保護您的 AWS 資源,從「根」本做起
什麼是多重要素驗證(MFA)?
帳號若有使用多重要素驗證 (MFA, multi-factor authentication),使用者除了在登入時需輸入密碼外,還需輸入額外的資訊才能進行登入,此額外的資訊會隨時變換並且只有使用者才知道。舉例來說,傳送到電子郵件的驗證碼、回答秘密問題或是掃描指紋都可算是MFA的一種。使用 AWS 中的MFA可以在系統密碼遭到盜用的情況下,可以預防未經授權的帳戶存取。
AWS 帳戶中的「根」使用者是什麼?
首次創建AWS帳戶時,會先有一登入身分可以完整存取帳戶中所有AWS服務與資源,此身分稱為AWS帳戶根使用者。
因上述的特性,AWS根使用者常常是駭客首要攻擊的目標,被竊取的根使用者可以被用來挖礦或是以刪除所有存在S3或RDS資料為由來勒索,所以為AWS根使用者設置MFA顯得非常重要!
如何在 AWS 啟動根使用者MFA?
可以隨著下方步驟來為AWS根使用者設置MFA。
1.在您的手機上安裝「虛擬驗證器應用程式」,詳細資訊可以參考 AWS IAM–多重要素驗證
2.接著使用根使用者 登入AWS,選擇Root user
3.登入後點選右上角的帳號,選擇Security credentials
4.在MFA區塊點選Assign MFA device
5.為MFA device命名
6.選擇Authenticator app後按Next
7.點選Show QR code
8.使用任一虛擬驗證器應用程式加入,下圖以Twilio Authy示範
9.使用Authy成功加入後畫面
10.回到步驟6的畫面,輸入2組MFA code後點選Assign MFA
11.可以開啟無痕視窗使用根使用者登入確認是否啟用MFA
如何在 AWS 啟動IAM使用者MFA?
因根使用者可以完整存取AWS帳戶中所有資源,建議依據任務型態給予不同權限給IAM使用者,像是專門管理IAM使用者只賦予此使用者可以管理IAM的權限。儘管IAM使用者權限有被限制,但IAM使用者還是可以使用AWS帳戶資源,為提升IAM使用者安全性也要啟用MFA。
可以隨著下方步驟來讓IAM使用者設置MFA。
1.首先以擁有IAMFullAccess權限IAM使用者創建可以開啟MFA的權限
選擇JSON格式創建
可以參考下方script創建自定義的啟用MFA權限,account-id換您的ID,完成後貼在Policy editor後按Next
{
“Version”: “2012-10-17”,
“Statement”: [
{
“Sid”: “VisualEditor0”,
“Effect”: “Allow”,
“Action”: [
“iam:DeactivateMFADevice”,
“iam:DeleteVirtualMFADevice”,
“iam:EnableMFADevice”,
“iam:ResyncMFADevice”,
“iam:UntagMFADevice”,
“iam:TagMFADevice”,
“iam:CreateVirtualMFADevice”,
“iam:ListMFADevices”,
“iam:ListMFADeviceTags”
],
“Resource”: [
“arn:aws:iam::account-id:user/*”,
“arn:aws:iam::account-id:mfa/*”,
“arn:aws:iam::account-id:sms-mfa/*”
]
},
{
“Sid”: “VisualEditor1”,
“Effect”: “Allow”,
“Action”: “iam:ListVirtualMFADevices”,
“Resource”: “*”
}
]
}
2.命名此權限 (紅色圈),說明可選填 (橘色圈),填完後點Create Policy
3.接下來創建群組,把權限attach到群組以方便日後的管理,依照下圖點選Create group
4.命名此群組 (紅色圈),可以在創建過程中加入使用者和權限或者是創建完成後再加 (橘色圈),之後點選Create group
5.之後就可以參考根使用者啟用 AWS MFA 的方式設定 (步驟2到11)
了解 AWS 強大安全防護功能,從MFA到更多防護選項
凡走過必留下痕跡,什麼是 AWS CloudTrail?
使用MFA提高帳戶的安全性外,我們還可以透過AWS CloudTrail來追蹤平時帳戶的使用狀況。
AWS CloudTrail提供監控並記錄AWS帳戶中活動的服務,它可以幫助您追蹤誰在您的帳戶中做了什麼,並識別任何異常活動。
安全準則,什麼是 AWS Config?
除了追蹤使用者在AWS帳戶內的活動外,也可以使用AWS Config協助您偵測AWS資源。
AWS Config提供您所使用的資源清單、資源組態歷史紀錄與組態變更通知,這些資訊可以提供您判斷AWS資源是否合規稽核或者故障診斷。
中央化管理,什麼是 AWS Security Hub?
AWS Security Hub提供一個標準化資料格式彙總AWS帳戶安全問題清單,整合AWS Config收集的資訊,可以讓您迅速了解目前資源是否符合規範,也可透過它搭配其他AWS服務使其自動化回應和修復問題。
想知道更多的讀者歡迎來信諮詢或觀看 AWS 亞馬遜雲端運算服務 介紹。
AWS 安全性指引
你知道要遵守哪些步驟才能符合 AWS 資訊安全最佳實踐呢?
