AWS專業(yè)服務(wù)免注冊(cè)免綁卡代充值美金：AWS服務(wù)器使用起來怎么才能安全加固防御呢？
聚搜云（www.4526.cn）是上海聚搜信息技術(shù)有限公司旗下品牌，坐落于魔都上海，服務(wù)于全球、2019年成為阿里云代理商生態(tài)合作伙伴。與阿里云代理商、騰訊云、華為云、西部數(shù)碼、美橙互聯(lián)、谷歌云、AWS亞馬遜云國際站代理商、聚搜云,長期戰(zhàn)略合作的計(jì)劃！阿里云國際站代理商專業(yè)的云服務(wù)商！
AWS 在許多方面讓我們的生活更輕松。但是，正如經(jīng)常發(fā)生的那樣，為了解決所有可能的需求，它最終帶來了太多功能而無法關(guān)注。沒有專門的 AWS 管理員的新手或小型團(tuán)隊(duì)可能會(huì)迷路或花費(fèi)太多時(shí)間來管理和配置它。
在我們的新系列中，我們希望幫助每個(gè)人完全從頭開始設(shè)置 AWS 賬戶。
我們會(huì)經(jīng)常將您發(fā)送到 AWS 文檔。我們編寫這個(gè)博客系列的目標(biāo)是在一個(gè)地方為您提供所有有用的鏈接，并指出您之前可能忽略的事實(shí)。
我們從安全開始。
AWS 安全必備
遵循一般和基于 AWS 的最佳安全標(biāo)準(zhǔn)，我們將引導(dǎo)您完成以下設(shè)置：
創(chuàng)建 IAM 用戶。
多因素身份驗(yàn)證 (MFA)。
安全密碼策略。
基于角色的訪問控制 (RBAC) 或基于屬性的訪問控制 (ABAC)。
安全瀏覽具有只讀訪問權(quán)限的 AWS 實(shí)例。
使用日志監(jiān)控您的 AWS 賬戶中的活動(dòng)。
數(shù)據(jù)備份。
在我們開始之前，您可能想要獲取 AWS CLI 控制臺(tái)。它可以用來管理某些事情，代碼迷會(huì)喜歡它作為 GUI 的替代品。
必備一：創(chuàng)建 IAM 用戶
創(chuàng)建 AWS 賬戶非常簡(jiǎn)單。它只需要您注冊(cè)并添加身份和訪問管理 (IAM) 用戶。從理論上講，后者仍然是可選的，但出于安全原因，我們強(qiáng)烈推薦它——AWS 也這樣做——這在AWS文檔中以及用于創(chuàng)建賬戶的兩個(gè)步驟中進(jìn)行了解釋。此外，它是我們?cè)诒疚暮竺嫣岢龅囊恍┌踩胧┑谋匾疤帷?br /> 您可以將IAM鏈接保存在瀏覽器的某處，例如將其添加到書簽窗格。這對(duì)于快速登錄您的 AWS 賬戶非常方便。
現(xiàn)在，我們已準(zhǔn)備好處理您的 AWS 賬戶安全問題。
必備 2：激活和執(zhí)行 2FA
目的和選項(xiàng)
激活的 MFA 使您的用戶除了輸入他們的 AWS/IAM 憑證外，還可以使用另一種身份驗(yàn)證方法。AWS 為您提供以下選擇：
生成基于時(shí)間的一次性密碼 (TOTP) 的軟件。它可以安裝在您的智能手機(jī)、平板電腦甚至 PC/Mac 上。包括最流行的身份驗(yàn)證器，例如 Google。
來自少數(shù)選定第三方提供商的硬件密鑰，例如 USB 設(shè)備或卡。
其他硬件 MFA 設(shè)備。
顯然，最后兩種方法意味著額外的成本。此外，您需要確保主用戶設(shè)備與硬件密鑰兼容。
執(zhí)行 MFA
在 AWS 中，您不能為其他用戶設(shè)置 MFA 方法。他們只能自己做。但您可以強(qiáng)制他們添加 MFA 設(shè)備。
本文介紹了這些步驟。配置 MFA 策略后，用戶在激活 MFA 之前無法執(zhí)行大部分操作。
激活 MFA
每個(gè)用戶都從 IAM 控制臺(tái)激活和管理他們的 MFA 設(shè)備，可通過您之前保存的鏈接進(jìn)行訪問。
MFA 也可用于 root 用戶。為此，您需要登錄到您的根用戶帳戶。
必備 3：創(chuàng)建穩(wěn)健的密碼策略
我們依靠 [American] National Institute of Standards and Technology (NIST) 提供的密碼指南，也稱為NIST Special Publication 800-63B。
NIST 為您的密碼策略提出了兩個(gè)與 AWS 安全相關(guān)的主要目標(biāo)：
通過簡(jiǎn)化密碼創(chuàng)建來激勵(lì)用戶創(chuàng)建唯一密碼。
不要太頻繁地強(qiáng)迫他們的創(chuàng)造力。
這些目標(biāo)的實(shí)現(xiàn)掌握在您的手中。
流暢的用戶體驗(yàn)以獲得更好的密碼
簡(jiǎn)而言之，NIST 建議您不要使用復(fù)雜的密碼，而是使用長而人性化的密碼。例如，"monkeys-draw-silver-cars"比"!k§jd"好。用戶更容易記住，這意味著他們不會(huì)為不同的帳戶重復(fù)使用密碼。當(dāng)密碼泄露時(shí)，只有一個(gè)系統(tǒng)受到影響。
