10、AWS账户管理与安全实践指南

AWS账户管理与安全实践指南

1. AWS账户策略

在AWS环境中，有两种常见的账户策略：
- 按部门设置多个AWS账户 ：每个组织对操作和资源的访问可能遵循截然不同的流程。在私有共享资源上的合作会稍微复杂一些。
- 按功能设置多个AWS账户 ：对DNS、DBMS、CDN、CMS或任何其他服务使用不同的账户进行功能集中管理。

2. IAM用户和组

IAM（Identity and Access Management）用户和组相对简单，因为它们仅处理身份验证。如果熟悉Unix或Windows处理用户和组权限的方式，就已经了解了IAM用户和组背后的核心原则。
- 用户类型 ：
- 人类用户：使用用户名和密码登录管理控制台。
- 程序用户：使用一组访问凭证与AWS API进行交互。
- 用户权限 ：用户可以分配一个或多个IAM策略，这些策略指定了用户允许执行的操作。
- 用户组 ：为了便于管理，用户可以放在组中。当将IAM策略分配给组时，该组的所有成员都会继承该策略指定的权限。组不能嵌套。

建议 ：为每个访问账户的人创建单独的用户，而不是共享AWS账户的主密码。将AWS组映射到组织内的特定角色，并将策略应用于组，这样管理权限更新会更容易。

3. 丢弃根密码

丢弃AWS账户的根密码是一种越来越流行的安全最佳实践。如果需要，可以通