通过多因子认证（MFA）和IAM服务加强AWS账户安全

当用户在AWS上注册一个全球服务账户之后，注册的邮件地址就是用户在AWS的主账户名。用户可以通过它和注册时设置的密码登陆AWS管理控制台。由于AWS云平台上有用户的应用和数据，因此如何加强AWS账户的安全变得非常重要。下面介绍一些用于加强AWS账户安全的常见方法。

AWS主账户具有访问所有AWS服务和资源的权限，因此我们要尽可能保证它的安全性。一种推荐的方法是采用AWS提供的多因子认证（MFA，Multi-FactorAuthentication）。多因子认证是一种我们在许多网银应用中经常使用的一种提升安全的方法，它是在用户名/口令之外额外增加的一种认证措施，因此能够提升用户账户的安全性。如果对某个账户启用了AWS MFA，那么用户在输入该账户用户名和口令之后还需要输入由MFA设备生成的6位数字。这个6位数字可以是通过如下图所示由物理的gemalto设备生成，也可以一个虚拟的设备，也就是支持TOTP标准的应用程序，比如用户可以在智能手机上运行GoogleAuthenticator应用来生成对应数字串。

 

除了使用MFA来增强AWS账户安全外，另外一个建议是尽量不要使用AWS主账户，而通过IAM服务创建不同的用户来使用AWS服务。因为AWS主账户相当于Linux/Unix系统的Root用户，它具有所有AWS资源的访问权限，所以这个建议就像我们不建议使用Root账户登录Linux/Unix系统一样。由于这个AWS主账户的安全性非常重要，因此AWS从2014年4月21起将不在用户的账户管理页面内提供AWS主账户的密钥（Secret Key）查询服务（参考详情），也就是说用户只有在创建时得到这个密钥。当然，一般建议用户根本不要生成这个主账户的访问键（Access Key）和安全密钥。

 

 

通过IAM来管理用户可以极大提升用户管理的灵活度。首先，通过IAM可以根据“最低权限原则”按照实际需求给每个使用AWS的用户设定权限，而且这些用户权限随时可以进行调整。其次，通过IAM可以设置用户组和角色（Role）。前者可以帮助统一管理不同类别的用户，如开发人员、测试人员等，而后者可以简化访问权限的控制管理，比如当需要给应用赋权限的时候，可以通过给EC2实例赋适当的角色而不是直接在应用中添加访问凭证。最后，通过IAM可以实现身份联合（又称身份联邦），从而实现外部用户的身份认证，比如企业内的经AD或LADP认证用户，或流行的互联网账户如Google、Facebook和Amazon账号等。

通过多因子认证（MFA）和IAM服务可以大幅度提升用户账户的安全性和管理灵活性，也是广大用户在实际应用中的最佳实践经验，我们推荐用户都尽可能使用这些方法来管理账户安全。