最后，我们来总结一下IAM的最佳实践。

1. 禁用根用户

不到万不得已，不要使用根用户。

2. 使用多重身份验证(MFA)

为根帐户和所有IAM用户启用MFA，以增加帐户的安全性。

3. 最小特权原则

使用最小权限原则，即给用户授予执行其工作所需的最低权限，以减少误操作或恶意访问。

4. 定期轮换凭证

定期轮换IAM用户、角色和组的访问密钥和证书，以减少潜在的安全漏洞。

5. 最好一一对应

使用组来映射你自己组织的人员管理模型，使用用户来对你的人员一一对应。

6. 设置强密码策略

7. 尽量使用角色

8. 持续监控，持续优化

通过IAM Credentials Report 和 IAM Access Advisor来不断监控，用户行为，不断优化策略。

更多的内容，你可以参照：

https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html (opens in a new tab)