资源组 的安全最佳实践 - AWS 资源组
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

资源组 的安全最佳实践

以下最佳实践是一般准则,并不代表完整的安全解决方案。由于这些最佳实践可能不适合您的环境或不满足您的环境要求,因此将其视为有用的考虑因素而不是惯例。

  • 使用最小权限原则 以授予组的访问权限。 资源组 支持资源级权限。仅根据需要为特定用户授予特定组的访问权限。避免在为所有用户或所有组分配权限的策略语句中使用星号。有关最小权限的更多信息,请参阅 授予最低权限IAM 用户指南.

  • 将私人信息置于公共字段之外。 组的名称被视为服务元数据。组名称未加密。请勿将敏感信息放入组名称。组描述是私有的。

    请勿将私人或敏感信息放入标记键或标记值。

  • 根据标记使用授权 视情况而定。 资源组 支持基于标签的授权。您可以标记组,然后更新附加到的策略 IAM 用户和授权组,以根据应用于组的标记设置其访问级别。有关如何使用基于标签的授权的更多信息,请参阅 使用资源标记控制对AWS资源的访问IAM 用户指南.

    多 AWS 服务支持基于其资源的标签的授权。请注意,可能为组中的成员资源配置基于标签的授权。如果对组资源的访问受到标记的限制,则未经授权的用户或组可能无法对这些资源执行操作或自动化。例如,如果 Amazon EC2 其中一个组中的实例使用的标签键 Confidentiality 和标签值 High,并且您无权在标记的资源上运行命令 Confidentiality:High,您在EC2实例上执行的操作或自动化将失败,即使针对资源组中其他资源的操作成功。有关哪些服务支持其资源的基于标签的授权的更多信息,请参阅 AWS 使用的服务 IAMIAM 用户指南.

    有关为AWS资源制定标记策略的更多信息,请参阅 AWS标记策略.