AWS權限邊界是一項使用託管策略的進階功能,可讓您定義使用者或角色可以擁有的最大權限。這可確保即使管理員授予過多權限(透過策略或群組),權限邊界也會將有效權限限制為邊界明確允許的權限。可以使用AWS 託管策略或客戶託管策略來設定IAM 實體(使用者或角色)的邊界。此策略限制使用者或角色的最大權限。當使用策略為使用者設定權限邊界時,它會限制使用者的權限,但不會自行提供權限。
權限邊界如何運作
- 定義:權限邊界是附加到使用者或角色的IAM 策略。
- 評估:當使用者或角色嘗試執行操作時,AWS 會檢查:
- 基於身分的策略(例如附加到使用者或角色)
- 權限邊界(如果適用)
- 這些的交集決定了有效權限。
- 關鍵限制:權限邊界不會新增權限;它們僅限制權限。
例如:
- 用戶A 有一個允許
s3:*所有S3 儲存桶的策略。 - 權限邊界僅限
s3:*於儲存桶X。 X儘管有身份策略,用戶A 的有效權限仍受限於儲存桶。
基於資源的策略的權限邊界
基於資源的策略——控制指定主體如何存取策略所附加的資源。
在同一個帳戶內,向IAM 使用者ARN(不是聯合使用者會話)授予權限的基於資源的策略不受基於身分的策略或權限邊界中的隱式拒絕的限制。
組織SCP 的權限邊界
組織SCP – 應用於整個AWS 帳戶。它們限制帳戶內主體發出的每個請求的權限。 IAM 實體(使用者或角色)可以發出受SCP、權限邊界和基於身分的策略影響的請求。在這種情況下,只有當所有三種策略類型都允許時,才會允許該請求。有效權限是所有三種策略類型的交集。任何這些策略中的明確拒絕都會覆蓋允許。
會話策略的權限邊界
會話策略– 是您以程式設計方式為角色或聯合身分使用者建立臨時會話時作為參數傳遞的進階策略。會話的權限來自用於建立會話的IAM 實體(使用者或角色)以及會話策略。實體的基於身分的策略權限受會話策略和權限邊界的限制。此群組原則類型的有效權限是所有三種策略類型的交集。任何這些策略中的明確拒絕都會覆蓋允許。有關會話策略的更多信息,請參閱會話策略。
使用權限邊界的最佳實踐
- 執行委派管理的護欄:
- 使用權限邊界來限制IAM 使用者或管理員建立的角色的權限。例如,您可以允許使用者建立角色,但請確保他們建立的角色不能具有邊界指定範圍以外的權限。
- 隔離特權操作:
- 透過設定僅允許範圍內的權限的邊界來限制敏感操作,例如修改關鍵基礎設施。
- 在保持安全的同時實現自助服務:
- 允許團隊或開發人員自主管理他們的資源,但透過權限邊界限制他們的操作(例如,限制EC2 實例大小或在特定區域建立資源的能力)。
- 與SCP 和身分策略結合使用:
- 將權限邊界與AWS Organizations服務控制策略(SCP)相結合,為多帳戶環境提供額外的安全層。
- 審計和審查範圍:
- 定期審核權限邊界,以確保它們仍然符合組織需求和合規性要求。
何時使用權限邊界
- 存取管理的受控委託:
- 當您允許特定使用者或群組建立和管理IAM 角色或政策時,權限邊界可確保這些使用者無法授予超出邊界允許的權限。
- 第三方集成:
- 使用權限邊界來限制授予與您的AWS 環境整合的第三方工具或應用程式的權限。
- 臨時或基於專案的角色的權限範圍:
- 應用邊界來限制用於特定任務或專案的臨時角色的權限。
- 執行最小特權:
- 在加入新團隊或與外部合作者整合時,權限邊界有助於有效地執行最小特權原則。
- 限制大型分散團隊的權限:
- 在對AWS 資源進行分散管理的組織中,邊界可確保分散式團隊在預先定義的權限限制內運作。
常見用例
- 開發人員創建IAM 角色:
- 開發人員可以建立角色來支援他們的工作負載,但邊界會阻止他們附加具有過多權限的策略。
- AWS Organizations 中的多帳戶環境:
- 權限邊界補充SCP,以確保特定帳戶中的使用者無法超出其指派的權限。
- 限制對特定AWS 區域或服務的訪問:
- 出於合規原因,阻止使用者在不允許的區域中建立資源或執行操作。
- 控制自動化框架:
- 限制授予CI/CD 管道、自動化腳本或基礎設施即程式碼(IaC) 工具的權限範圍。
權限邊界策略為AWS中的權限管理提供了額外的安全層次,幫助組織實施更嚴格的權限控制。透過結合使用權限邊界與常規的IAM策略,企業能夠更精確地控制使用者和角色的存取範圍,從而降低安全風險,確保雲端環境中的操作符合預定的安全要求和合規標準。
