AWS IAM 身份和访问管理

AWS IAM 身份和访问管理

用户和组

身份和访问管理 Identify and Access Management (IAM), Global service根账号 root account, 默认创建，不应使用或共享。用户 Users, 组织的员工或应用账号，可以被分组。组 Groups, 仅包括user用户和组的关系：

用户可以不属于任何组，如Fred用户可以属于多个组，如Charles, David

IAM: Permissions 权限

IAM 策略结构

创建管理员账号，直接附加现有策略arn:aws:iam::aws:policy/AdministratorAccess

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "*", "Resource": "*" } ]}

查询IAM密码策略

$ aws iam get-account-password-policy{ "PasswordPolicy": { "MinimumPasswordLength": 8, "RequireSymbols": false, "RequireNumbers": true, "RequireUppercaseCharacters": false, "RequireLowercaseCharacters": true, "AllowUsersToChangePassword": true, "ExpirePasswords": true, "MaxPasswordAge": 90, "PasswordReusePrevention": 5 }}

查询MFA devices

$ aws iam list-mfa-devices{ "MFADevices": []}

IAM安全工具

IAM Credentials Report (account-level) IAM凭据报告IAM Access Advisor (user-level) ​​AWS Identity and Access Management (IAM) 访问顾问​​​现在支持您结合使用 IAM 访问顾问 API 和 ​​AWS 命令行界面​​​ (AWS CLI) 或 ​​SDK​​，来自动分析您所有帐户的 IAM 权限。IAM 访问顾问可帮助您审核服务访问权限，删除不必要权限，并设置适当权限，以提供 IAM 实体（如用户、角色或小组）访问 AWS 服务时的最后时间戳。

IAM Guidelines & Best Practices

Don’t use the root account except for AWS account setupOne physical user = One AWS userAssign users to groups and assign permissions to groupsCreate a strong password policyUse and enforce the use of Multi Factor Authentication (MFA)Create and use Roles for giving permissions to AWS servicesUse Access Keys for Programmatic Access (CLI / SDK)Audit permissions of your account with the IAM Credentials ReportNever share IAM users & Access Keys

版权声明：本文内容由网络用户投稿，版权归原作者所有，本站不拥有其著作权，亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容，请联系我们jiasou666@gmail.com 处理，核实后本网站将在24小时内删除侵权内容。