IAM 密码策略
在 IAM 中你可以设置下面的这些规则来增强安全性,
- 密码长度:指定密码的最小长度。更长的密码通常更安全。
- 密码复杂度:指定密码必须包含哪些元素,例如数字、小写字母、大写字母和特殊字符等。这有助于增加密码的复杂度,从而提高安全性。
- 密码过期时间:指定多长时间后必须更改密码。这可以防止用户长时间使用同一密码,从而提高安全性。
- 密码历史记录:指定用户不能使用最近几次使用过的密码,以防止用户反复使用相同的密码。
- 密码自动重置:在一定的时间间隔后自动重置密码,以增加安全性。
Multi-Factor Authentication
当您在 AWS 上管理重要资源时,为您的 IAM 用户启用 MFA(Multi-Factor Authentication,多重身份验证) 是一种有效的安全措施。 MFA 是一种安全措施,通过使用额外的身份验证因素来提高帐户的安全性。在 IAM 中,您可以将 MFA 设备(例如令牌或安全密钥)与用户帐户关联,以便在用户登录时要求额外的身份验证因素。
这意味着,即使其他人知道了您的密码,他们也无法访问您的 AWS 资源,除非他们能够提供第二个因素的身份验证。
IAM Credentials Report
这个工具用于提供有关您 AWS 帐户中 IAM 用户的凭证使用情况的详细信息。下边是一个样例:
| User Name | Credential Type | Active | Inactive | Expired | Last Used | Region |
|---|---|---|---|---|---|---|
| alice | Access Key | 1 | 0 | 0 | 2022-02-01T01:01:01Z | us-west-2 |
| alice | Password | 1 | 0 | 0 | N/A | N/A |
| bob | Access Key | 0 | 1 | 0 | N/A | N/A |
| bob | Password | 1 | 0 | 0 | N/A | N/A |
| carol | Access Key | 1 | 0 | 1 | 2021-12-31T23:59:59Z | us-east-1 |
| carol | Password | 1 | 0 | 0 | N/A | N/A |
| dave | Access Key | 1 | 0 | 0 | 2022-02-01T01:01:01Z | us-west-2 |
| dave | Password | 0 | 1 | 0 | N/A | N/A |
注解:
Active- 用户是否拥有活跃的凭证Inactive- 用户是否拥有失效的凭证Expired- 用户是否拥有过期的凭证Last Used- 用户最后一次使用凭证的时间Region- 用户上次使用凭证的AWS区域
在这个报告中,你可以分析出哪些是没有使用过的凭证,或是过期的凭证,然后将其删除或禁用。此外,您还可以将此报告与其他监控工具结合使用,例如 AWS CloudTrail,以获得更全面的安全监控和审计能力。
IAM Access Advisor
在这里你可以以用户为维度,分析他们哪些权限已经被使用和哪些权限是闲置的。
通过访问 IAM Access Advisor,您可以了解 IAM 用户和角色上的最后使用时间,以及哪些 AWS 服务和 API 被使用了。
这有助于您更好地了解您的 AWS 账户中的权限使用情况,并更好地优化您的安全策略。