AWS 宣布在 AWS Identity and Access Management (IAM) 中推出了一项新功能,允许安全团队集中管理 AWS Organizations 中成员账户的 root 访问权限。此功能有助于消除长期 root 凭证,通过短期会话执行特权任务,并集中管理 root 访问权限,从而符合安全最佳实践。
大规模管理 root 用户凭证长期以来一直是许多组织面临的挑战。随着 AWS 环境的增长,手动管理这些凭证的方法变得繁琐且容易出错。例如,运营数百或数千个成员账户的大型企业很难在所有账户中一致地保护 root 访问权限。手动干预不仅增加了运营开销,还在账户配置方面造成了滞后,阻碍了全面自动化并增加了安全风险。
借助这项新功能,安全团队现在可以集中管理和保护 AWS Organizations 中所有账户的特权 root 凭证。root 凭证管理允许删除长期 root 凭证,防止凭证恢复,默认配置安全的账户,并帮助保持合规性。此外,root 会话还提供对成员账户的任务范围的短期 root 访问权限,从而消除了对长期 root 凭证的需求。
此功能如何解决问题的一个有趣示例是,安全团队能够在不需要长期 root 凭证的情况下解锁 Amazon S3 存储桶策略或 Amazon SQS 资源策略。此功能提供了一种维护长期 root 访问权限的安全替代方案,从而降低了潜在的安全风险。
简而言之,这项新功能使组织能够更安全、更高效、更合规地管理 root 访问权限。通过消除长期 root 凭证,通过短期会话执行特权任务以及集中管理 root 访问权限,组织可以改善其安全状况并简化其运营。