作者:Mark Nunnikhoven
在介紹如何利用AWS身份和存取管理來保護資源的文章裡,Justin介紹了AWS身份存取管理(IAM)的基本知識。今天我們要來看看如何使用IAM來設定密碼策略和多因子身分認證。
密碼策略(Password Policies)
使用強密碼的重要性是眾所周知的。大多數組織都已經有了密碼策略。這種策略通常會定義複雜度(像是包含多少個數字、特殊字元和密碼長度等),以及變更週期(像是每九十天就必須變更密碼)。
有些策略會更進一步,對於不同的設備或角色有不同的要求。CSIS的前廿項控制裡的第12項 – 「控制管理權限的使用」裡介紹了密碼策略的強化。就是要確保具有管理存取權限的人使用複雜密碼,並且必須一年變更好幾次。
IAM目前提供了一連串的設定來強制執行密碼策略。你可以為你的AWS帳號設定密碼策略。這策略可以讓你定義密碼的複雜度,但並不能設定變更週期。
現在就開始使用密碼策略是很棒,但你需要手動要求使用者定期變更密碼,或是採取別的方法加強……或是雙管齊下!
多因子身份認證
AWS的多因子身份認證(MFA)正是我們用來加強密碼策略的方法。
那麼,到底什麼是MFA?就是使用一個以上的認證因子來驗證誰是使用者。有三個常見因子:你知道什麼東西(something you know)、你擁有什麼東西(something you have)和你的生物特徵(something you are)。
我們的使用者已經具備了一個因子,就是密碼(使用者知道的東西)。對於AWS,第二個因子是使用者擁有的東西。可能是硬體認證裝置(可向AWS購買)或用軟體認證裝置,安裝在智慧型手機或其他設備上。
這些認證裝置會顯示隨機生成的數字,必須在使用者輸入自己的帳號和密碼登錄AWS管理控制台時輸入。這數字每隔幾秒鐘就會變化一次,以確保使用者在登錄時有認證裝置在身上。
現在想要認證成功,就必須輸入正確的帳號密碼,加上由正確認證裝置在使用者登錄當下所產生的數字。
