我们已经讨论过为什么为什么拥有API访问密钥的EC2实例是一件糟糕的事情。下次,我将会讨论用户和其他自动化进程可以使用一些角色逃离整个密钥管理过程的监控。但是,有一些场景下,API密钥仍然是必须使用到的。 5. 最小化权限:通过strong/explicit策略限制IAM实体行为 6. 定期重置所有秘钥 7. 在任何可能的地方通过STS AssumeRole来设置IAM角色 8. 使用AutoScaling来抑制DDoS攻击 9. 除非你有怪癖,在任何EC2/ELB 安全组中都禁用0.0.0.0/0 10. 认真对待world-readable/listable S3 bucket策略 例如,如果你在AWS范围之外或在你内部环境中管理一个像Jenkins之类的持续集成工具,你无法使用EC2角色。你就不得不创建一个IAM用户,生成API访问密钥和秘密金钥,然后将用户和这些密钥设置在Jenkins服务器上。 作为一项最优实践,AWS推荐的做法是,定期重置所有的证书,密码和API访问密钥。如果一项证书是易感染病毒,该项实践可以限制一个密钥的有效时间。 我所遵循的最优实践是每90天重置API访问密钥。我的这一实践过程是简单的,但是却是繁重的: 1)操作员追踪访问密钥的已使用时间; 2)操作员创建一个新的访问密钥; 3)然后操作员将新的访问密钥提供给自动化进程; 4)完成测试和部署后,旧的访问密钥被去激活。 最终,或在下次密钥重置时,该旧访问密钥被删除。使用像 Chef's Encrypted Data Bags这样的加密数据片段机制,上述的密钥重置过程会变得更简单。 本篇AWS安全博客中有一篇很好的文章概述了一个很相似的过程。在该过程中,文章描述了如果在AWS CLI中使用 iam list-access-keys命令获取API访问密钥的已使用时间。 我发现另一对AWS CLI命令在获取所有用户(包括根账号用户)的API访问密钥和其他证书数据中很有用。这对命令是 iam generate-credential-report和 iam get-credential-report。 Credentials Report(证书报告)页描述了生成的CSV文件中所有的字段。CSV数据是使用Base64编码的,所以你将不得不使用一些Linux命令行的改变来得到数据: 证书报告输出样本 正如你看到的,IAM证书报告给了我一个不同的视角,让我看到了我的AWS账户中所有IAM用户的API访问密钥的已使用时间。
活动推荐:6月25日 ImapBox在线培训-AWS动手实验课堂系列:EC2资源的召唤术
( 翻译/吕东梅 责编/王鑫贺 )
订阅“AWS中文技术社区”微信公众号,实时掌握AWS技术及产品消息!
AWS中文技术社区为广大开发者提供了一个Amazon Web Service技术交流平台,推送AWS最新资讯、技术视频、技术文档、精彩技术博文等相关精彩内容,更有AWS社区专家与您直接沟通交流!快加入AWS中文技术社区,更快更好的了解AWS云计算技术。
本网页所有文字内容由 imapbox邮箱云存储,邮箱网盘, iurlBox网页地址收藏管理器 下载并得到。
ImapBox 邮箱网盘 工具地址: https://www.imapbox.com/download/ImapBox.5.5.1_Build20141205_CHS_Bit32.exe
PC6下载站地址:PC6下载站分流下载
本网页所有视频内容由 imoviebox边看边下-网页视频下载, iurlBox网页地址收藏管理器 下载并得到。
ImovieBox 网页视频 工具地址: https://www.imapbox.com/download/ImovieBox4.7.0_Build20141115_CHS.exe
本文章由: imapbox邮箱云存储,邮箱网盘,ImageBox 图片批量下载器,网页图片批量下载专家,网页图片批量下载器,获取到文章图片,imoviebox网页视频批量下载器,下载视频内容,为您提供.
阅读和此文章类似的: 全球云计算
官方软件产品操作指南 (170)
