AWS專業(yè)服務(wù)免注冊免綁卡代充值美金：AWS服務(wù)器使用起來怎么才能安全加固防御呢？
聚搜云（www.4526.cn）是上海聚搜信息技術(shù)有限公司旗下品牌，坐落于魔都上海，服務(wù)于全球、2019年成為阿里云代理商生態(tài)合作伙伴。與阿里云代理商、騰訊云、華為云、西部數(shù)碼、美橙互聯(lián)、谷歌云、AWS亞馬遜云國際站代理商、聚搜云,長期戰(zhàn)略合作的計劃！阿里云國際站代理商專業(yè)的云服務(wù)商！
AWS 在許多方面讓我們的生活更輕松。但是，正如經(jīng)常發(fā)生的那樣，為了解決所有可能的需求，它最終帶來了太多功能而無法關(guān)注。沒有專門的 AWS 管理員的新手或小型團隊可能會迷路或花費太多時間來管理和配置它。
在我們的新系列中，我們希望幫助每個人完全從頭開始設(shè)置 AWS 賬戶。
我們會經(jīng)常將您發(fā)送到 AWS 文檔。我們編寫這個博客系列的目標是在一個地方為您提供所有有用的鏈接，并指出您之前可能忽略的事實。
我們從安全開始。
AWS 安全必備
遵循一般和基于 AWS 的最佳安全標準，我們將引導您完成以下設(shè)置：
創(chuàng)建 IAM 用戶。
多因素身份驗證 (MFA)。
安全密碼策略。
基于角色的訪問控制 (RBAC) 或基于屬性的訪問控制 (ABAC)。
安全瀏覽具有只讀訪問權(quán)限的 AWS 實例。
使用日志監(jiān)控您的 AWS 賬戶中的活動。
數(shù)據(jù)備份。
在我們開始之前，您可能想要獲取 AWS CLI 控制臺。它可以用來管理某些事情，代碼迷會喜歡它作為 GUI 的替代品。
必備一：創(chuàng)建 IAM 用戶
創(chuàng)建 AWS 賬戶非常簡單。它只需要您注冊并添加身份和訪問管理 (IAM) 用戶。從理論上講，后者仍然是可選的，但出于安全原因，我們強烈推薦它——AWS 也這樣做——這在AWS文檔中以及用于創(chuàng)建賬戶的兩個步驟中進行了解釋。此外，它是我們在本文后面提出的一些安全措施的必要前提。
您可以將IAM鏈接保存在瀏覽器的某處，例如將其添加到書簽窗格。這對于快速登錄您的 AWS 賬戶非常方便。
現(xiàn)在，我們已準備好處理您的 AWS 賬戶安全問題。
必備 2：激活和執(zhí)行 2FA
目的和選項
激活的 MFA 使您的用戶除了輸入他們的 AWS/IAM 憑證外，還可以使用另一種身份驗證方法。AWS 為您提供以下選擇：
生成基于時間的一次性密碼 (TOTP) 的軟件。它可以安裝在您的智能手機、平板電腦甚至 PC/Mac 上。包括最流行的身份驗證器，例如 Google。
來自少數(shù)選定第三方提供商的硬件密鑰，例如 USB 設(shè)備或卡。
其他硬件 MFA 設(shè)備。
顯然，最后兩種方法意味著額外的成本。此外，您需要確保主用戶設(shè)備與硬件密鑰兼容。
執(zhí)行 MFA
在 AWS 中，您不能為其他用戶設(shè)置 MFA 方法。他們只能自己做。但您可以強制他們添加 MFA 設(shè)備。
本文介紹了這些步驟。配置 MFA 策略后，用戶在激活 MFA 之前無法執(zhí)行大部分操作。
激活 MFA
每個用戶都從 IAM 控制臺激活和管理他們的 MFA 設(shè)備，可通過您之前保存的鏈接進行訪問。
MFA 也可用于 root 用戶。為此，您需要登錄到您的根用戶帳戶。
必備 3：創(chuàng)建穩(wěn)健的密碼策略
我們依靠 [American] National Institute of Standards and Technology (NIST) 提供的密碼指南，也稱為NIST Special Publication 800-63B。
NIST 為您的密碼策略提出了兩個與 AWS 安全相關(guān)的主要目標：
通過簡化密碼創(chuàng)建來激勵用戶創(chuàng)建唯一密碼。
不要太頻繁地強迫他們的創(chuàng)造力。
這些目標的實現(xiàn)掌握在您的手中。
流暢的用戶體驗以獲得更好的密碼
