亚马逊AWS是一个世界级的云系统,受到来自世界各地的好评,现在在中国也是如此。对于任何云或面向Internet的系统,安全是很重要的。相应的,AWS会使安全系统也变得更复杂,因而会产生一系列像移动部件、权限、角色、策略和密钥等等。

首先,新用户如何访问AWS呢?通过你的注册邮箱和密码。这是用户的根帐户,但只能用于最初设置AWS帐户,在创建IAM帐户之后,你就不应该再使用了。其实如果有可能的话,你应该使用MFA(见下文)并删除其访问密钥。

什么是IAM?这是AWS的身份、访问管理系统,是AWS安全的核心。很多人都忽略了IAM,每天都用他们的根帐户进行分享,这是一个错误的、不好的实践。

你应该用IAM为你的系统创建一组用户,最好是每一个真实的用户都拥有一个独立的API帐户或在访问AWS系统时可能需要用到的应用程序。当然,任何第三方用户、公司或API调用者(如AWS计费的SaaS系统)应该有单独的用户帐户。虽然大多数 API用户除了使用CLI时需要密码,一般只需通过访问键就可以访问了。

IAM用户可以通过IAM策略中定义的访问权限。你应该根据用户类别创建不同的组,如工程师,项目经理等,然后基于策略,你给每个组不同的权限。

IAM策略是有点复杂,如果你是AWS新手,最好使用已定义的简单策略,如管理员权限(所有访问),只读权限(非工程师),更复杂的工程师权限(除了IAM变化都可以访问,但这比较复杂,所以给我们发电子邮件来了解如何做到这一点。)

什么是MFA?这是多因素验证,这意味着可以用短信、电子邮件、移动设备等验证用户身份。虽然硬件MFA设备可用,AWS通常是用手机上一个特殊的应用程序进行验证。

MFA唯一的问题是每个帐户只能由一个人用,所以你不能共享帐户使用。这也是每个人都应该有自己的帐户的另一个原因,这样他们可以启用MFA。最常见的移动应用程序是Google Authenticator,在AWS设置读取二维码,然后会给你登录时需要的代码——输入您的用户名、密码和代码,你就可以登录了。即使对非技术用户来说,也是非常简单容易操作的。

对基本用户/ IAM安全 – 设置你的根帐户,创建IAM用户,设置策略,启用MFA,你就可以使用你的系统了。当然还有更多复杂的选项、政策、密钥和问题 – 我们可以帮助您了解和选择所有正确的选项。

对AWS高级用户/ IAM安全博客有关此主题的更多信息,包括更多高级的策略、最佳实践、各种类型的密钥、S3 bucket安全以及更多。一如既往,如果你有需要请联系我们,我们很乐意提供帮助。