Complete a 3 Question Survey and Earn a re:Post Badge

Help improve AWS Support Official channel in re:Post and share your experience - complete a quick three-question survey to earn a re:Post badge!

保護 AWS 帳戶及其資源的最佳實務有哪些？

2 分的閱讀內容

我想保護 AWS 資源或帳戶免受未經授權的活動。我想要一些保護 AWS 帳戶及其資源的最佳實務。

簡短描述

AWS 提供許多工具來協助保護您的帳戶安全。但是，由於許多措施在預設情況未處於作用中狀態，因此必須採取直接動作來執行。以下是保護帳戶及其資源安全時應考慮的一些最佳實務：

保護您的密碼和存取金鑰
為 AWS 帳戶根使用者和任何具有 AWS Identity and Access Management (IAM) 互動式存取權的使用者啟用多重要素驗證 (MFA)
限制 AWS 帳戶根使用者對您資源的存取權
經常稽核 IAM 使用者及其政策
建立 Amazon Elastic Block Store (Amazon EBS) 快照、Amazon Relational Database Service (Amazon RDS) 快照，以及 Amazon Simple Storage Service (Amazon S3) 物件版本
使用 AWS Git 專案審視未經授權使用的證據
監控您的帳戶及其資源

**注意：**如果您使用 AWS Identity Center 或 IAM 聯合身分使用者，IAM 使用者的最佳實務也適用於聯合身分使用者。

解決方法

保護您的密碼和存取金鑰

用於存取帳戶的兩種主要憑證類型是密碼和存取金鑰。密碼和存取金鑰可套用至 AWS 根使用者帳戶與個別 IAM 使用者。最佳實務是如同保護任何其他機密個人資料一樣妥善地保護密碼和存取金鑰的安全。切勿將其嵌入於可公開存取的程式碼 (例如，公有 Git 儲存庫)。為了增加安全性，請經常輪換並更新所有安全憑證。

如果您懷疑密碼或存取金鑰對遭洩露，請執行下列步驟：

啟用 MFA

啟用 MFA 有助於保護帳戶，並防止未經授權的使用者在無安全字符的情況登入帳戶。

為了提高安全性，最佳實務是設定 MFA 以協助保護 AWS 資源。您可以為 IAM 使用者啟用虛擬 MFA 和為 AWS 帳戶根使用者啟用虛擬 MFA。為根使用者啟用 MFA 只會影響根使用者憑證。帳戶中的 IAM 使用者各自具有識別其身分的憑證，且每個身分都有獨自的 MFA 設定。

如需詳細資訊，請參閱在 AWS 中為使用者啟用 MFA 裝置。

限制根使用者存取您的資源

根使用者帳戶憑證 (根密碼或根存取金鑰) 可授與您帳戶及其資源的無限制存取權。最佳實務是保護並減少根使用者對您帳戶的存取權。

請考慮下列策略來限制根使用者存取您帳戶的權限：

使用 IAM 使用者來對您的帳戶進行日常存取。如果您是唯一使用帳戶的人，請參閱建立管理使用者。
消除使用根存取金鑰。如需詳細資訊，請參閱管理 AWS 存取金鑰的最佳實務。
對帳戶的根使用者使用 MFA 裝置。

如需詳細資訊，請參閱保護您的根使用者憑證，不要將其用於日常任務。

經常稽核 IAM 使用者及其政策

與 IAM 使用者共同使用時，請考慮下列最佳實務：

請確保 IAM 使用者擁有最嚴格的政策，只允許他們足夠的權限以完成所需的任務 (最低權限)。
使用 AWS IAM Access Analyze 分析您現有的權限許可。如需詳細資訊，請參閱 IAM Access Analyzer 可根據存取活動產生 IAM 政策，讓執行最低權限許可更輕鬆。
為每組任務建立不同的 IAM 使用者。
當將多個政策與同一個 IAM 使用者連結時，請記住，限制性最低的政策優先。
經常稽核 IAM 使用者及其權限，並尋找未使用的憑證。
如果 IAM 使用者需要存取主控台，您可以設定密碼以授與主控台存取權，同時限制使用者的權限。
為每個可存取主控台的 IAM 使用者設定個別 MFA 裝置。

您可以使用 IAM 主控台中的視覺化編輯器來協助定義安全政策。如需常見商業使用案例的範例，以及可能用來處理這些案例的政策，請參閱適用於 IAM 的商業使用案例。

建立 Amazon EBS 快照、Amazon RDS 快照及 Amazon S3 物件版本

若要建立 EBS 磁碟區的時間點快照，請參閱建立 Amazon EBS 快照。

若要啟用 Amazon RDS 自動快照並設定備份保留期，請參閱啟用自動備份。

若要建立用於備份和存檔的標準 S3 儲存貯體，請參閱建立用於備份和存檔的標準 S3 儲存貯體。若要建立 S3 儲存貯體版本控制，請參閱在 S3 儲存貯體中使用版本控制。

若要使用主控台建立 AWS Backup 計畫，請參閱建立備份計畫。若要使用 AWS Command Line Interface (AWS CLI) 建立 AWS Backup 計畫，請參閱如何使用 AWS CLI 建立 AWS Backup 計畫或執行隨需任務？

使用 AWS Git 專案防止未經授權的使用

AWS 提供您可以安裝的 Git 專案，協助保護您的帳戶：

Git Secrets 可掃描合併內容、提交內容及提交訊息以審視密碼資訊 (存取金鑰)。如果 Git Secrets 偵測到禁止的規則運算式，可以拒絕將這些提交內容發佈至公有儲存庫。
使用 AWS Step Functions 和 AWS Lambda 從 AWS Health 或 AWS Trusted Advisor 產生 Amazon CloudWatch Events。如果有證據顯示您的存取金鑰遭洩露，專案則可協助自動偵測、記錄及減緩事件。

監控您的帳戶及其資源

最佳實務是主動監控您的帳戶及其資源，以偵測任何不尋常的活動或對您帳戶的存取。請考慮下列一或多個解決方案：

建立帳單警示以監視您的預估 AWS 費用，以便在帳單超過您定義的閾值時接收自動通知。如需詳細資訊，請參閱 Amazon CloudWatch 常見問答集。
為您的 AWS 帳戶建立追蹤，以追蹤用於啟動特定 API 呼叫的憑證以及使用時間。這樣做可以協助您判斷使用情況是意外還是未經授權。然後，您可以採取適當的步驟來減少這種情況。如需詳細資訊，請參閱 AWS CloudTrail 的安全最佳實務。
將 CloudTrail 和 CloudWatch 結合使用來監控存取金鑰使用情況，並接收不尋常 API 呼叫的警示。
啟用資源層級記錄 (例如，在執行個體或作業系統層級) 和 Amazon S3 預設儲存貯體加密。
在所有支援的區域為您的 AWS 帳戶啟用 Amazon GuardDuty。啟用後，GuardDuty 會開始分析來自 AWS CloudTrail 管理和 Amazon S3 資料事件、Amazon VPC Flow Logs 以及 DNS 日誌的獨立資料串流，以產生安全調查結果。主要偵測類別包括帳戶入侵、執行個體入侵及惡意侵害。如需詳細資訊，請參閱 Amazon GuardDuty 常見問答集。