AWS 管理员用户是否应该具有编程访问权限?
Should AWS Admin User have Programmitc Access?
我指的是创建的管理员用户 here。
为管理员用户创建访问密钥是否有意义?理论上,没有人应该使用 Admin 用户帐户,而是将他们的帐户添加到 Admin 组?还是这个 Admin 帐户类似于 sudo 帐户?
您的 AWS 管理员将需要访问该帐户,许多有经验的管理员更喜欢通过控制台使用 CLI;他们需要访问密钥才能以编程方式访问帐户的资源。这在技术上不是必需的,但可能是您的管理员的偏好。
管理员不同于 root 帐户访问权限。 Root 访问权限是您设置的第一个帐户,考虑到该帐户具有的独特权限(例如,您不能限制对 root 帐户的操作),您应该只真正使用 root 帐户创建您的第一个 IAM 用户,然后几乎所有应通过 IAM 用户对帐户执行操作。这就是说 root 账户不应该有访问密钥,也不应该用于日常账户活动,这些活动应该由 IAM 用户执行。
您应谨慎授予任何 IAM 用户 administrator 访问权限。管理员几乎可以对帐户执行所有操作。最佳做法是遵循最少访问策略,只授予绝对需要的权限。例如,如果用户是营销电子邮件管理员,您可能会认为您只想授予该用户对 SES、PinPoint 和 Quicksight 的完全访问权限,而不是对 DynamoDB 或 S3 或他们不需要访问的任何其他资源的访问权限以便执行它们的功能。
IAM 是一个广泛的主题,AWS 有许多免费资源可供您了解更多信息。您可以在 AWS 文档 here.
中了解有关根帐户和根帐户最佳实践的更多信息
我指的是创建的管理员用户 here。
为管理员用户创建访问密钥是否有意义?理论上,没有人应该使用 Admin 用户帐户,而是将他们的帐户添加到 Admin 组?还是这个 Admin 帐户类似于 sudo 帐户?
您的 AWS 管理员将需要访问该帐户,许多有经验的管理员更喜欢通过控制台使用 CLI;他们需要访问密钥才能以编程方式访问帐户的资源。这在技术上不是必需的,但可能是您的管理员的偏好。
管理员不同于 root 帐户访问权限。 Root 访问权限是您设置的第一个帐户,考虑到该帐户具有的独特权限(例如,您不能限制对 root 帐户的操作),您应该只真正使用 root 帐户创建您的第一个 IAM 用户,然后几乎所有应通过 IAM 用户对帐户执行操作。这就是说 root 账户不应该有访问密钥,也不应该用于日常账户活动,这些活动应该由 IAM 用户执行。
您应谨慎授予任何 IAM 用户 administrator 访问权限。管理员几乎可以对帐户执行所有操作。最佳做法是遵循最少访问策略,只授予绝对需要的权限。例如,如果用户是营销电子邮件管理员,您可能会认为您只想授予该用户对 SES、PinPoint 和 Quicksight 的完全访问权限,而不是对 DynamoDB 或 S3 或他们不需要访问的任何其他资源的访问权限以便执行它们的功能。
IAM 是一个广泛的主题,AWS 有许多免费资源可供您了解更多信息。您可以在 AWS 文档 here.
中了解有关根帐户和根帐户最佳实践的更多信息