在AWS Organizations中安全管理会员帐户的根用户访问

作者：Jonathan VanKim 和 Sowjanya Rajavaram，时间：2024年11月22日。

文章重点

主要重点

AWS Identity and Access Management (IAM) 现在支持在 AWS Organizations 中集中管理根用户访问。新功能允许去除不必要的根用户凭证，自动化先前需要根凭证的日常任务。两个主要功能为：根凭证管理和会员帐户中的特权根操作。建议在安全团队专用的会员帐户中配置管理，避免对管理帐户的多余访问。

引言

AWS Identity and Access Management (IAM) 现在支持在 AWS Organizations 中对会员帐户的根访问进行集中管理。这一功能让用户能够去除多余的根用户凭证，并自动化一些过去需要根用户凭证的例行任务，例如恢复访问 Amazon Simple Storage Service (Amazon S3) 桶和 Amazon Simple Queue Service (Amazon SQS) 队列中的策略。本文将展示如何集中管理根凭证并在组织内的会员帐户中执行这些任务。

集中根访问

这一新的IAM功能有两个主要特性：

根凭证管理：集中监控、移除和禁用作为AWS Organizations组织中长期存在的根凭证的恢复，从而防止意外的根访问并提升整个组织的帐户安全性。

注意：启用根凭证管理后，从AWS Organizations创建的新AWS帐户将不会设置根用户密码，也无法参加根用户密码恢复程序，直到你重新启用帐户恢复。

会员帐户中的特权根操作：提供中心化执行过去需要根用户凭证的常见特权任务的方式，支持用户在中心位置进行特权任务，如解锁配置错误的S3桶或SQS队列。根会话最多可持续15分钟，并且仅可授权执行会话意图的操作。

根会话只能从管理帐户或授权的管理员帐户启动。IAM主体需在管理帐户或授予的管理员帐户中拥有stsAssumeRoot权限以创建根会话。

启用集中根访问

要启用集中管理根访问，您必须使用具备Organizations管理权限的帐户登录。

通过控制台启用集中根访问

在 IAM 控制台中，从左侧导航菜单选择 Root access management。点击 Enable 以启用集中根访问。

飞鱼加速下载

在 中央根访问配置页面 上，默认选中 根凭证管理 和 会员帐户中的特权根操作 功能。

通过命令行启用集中根访问

您也可以从命令行启用集中根访问：

确保你已更新到最新的AWS CLI，以便使用新API。运行以下命令来启用该功能：

shellaws organizations enableawsserviceaccess serviceprincipal iamamazonawscom

使用以下命令将管理权限委派给专用的 Security 会员帐户：

shellaws organizations registerdelegatedadministrator serviceprincipal iamamazonawscom accountid ltMEMBERACCOUNTIDgt

接下来，启用根操作：

shellaws iam enableorganizationsrootsessionsaws iam enableorganizationsrootcredentialsmanagement

现在，集中根访问已启用并委派给专用的 Security 会员帐户。

根凭证管理

集中管理根凭证的功能允许用户在控制台页面查看其组织的帐户结构，并为每个AWS帐户显示根用户凭证状态。

删除或创建根用户控制台密码

在 Accounts 中选择一个帐户，然后点击 Take privileged action 按钮。选择 Delete root user credentials 或者 Allow password recovery针对不存在根凭证的AWS帐户。

特权根任务

启用特权根操作功能后，用户作为安全管理员将能够在控制台或CLI中执行特权任务，例如解锁会员帐户中的S3桶或SQS队列策略。

通过控制台执行特权根操作

从授权的管理员帐户进入 IAM 控制台，选择 Root access management。选择包含S3桶或SQS队列的帐户，然后选择 Take privileged action 按钮。

确认删除资源政策的意图后，点击 Delete bucket policy。

集中根访问的最佳实践

这一部分将指出集中根访问及使用临时根会话的安全考量。

限制根会话的使用者

只授权需要访问新根会话的管理员和自动化服务。在组织的管理和委派管理帐户中，仅授权有必要的人或自动化工具得以使用stsAssumeRoot权限。

提供紧急访问方案

紧急访问是指在特殊情况下获得访问的替代方法，以满足只有根访问可以执行的任务。

结论

本文介绍了如何启用和使用集中根访问的各种功能，并介绍了使用这一新功能的最佳实践。如果您想了解更多有关集中根访问和根用户最佳实践的信息，可以参考我们的 文档。

如果您有任何疑问，请联系 AWS支持。