我們已經(jīng)討論過(guò)了十大最優(yōu)實(shí)踐中的大部分，所以在跳到AWS配置領(lǐng)域的一些最優(yōu)實(shí)踐前，讓我們總結(jié)一下關(guān)于IAM的討論。這篇帖子將會(huì)總結(jié)關(guān)于控制個(gè)人的討論。對(duì)個(gè)人的控制利用了IAM服務(wù)，而IAM服務(wù)則是通過(guò)利用角色來(lái)簡(jiǎn)化和創(chuàng)建一個(gè)更加安全的環(huán)境來(lái)實(shí)現(xiàn)。

但是首先，讓我簡(jiǎn)單概括一下：

關(guān)閉根API訪問(wèn)金鑰和密碼金鑰

在各處啟動(dòng)MFA令牌

減少擁有Admin權(quán)限的IAM用戶數(shù)

為EC2使用各種角色

最低權(quán)限：限制IAM實(shí)體使用強(qiáng)有力/明確策略所能實(shí)現(xiàn)的功能

定期重置所有的密鑰

在可能的地方使用IAM角色和STS AssumeRole

使用AutoScaling抑制DDoS影響

除非你是認(rèn)真的，否則不要在任何EC2/ELB安全組中允許0.0.0.0/0網(wǎng)站

觀察全局可讀/列表可列示的S3桶策略

在這一系列帖子的前面一些帖子中，我們講到了如何以及為什么你的EC2實(shí)例應(yīng)該使用各種角色。它的前提是利用 AWS Security Token Service（安全令牌服務(wù)），使你的資源安全溝通和減輕管理負(fù)擔(dān)變得更輕松。你既能夠保證安全又能簡(jiǎn)化管理的頻率是多少？雖然它們聽(tīng)起來(lái)像相互矛盾的兩個(gè)方面，但是它們實(shí)際上是我們奮斗的目標(biāo)。任何時(shí)候只要你能使用戶安全變得更簡(jiǎn)單，你的方法就越可能得到采納。反之，如果你使安全變得太復(fù)雜，它可能實(shí)際上在實(shí)踐中會(huì)導(dǎo)致更加不安全。例如，如果你強(qiáng)迫所有用戶使用它們根本不可能記住的隨機(jī)產(chǎn)生的24位字符構(gòu)成的密碼，又有多少用戶會(huì)將回歸到寫(xiě)下密碼或者將它存儲(chǔ)在一個(gè)可能不符合安全規(guī)則的地方呢？當(dāng)然，密碼本身可能看起來(lái)增強(qiáng)了安全性，但是實(shí)際上，它可能導(dǎo)致了壞習(xí)慣，降低了安全性。

今天，我們將要為EC2擴(kuò)展角色，討論對(duì)IAM用戶使用各種角色。這同樣是為了使安全維護(hù)變得更安全，更簡(jiǎn)單。在本示例中，我將使用 Evident.ioDemo AWS賬戶。Evident剛開(kāi)始打算作為一個(gè)公司運(yùn)行時(shí)，只有一個(gè)AWS賬戶，該賬戶被用來(lái)展示Evident Security Platform（ESP，Evident安全平臺(tái)）和它創(chuàng)建自定義驗(yàn)證，安全檢查和集成的能力。兩個(gè)工程師使用一個(gè)賬戶，那確保完全安全會(huì)是很簡(jiǎn)單的嗎？我們 關(guān)閉了根API訪問(wèn)確保沒(méi)有秘密金鑰。然后，我們?yōu)閮蓚€(gè)管理員 啟動(dòng)了MFA令牌。 我們甚至為一些銷售人員 創(chuàng)建了擁有只讀權(quán)限和特定策略的IAM用戶，所以他們不會(huì)惹上麻煩。利用內(nèi)置的ESP IAM Credential Rotation（ESP IAM證書(shū)重置）安全檢查，我們預(yù)先找到需要重置的密鑰。

現(xiàn)在，ESP被設(shè)計(jì)成一個(gè)企業(yè)平臺(tái)，支持客戶擁有成百上千甚至成千上萬(wàn)個(gè)賬戶（有一篇博客是關(guān)于SEP平臺(tái)上職責(zé)劃分的）。為了擴(kuò)展我們的演示，我們添加了一小部分AWS賬戶，到現(xiàn)在，訪問(wèn)該演示賬戶的人數(shù)正在增加。我們可以像一開(kāi)始做的那樣，瀏覽每一個(gè)AWS賬戶，創(chuàng)建新用戶，生成密碼，限制那個(gè)用戶的權(quán)限，但是那看起來(lái)像很多重復(fù)性的手工操作的步驟。更好的選擇是利用我們已創(chuàng)建和保護(hù)的用戶，只是使他們能夠訪問(wèn)這些追加的賬戶。這聽(tīng)起來(lái)相當(dāng)簡(jiǎn)單，實(shí)際上，它也是相當(dāng)簡(jiǎn)單的。

AWS提供快速的演練，幫助你開(kāi)始授權(quán) 另一個(gè)賬戶中IAM用戶對(duì)AWS賬戶的訪問(wèn)權(quán)限?，F(xiàn)在，在很多情況下，你甚至可以擁有一個(gè)AWS主賬戶，該賬戶中沒(méi)有資源運(yùn)行，只是用于管理控制和計(jì)費(fèi)訪問(wèn)。在我們的案例中，我們擴(kuò)展了一個(gè)AWS賬戶，允許工程師和銷售人員在控制臺(tái)上通過(guò)輕點(diǎn)鼠標(biāo)就可以對(duì)其他賬戶擁有相同的訪問(wèn)權(quán)限。

如果你有不止一個(gè)AWS賬戶，你就值得花費(fèi)時(shí)間去瀏覽AWS概括的步驟，深入了解利用IAM用戶和角色你可以實(shí)現(xiàn)的目標(biāo)。