本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Resource Groups 的安全最佳实践
以下最佳实践是一般指导原则,并不代表完整安全解决方案。这些最佳实践可能不适合您的环境或不满足您的环境要求,请将其视为有用的考虑因素而不是惯例。
-
使用最低权限授予组访问权限的原则。Resource Groups 支持资源级权限。仅在特定用户需要时才授予特定组的访问权限。避免在向所有用户或所有组分配权限的策略声明中使用星号。有关最低权限的更多信息,请参阅 IAM 用户指南中的授予最低权限。
-
避免在公共字段中包含私有信息。组的名称视为服务元数据。组名称未加密。请勿在组名称中输入敏感信息。组描述是私有信息。
请勿在标签键或标签值中放入私有或敏感信息。
-
在适当时使用基于标记的授权。Resource Groups 支持基于标签的授权。您可以为组添加标签,然后更新附加到您的 IAM 主体(例如用户和角色)的策略,以根据应用于组的标签来设置其访问级别。有关如何使用基于标签的授权的更多信息,请参阅 IAM 用户指南中的使用资源标签控制对 Amazon 资源的访问权限。
许多 Amazon 服务支持基于其资源的标签的授权。请注意,可能会为组中的成员资源配置基于标签的授权。如果对组资源的访问受到标签的限制,则未经授权的用户或组可能无法对这些资源执行操作或自动化。例如,如果某个组中的 Amazon EC2 实例的标签键为
Confidentiality,标签值为High,并且您无权对已标记Confidentiality:High的资源运行命令,那么即使资源组中的其他资源成功执行操作,您在 EC2 实例上执行的操作或自动化也将失败。有关哪些服务支持对其资源进行基于标签的授权的更多信息,请参阅 IAM 用户指南中的与 IAM 配合使用的 Amazon 服务。有关为 Amazon 资源制定标记策略的更多信息,请参阅Amazon 标记策略
。