Resource Groups 的安全最佳实践 - Amazon Resource Groups和标签
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Resource Groups 的安全最佳实践

以下最佳实践是一般准则,并不代表完整的安全解决方案。由于这些最佳实践可能不适合您的环境或不满足您的环境要求,因此将其视为有用的考虑因素而不是惯例。

  • 使用最小权限原则授予对组的访问权限。Resource Groups 支持资源级权限。仅根据特定用户的需要授予对特定组的访问权限。避免在向所有用户或所有组分配权限的策略语句中使用星号。有关最小权限的更多信息,请参阅授予最低权限中的IAM 用户指南.

  • 将私人信息保留在公共领域之外。 组的名称被视为服务元数据。组名称是未加密的。不要在组名中放置敏感信息。组描述是私有的。

    不要将私有信息或敏感信息放在标签键或标签值中。

  • 使用基于标记的授权酌情. Resource Groups 支持根据标签进行授权。您可以为组添加标签,然后更新附加到 IAM 用户和安全组的策略,以根据应用于组的标签设置其访问级别。有关如何使用基于标签的授权的更多信息,请参阅控制对 的访问Amazon使用资源标签的资源中的IAM 用户指南.

    多个Amazon服务支持根据其资源的标签进行授权。请注意,可能会为组中的成员资源配置基于标记的授权。如果对组资源的访问受到标记的限制,则未经授权的用户或组可能无法对这些资源执行操作或自动化操作。例如,如果您的某个组中的 Amazon EC2 实例标记为Confidentiality和标签值High,并且您无权在标记为Confidentiality:High,您在 EC2 实例上执行的操作或自动化将失败,即使对资源组中的其他资源执行的操作成功也是如此。有关哪些服务支持对其资源进行基于标签的授权的详细信息,请参阅Amazon使用的 IAM 服务中的IAM 用户指南.

    有关制定标签策略的更多信息,请参阅Amazon资源,请参阅Amazon标签策略.