Resource Groups 的安全最佳的实实 - Amazon Resource Groups
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Resource Groups 的安全最佳的实实

以下最佳实践是一般指导原则,并不代表完整安全解决方案。这些最佳实践可能不适合您的环境或不满足您的环境要求,请将其视为有用的考虑因素而不是惯例。

  • 使用最小权限原则向群组授予访问权限。Resource Groups 支持资源级权限。仅在特定用户需要时才向特定群组授予访问权限。避免在向所有用户或所有组分配权限的策略声明中使用星号。有关最低权限的更多信息,请参阅 IAM 用户指南中的授予最低权限

  • 将私人信息拒之门外。 群组的名称被视为服务元数据。组名未加密。不要在组名中输入敏感信息。群组描述是私密的。

    不要在标签键或标签值中输入私有或敏感信息。

  • 在适当时@@ 使用基于标签的授权。Resource Groups 支持基于标签的授权。您可以标记群组,然后更新附加到您的 IAM 委托人(例如用户和角色)的策略,以根据应用于群组的标签设置其访问级别。有关如何使用基于标签的授权的更多信息,请参阅 IAM 用户指南中的使用Amazon资源标签控制对资源的访问权限

    许多Amazon服务支持基于资源的授权。请注意,可以为组中的成员资源配置基于标签的授权。如果标签限制了对群组资源的访问,则未经授权的用户或群组可能无法对这些资源执行操作或自动化。例如,如果您的一个组中的 Amazon EC2 实例的标签密钥为,标签值为,并且您无权对已标记Confidentiality:High的资源运行命令,则即使对该资源组中的其他资源执行操作成功,您在 EC2 实例上执行的操作或自动化也会失败。ConfidentialityHigh有关哪些服务支持对其资源进行基于标签的授权的更多信息,请参阅 IAM 用户指南中的与 IAM 配合使用的Amazon服务

    有关为Amazon资源制定标记策略的更多信息,请参阅Amazon标记策略