我们在AWS上有一些“机器人”-我们不需要这些机器人的MFA-但是我们确信,绝对不希望他们在AWS上具有高层访问权限。我相信已获得允许用户访问网站/控制台的权限。我的问题是-如果您是我,您将检查哪些权限以确保不需要MFA的我们的机器人不会获得高于其薪水等级的访问权限?
例如,我们的一个机器人用户具有如下政策:
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "VisualEditor0",
"Effect": "Allow",
"Action": [
"s3:ListAllMyBuckets",
"s3:HeadBucket"
],
"Resource": "*"
},
{
"Sid": "VisualEditor1",
"Effect": "Allow",
"Action": "s3:*",
"Resource": [
"arn:aws:s3:::interos-oregon",
"arn:aws:s3:::*/*"
]
}
]
}
答案 0 :(得分:0)
授予特权的最佳实践是“最少访问”的原则。用户,功能和/或漫游器仅应被允许承担具有完成任务所需的最低权限的角色。
除此之外,您应该定期检查IAM角色,策略和访问权限,以确认用户,功能,机器人或仅具有必要权限的任何内容。
您可以阅读有关IAM最佳实践here的更多信息。