IAM是AWS的身份访问管理系统。它是AWS的安全体系的基石。
在IAM上主要的注意点:
- 尽可能不使用根账户登录AWS。大部分的需求通过使用IAM用户都能满足
- 给根账户加入多因子认证(MFA)。一般可以通过在手机上生成一次性的登录代码来实现。(http://docs.aws.amazon.com/zh_cn/IAM/latest/UserGuide/Using_ManagingMFA.html)
- 使用角色和组来给IAM用户分配权限,以此实现权限设置的灵活复用与修改。
- 给用户最小化的权限。不要为了一时方便,就给最大的权限。例如默认只给某一资源的只读权限,尽量不要给管理员权限给普通用户。
- 为了权限控制的灵活性,可以使用condition元素来限制某些行为,例如QA用户只能关闭打了QA标签的EC2实例。(http://docs.aws.amazon.com/zh_cn/IAM/latest/UserGuide/AccessPolicyLanguage_ElementDescriptions.html#Condition)。
- 定期更新用户的凭证和密码
- 在EC2的创建过程中,可以设置本机所使用的IAM角色。这样这个角色会与本机的CLI和SDK集成起来,不需要再设置相应的用户凭证。并且AWS会自动帮你轮换凭证,保证IAM角色的安全。(http://docs.aws.amazon.com/zh_cn/IAM/latest/UserGuide/roles-usingrole-ec2instance.html)
参考资料:http://www.slideshare.net/AmazonWebServices/sec305-iam-best-practices-aws-reinvent-2014