簡而言之，NIST 建議您不要使用復雜的密碼，而是使用長而人性化的密碼。例如，"monkeys-draw-silver-cars"比"!k§jd"好。用戶更容易記住，這意味著他們不會為不同的帳戶重復使用密碼。當密碼泄露時，只有一個系統(tǒng)受到影響。
沒有密碼過期
重置密碼的必要性經(jīng)常導致密碼重復使用或使用某些模式創(chuàng)建的密碼，例如姓名和出生年份的串聯(lián)，這很容易被黑客破解。
但是，我們建議強制用戶在首次登錄時更改密碼。
如何
可以使用 GUI、CLI 甚至 API 為 IAM 用戶設(shè)置密碼策略。
必備 4：RBAC 和 ABAC
精細的訪問控制是一個重要的安全先決條件。只有當您知道誰可以做什么以及在哪里可以（希望）避免數(shù)據(jù)泄漏時。
RBAC 與 ABAC
一方面，AWS 權(quán)限概念是以服務(wù)為中心的。您授予或限制對某些服務(wù)的訪問。
另一方面，AWS 還提供以實例為中心的 ABAC 模型，允許您僅授予跨所有服務(wù)或僅在一項服務(wù)內(nèi)的某些實例的訪問權(quán)限。
然后，權(quán)利和限制被“聚合”成策略，這些策略可以進一步“聚合”并一個一個或一個組合地分配給一個角色。然后將角色分配給用戶或用戶組。
事實上，這些模型的最大力量在于它們的協(xié)同作用。
實施前
RBAC 和 ABAC 模型的實現(xiàn)都是從安全矩陣開始的。
安全矩陣將所有用戶分成幾個組，每個組具有一定范圍的訪問權(quán)限。一方面是可以做幾乎所有事情的管理員，另一方面通常是只讀用戶。在這兩者之間，您可以放置??只能訪問某些資源或只能以某種方式（讀取或?qū)懭胨鼈儯┑挠脩簟?br /> 矩陣至少需要有兩個維度：服務(wù)和實例。
最小權(quán)限規(guī)則
您如何決定授予哪些權(quán)限？
我們建議堅持最低權(quán)限規(guī)則：只要沒有明確需要，就不要授予權(quán)限。換句話說，不要“以防萬一”授予任何權(quán)限。請記住，這與您對同事的個人信任無關(guān)。這是關(guān)于您的任何同事被黑客入侵以及他們的 AWS 憑證落入壞人之手的危險。您的團隊成員擁有的訪問權(quán)限越少，黑客成功的機會就越低！
使用 ABAC 模型的先決條件
在您可以在其中一個實施步驟中使用此模型之前，您需要標記您的 AWS 實例。
如何
請參閱我們即將發(fā)布的關(guān)于實施 RBAC/ABAC 的教程。
必備 5：安全瀏覽的只讀訪問權(quán)限
除了將某些用戶限制為只讀訪問之外，那些可以更改任何資源的人可能希望堅持這種安全措施：以只讀訪問權(quán)限瀏覽。通過這樣做，您可以減少當某人必須在壓力下工作或可能是團隊新手或一般經(jīng)驗不足時總是發(fā)生的人為錯誤。
AWS 允許用戶切換 IAM 角色并獲得/失去權(quán)限，具體取決于所承擔的角色。只要用戶不打算更改 AWS 實例中的任何內(nèi)容，就可以安全地在其中移動并擔任受限角色。
您需要創(chuàng)建一個用戶組并為其附加一個預定義的策略。將用戶添加到該組并允許他們。
使用 GUI、CLI 和 API 時可能會發(fā)生切換。
必備 6：獲取活動日志
在許多情況下，數(shù)據(jù)泄露的發(fā)生是因為惡意代理獲得了 AWS 賬戶憑證。因此，監(jiān)控 AWS 用戶活動非常重要。最佳實踐是通過編程來檢測可疑模式。但是，第一步是開始為每個用戶和任何類型的訪問生成日志，無論是通過 GUI、CLI、SDK 還是 API。
AWS 甚至為此提供了一個本地服務(wù)，稱為CloudTrail。實際的日志可以存儲在 S3 中。
必備 7：數(shù)據(jù)備份
無論導致數(shù)據(jù)泄露的原因是什么，您的數(shù)據(jù)不僅會暴露，而且還會丟失。
AWS 備份可用于任何 AWS 原生服務(wù)和一些選定的第三方服務(wù)，包括 EC2 和 S3。
結(jié)論
我們希望對 AWS 安全必備項有所了解。
如您所見，完整的帳戶安全配置需要您付出相當大的努力。我們目前正在編寫一些教程，這些教程將幫助您在 AWS 實例中實現(xiàn)這些必備功能。