AWS云安全初探实验-1

实验内容：手工创建第一个根用户账户并进行一些安全配置

操作内容

为IAM用户配置密码策略

IAM->控制面板->账户设置->更改密码策略

配置账户安全挑战问题

右上角account->配置安全问题

定期更改根用户密码

右上角account->账户设置

删除根用户访问密钥

右上角security_credentials->访问密钥

为AWS根用户启用虚拟MFA设备

右上角security_credentials->MFA->激活MFA->虚拟MFA设备

下载google authenticator扫描qr码并输入密钥

理论知识

必须由根用户权限执行的任务：

1.更改账户设置

2.关闭AWS账户

3.还原IAM权限

4.更改或取消AWS计划

5.创建CloudFront密钥对

6.配置Amazon S3存储桶

7.编辑或删除包含无效VPCID或VPC终端节点ID的Amazon S3存储桶策略

IAM安全最佳实践

1.隐藏AWS账户根用户访问密钥

2.创建单独IAM用户

3.使用组向IAM用户分配权限

4.授予最低权限

5.通过AWS托管策略使用权限

6.使用客户托管策略而非内联策略

7.使用访问权限级别查看IAM权限

8.为用户配置强密码策略

9.使用MFA

10.针对在Amazon EC2实例上运行的应用程序使用角色

11.使用角色委托权限

12.不共享访问密钥

13.定期轮换凭证

14.删除不必要的证书

15.使用策略条件增强安全性

16.监控AWS账户中的活动