存在未经授权的活动该怎么办？中的说明进行操作

激活 MFA

激活 MFA 可以帮助保护账户安全，防止未经授权的用户在没有安全令牌的情况下登录账户。

为了提高安全性，最佳实践是配置 MFA 以帮助保护您的AWS 资源。您可以为 IAM 用户以及AWS 账户根用户激活虚拟 MFA。为根用户激活 MFA 只会影响根用户凭证。账户中的 IAM 用户具有不同的身份并拥有自己的凭证，而每个身份又都有自己的 MFA 配置。

有关详细信息，请参阅为 AWS 中的用户激活 MFA 设备。

限制根用户对您的资源的访问

根用户账户凭证（根密码或根访问密钥）会授予对您的账户及其资源的无限制访问权限。最佳实践是保护和尽可能减少根用户对您账户的访问权限。

考虑以下策略来限制根用户对您的账户的访问：

• 使用 IAM 用户对您的账户进行日常访问。如果您是唯一访问该帐户的用户，请参阅创建管理用户。
• 不再使用根访问密钥。有关详细信息，请参阅管理AWS 访问密钥的最佳实践。
• 对账户的根用户使用 MFA 设备。

有关详细信息，请参阅保护您的根用户凭证，不要将其用于日常任务。

经常审查 IAM 用户及其策略

在与 IAM 用户共同使用时，请考虑以下最佳实践：

• 确保 IAM 用户拥有尽可能严格的策略，仅授予他们完成预期任务所需的权限（最低权限）。
• 使用 AWS IAM Access Analyzer 来分析您的现有权限。有关详细信息，请参阅 IAM Access Analyzer 通过基于访问活动生成 IAM 策略来更轻松地实施最低权限。
• 为每组任务创建不同的 IAM 用户。
• 将多个策略与同一 IAM 用户关联时，请记得优先考虑使用最低限制性策略。
• 经常审查您的 IAM 用户及其权限，并查找未使用的凭证。
• 如果您的 IAM 用户需要访问控制台，则可以设置密码以允许访问控制台，同时限制用户的权限。
• 为每个有权访问控制台的 IAM 用户设置单独的 MFA 设备。

您可以在 IAM 控制台中使用可视化编辑器来帮助您定义安全策略。有关常见业务用例以及可用于解决这些用例的策略的示例，请参阅 IAM 的业务用例。

创建 Amazon EBS 快照、Amazon RDS 快照和 Amazon S3 对象版本

要创建 EBS 卷的时间点快照，请参阅创建 Amazon EBS 快照。

要激活 Amazon RDS 自动快照并设置备份保留期，请参阅激活自动备份。

要创建用于备份和存档的标准 S3 桶，请参阅创建用于备份和存档的标准 S3 桶。要创建 S3 桶版本控制，请参阅在 S3 桶中使用版本控制。

要使用控制台创建 AWS Backup 计划，请参阅创建计划备份。要使用 AWS 命令行界面（AWS CLI）来创建 AWS Backup 计划，请参阅如何使用 AWS CLI 来创建 AWS Backup 计划或运行按需型任务？

使用 AWS Git 项目防止未经授权的使用

AWS 提供了可供您安装的 Git 项目，以帮助保护账户：

• Git Secrets 可以扫描合并项、提交项和提交消息以获取机密信息（访问密钥）。如果 Git Secrets 检测到禁止的正则表达式，它可能会拒绝将这些提交发布到公共存储库。
• 使用 AWS Step Functions 和 AWS Lambda 从 AWS Health 或 AWS Trusted Advisor 生成 Amazon CloudWatch Events。如果有证据表明您的访问密钥已泄露，则这些项目可以帮助您自动检测、记录和缓解事件。

监控您的账户及其资源

最佳实践是主动监控您的账户及其资源，以便检测您账户的任何异常活动或访问。考虑以下一个或多个解决方案：

• 创建账单警报以监控您的 AWS 预估费用，以便在账单超过您定义的阈值时自动接收通知。有关详细信息，请参阅 Amazon CloudWatch 常见问题解答。
• 为您的 AWS 账户创建跟踪，以便跟踪哪些凭证被用于启动特定 API 调用，以及何时使用这些凭证。这样做可帮助您确定该使用是意外还是未授权。然后，您可以采取适当的措施来缓解这种情况。有关详细信息，请参阅 AWS CloudTrail 中的安全最佳实践。
• 将 CloudTrail 和 CloudWatch 配合使用，以便监控访问密钥的使用情况并接收异常 API 调用的提醒。
• 激活资源级日志记录（例如，在实例或操作系统级别）和 Amazon S3 默认桶加密。
• 在所有支持的区域为您的 AWS 账户激活 Amazon GuardDuty。在启用后，GuardDuty 会开始分析来自 AWS CloudTrail 管理和 Amazon S3 数据事件、Amazon VPC 流日志和 DNS 日志的独立数据流，以便生成安全调查发现。主要的检测类别包括账户泄露、实例泄露和恶意入侵。有关详细信息，请参阅 Amazon GuardDuty 常见问题解答。

**注意：**最佳实践是为所有区域启用日志记录，而不仅仅是为经常使用的区域。

相关信息

AWS 云安全

管理 AWS 账户的最佳实践

安全、身份和合规性的最佳实践

如何保护我的 Amazon S3 桶中的文件？

Amazon S3 监控和审计最佳实践