IAM Best Practices

แนวทางปฏิบัติหลัก

• อย่าใช้ root account ยกเว้นเฉพาะตอนตั้งค่า AWS account
• ผู้ใช้จริง 1 คน = ผู้ใช้ AWS 1 คน
• มอบผู้ใช้ให้กลุ่ม และกำหนดสิทธิ์ให้กับกลุ่มแทน
• สร้างนโยบายรหัสผ่านที่แข็งแรง
• ใช้และบังคับใช้ Multi-Factor Authentication (MFA)
• สร้างและใช้ Roles เพื่อมอบสิทธิ์ให้ AWS services
• ใช้ Access Keys สำหรับการเข้าถึงแบบโปรแกรม (CLI / SDK)
• ตรวจสอบสิทธิ์บัญชีของคุณ โดยใช้ IAM Credentials Report และ IAM Access Advisor
• ไม่แชร์ IAM users และ Access Keys

รายละเอียดแนวทาง

1. Root account: ใช้เฉพาะตอนตั้งค่า AWS account เท่านั้น

   • ตอนนี้คุณควรมีสองบัญชี: root account และบัญชีผู้ใช้ส่วนตัวของคุณ

2. ผู้ใช้แต่ละคน: ให้ผู้ใช้ AWS 1 คนต่อผู้ใช้จริง 1 คน

   • หากเพื่อนต้องการใช้ AWS อย่าแชร์ข้อมูลประจำตัวของคุณ
   • ให้สร้างผู้ใช้ใหม่สำหรับพวกเขา

3. จัดการกลุ่มผู้ใช้:

   • มอบผู้ใช้ให้กลุ่มและกำหนดสิทธิ์ให้กลุ่มเพื่อจัดการความปลอดภัยในระดับกลุ่ม

4. รหัสผ่านที่แข็งแรง:

   • สร้างนโยบายรหัสผ่านที่ปลอดภัย

5. Multi-Factor Authentication (MFA):

   • ใช้และบังคับใช้ MFA เพื่อเพิ่มความปลอดภัยจากการโจมตี

6. IAM Roles:

   • ใช้ Roles เมื่อต้องให้สิทธิ์กับ AWS services เช่น EC2 instances

7. Access Keys:

   • ใช้สำหรับการเข้าถึง AWS แบบโปรแกรม (CLI / SDK)
   • เก็บ Access Keys ให้ปลอดภัย ไม่แชร์กับใคร

8. ตรวจสอบสิทธิ์:

   • ใช้ IAM Credentials Report และ IAM Access Advisor เพื่อตรวจสอบสิทธิ์ผู้ใช้

9. ห้ามแชร์ IAM users และ Access Keys:

   • สิ่งนี้สำคัญมากเพื่อป้องกันการเข้าถึงโดยไม่ได้รับอนุญาต

Key Takeaways

• หลีกเลี่ยงการใช้ root account นอกจากตอนตั้งค่า AWS
• สร้าง ผู้ใช้ AWS แยกสำหรับแต่ละคน
• จัดการความปลอดภัยโดยการมอบผู้ใช้ให้กลุ่มและกำหนดสิทธิ์ในระดับกลุ่ม
• บังคับใช้นโยบายรหัสผ่านที่แข็งแรงและใช้ MFA
• ใช้ Roles เมื่อต้องมอบสิทธิ์ให้บริการ AWS
• เก็บ Access Keys ไว้เป็นความลับและไม่แชร์ผู้ใช้หรือ Access Keys กับใคร