沒有密碼過期
重置密碼的必要性經(jīng)常導(dǎo)致密碼重復(fù)使用或使用某些模式創(chuàng)建的密碼，例如姓名和出生年份的串聯(lián)，這很容易被黑客破解。
但是，我們建議強(qiáng)制用戶在首次登錄時(shí)更改密碼。
如何
可以使用 GUI、CLI 甚至 API 為 IAM 用戶設(shè)置密碼策略。
必備 4：RBAC 和 ABAC
精細(xì)的訪問控制是一個(gè)重要的安全先決條件。只有當(dāng)您知道誰可以做什么以及在哪里可以（希望）避免數(shù)據(jù)泄漏時(shí)。
RBAC 與 ABAC
一方面，AWS 權(quán)限概念是以服務(wù)為中心的。您授予或限制對(duì)某些服務(wù)的訪問。
另一方面，AWS 還提供以實(shí)例為中心的 ABAC 模型，允許您僅授予跨所有服務(wù)或僅在一項(xiàng)服務(wù)內(nèi)的某些實(shí)例的訪問權(quán)限。
然后，權(quán)利和限制被“聚合”成策略，這些策略可以進(jìn)一步“聚合”并一個(gè)一個(gè)或一個(gè)組合地分配給一個(gè)角色。然后將角色分配給用戶或用戶組。
事實(shí)上，這些模型的最大力量在于它們的協(xié)同作用。
實(shí)施前
RBAC 和 ABAC 模型的實(shí)現(xiàn)都是從安全矩陣開始的。
安全矩陣將所有用戶分成幾個(gè)組，每個(gè)組具有一定范圍的訪問權(quán)限。一方面是可以做幾乎所有事情的管理員，另一方面通常是只讀用戶。在這兩者之間，您可以放置??只能訪問某些資源或只能以某種方式（讀取或?qū)懭胨鼈儯┑挠脩簟?br /> 矩陣至少需要有兩個(gè)維度：服務(wù)和實(shí)例。
最小權(quán)限規(guī)則
您如何決定授予哪些權(quán)限？
我們建議堅(jiān)持最低權(quán)限規(guī)則：只要沒有明確需要，就不要授予權(quán)限。換句話說，不要“以防萬一”授予任何權(quán)限。請(qǐng)記住，這與您對(duì)同事的個(gè)人信任無關(guān)。這是關(guān)于您的任何同事被黑客入侵以及他們的 AWS 憑證落入壞人之手的危險(xiǎn)。您的團(tuán)隊(duì)成員擁有的訪問權(quán)限越少，黑客成功的機(jī)會(huì)就越低！
使用 ABAC 模型的先決條件
在您可以在其中一個(gè)實(shí)施步驟中使用此模型之前，您需要標(biāo)記您的 AWS 實(shí)例。
如何
請(qǐng)參閱我們即將發(fā)布的關(guān)于實(shí)施 RBAC/ABAC 的教程。
必備 5：安全瀏覽的只讀訪問權(quán)限
除了將某些用戶限制為只讀訪問之外，那些可以更改任何資源的人可能希望堅(jiān)持這種安全措施：以只讀訪問權(quán)限瀏覽。通過這樣做，您可以減少當(dāng)某人必須在壓力下工作或可能是團(tuán)隊(duì)新手或一般經(jīng)驗(yàn)不足時(shí)總是發(fā)生的人為錯(cuò)誤。
AWS 允許用戶切換 IAM 角色并獲得/失去權(quán)限，具體取決于所承擔(dān)的角色。只要用戶不打算更改 AWS 實(shí)例中的任何內(nèi)容，就可以安全地在其中移動(dòng)并擔(dān)任受限角色。
您需要?jiǎng)?chuàng)建一個(gè)用戶組并為其附加一個(gè)預(yù)定義的策略。將用戶添加到該組并允許他們。
使用 GUI、CLI 和 API 時(shí)可能會(huì)發(fā)生切換。
必備 6：獲取活動(dòng)日志
在許多情況下，數(shù)據(jù)泄露的發(fā)生是因?yàn)閻阂獯慝@得了 AWS 賬戶憑證。因此，監(jiān)控 AWS 用戶活動(dòng)非常重要。最佳實(shí)踐是通過編程來檢測(cè)可疑模式。但是，第一步是開始為每個(gè)用戶和任何類型的訪問生成日志，無論是通過 GUI、CLI、SDK 還是 API。
AWS 甚至為此提供了一個(gè)本地服務(wù)，稱為CloudTrail。實(shí)際的日志可以存儲(chǔ)在 S3 中。
必備 7：數(shù)據(jù)備份
無論導(dǎo)致數(shù)據(jù)泄露的原因是什么，您的數(shù)據(jù)不僅會(huì)暴露，而且還會(huì)丟失。
AWS 備份可用于任何 AWS 原生服務(wù)和一些選定的第三方服務(wù)，包括 EC2 和 S3。
結(jié)論
我們希望對(duì) AWS 安全必備項(xiàng)有所了解。
如您所見，完整的帳戶安全配置需要您付出相當(dāng)大的努力。我們目前正在編寫一些教程，這些教程將幫助您在 AWS 實(shí)例中實(shí)現(xiàn)這些必備功能。