安全讲堂｜亚马逊云科技身份认证的安全原则，学到就是赚到！

安全讲堂｜亚马逊云科技身份认证的安全原则，学到就是赚到！

安全性一直是AmazonWebServices(亚马逊云技术)的核心主题之一，无论是在云中使用框架CAF，还是在Well-architectedFramework中使用。类似地，安全性也一直是亚马逊aws峰会re:Invent的热点内容，在众多讨论中，亚马逊云技术认证安全性是企业IT部署和运营维护面临的首要问题。

在这种事件中，每个操作者都不是故意的，每个攻击者都不需要很强的技术。所以安全技术虽然很重要，但安全规范和安全意识比安全技术更重要。

以下是两种常见的不规范操作。请注意避雷。

01:将秘密钥匙上传到公共网络，被黑客截取后，对账户进行危险操作。

02:存储桶设置公共网络读写权限，导致重要信息泄露。

身份设置是使用亚马逊云技术的基础。在开始使用亚马逊云技术之前，必须设置身份认证。本文将总结如何从身份安全的角度设计应用架构。亚马逊云技术中的身份认证服务是AmazonIdentityandAccessManagement(AmazonIAM)，亚马逊云技术的所有服务都将使用AmazonIAM来决定如何访问其他服务。因此，有必要，发现和修复资源、账户和整个组织的权限。通过这些安全检查，可以优化组织的亚马逊云技术身份，具有更好的安全性。

在今年的亚马逊re:互联网上，有两个关于亚马逊云技术认证的主题演讲:

十项身份健康检查提高云的安全性:获得实用的建议和指南，帮助您在现有亚马逊云技术环境中实现最小特权原则。

选择正确的AmazonIAM战略组合进行扩展:本次会议将概述不同的IAM战略和战术水平。

围绕亚马逊云科技认证的安全实践，主要原则如下:

最小权限原则。

不要在Policy的Action和Resource元素中使用通配符，也不要使用广泛的授权。

使用多个亚马逊云技术账户。

根据环境类型(开发、测试、生产)等分类，创建不同的亚马逊云技术账户，可以清晰分割账单，从根本上设定用户操作的安全边界。

创建有意义的OrganizationalUnit结构。

当组织创建越来越多的亚马逊云技术账户时，需要使用Amazonorganization来管理账户，并通过OU对账户进行分组。使用OU分组账户时，应确保OU能够反映实际业务、环境甚至组织结构。此外，AmazonControlTower和AmazonLandingZone可以帮助用户使用最佳实践创建亚马逊云技术账户结构，实现初始安全基线。

运用服务控制策略(ServiceControlPolicy,SCP)

认真构建OU级别后，可以为整个组织、OU或单独成员账户设置SCP，控制账户级别的权限。

使用联合身份认证。

如果组织已经有企业目录，建议使用亚马逊云科技账号进行联合身份认证。这样可以避免在云上单独维护身份清单，避免创建长期身份，即IAMUser。

使用Role。

为了使用联合身份认证，需要创建Role，以确保联合权限仅在Role过期时有效。此外，Role还应该用来授权运行在亚马逊云技术环境中的应用程序，这样就不需要创建和分发长期秘密钥匙。与此同时，Role还应该用来授权跨账户访问，避免在第三方应用程序中创建组织账户中的长期权限。

明确信任策略的定义(TrustPolicy)

信任策略定义了谁可以使用某个Role。Principal可以是用户、另一个Role、账号或者IdentityProvider。使用Role授权时，注意明确定义使用Role的Principal，避免使用星号，如sts:assumerole:*。

尽量避免使用长期密钥。

为确保密钥的安全，必须创建AccessKey时，应遵循以下五点：

1)授权AccessKey设置IP白名单，确保只能从授权服务器使用；

二、请勿将密钥硬编码到代码中；

三、定时RotateAccessKey；

四、不能以明文发送AccessKey，应对文件进行加密，然后将文件与解密密码分两封邮件发送；

5)请勿将AccessKey上传到GitHub等网络环境。

确保root用户的安全。

除某些特殊操作外，决不能使用root用户，特别是不能使用root进行日常操作。与此同时，在实践中应遵循：

一、删除AccessKeys；

二是使用SCP限制root权限；

三、启用Multi-factorAuthentication(MFA)；

4)设置强密码，定期修改密码；

5)将root用户邮箱设置为组邮箱，方便root恢复。

确保IAMUser的安全性。

如果组织暂时能使用联合身份认证，则需在Amazon上创建User，应遵循：

1)创建IAMGroup，根据不同的用户角色对用户进行分组；

2)设置强密码策略，定期修改密码；

3)为每个人创建一个独立的用户，不能多人共享User；

四是用户登录使用MFA；

5)使用AmazonConfig审查未设置MFA的用户；

6)避免为个人用户创建密钥，使用CloudShell。

定期检查Policy设置。

使用IAMPolicySimulatoricySimulator模拟Policy的权限，保证最小权限。之后，使用IAMAccessAdvisor继续检查一定时间内未访问的服务，在SCP中禁用这些服务。

定期检查未使用的身份。

通过CredentialReport检查一定时间内未使用的Identity(Role、AccessKey、User)，禁用或删除。

设置审计。

打开整个组织的CloudTrail，并将CloudTrail日志存储在单独的帐户中，以避免用户删除操作记录。与此同时，悉使用Athena等服务查询CloudTrail日志的方法。

以上建议从账户管理到用户管理，从最小权限原则到运营审计，都需要认真落实。让组织中的每个人都规范操作，树立安全意识，防止安全事故的发生。聚云科技深知安全的重要性，从一开始就会对客户进行安全培训，定期与客户沟通检查配置，确保客户账户环境的安全。