Как определить, что у пользователя AWS / arn нет прав консоли / администратора

Question

У нас есть несколько «ботов» на AWS - нам не требуется MFA для этих ботов - но мы уверены, что, черт возьми, они не хотят, чтобы у них был высокоуровневый доступ к AWS. Я считаю, что есть какое-то разрешение, чтобы дать пользователям доступ к веб-сайту / консоли. Мой вопрос: на вашем месте, какие разрешения вы бы проверили, чтобы убедиться, что наши боты, которые не обязаны иметь MFA, не получают привилегий доступа выше своего уровня оплаты?

Например, один из наших пользователей ботов имеет такую ​​политику:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "VisualEditor0",
            "Effect": "Allow",
            "Action": [
                "s3:ListAllMyBuckets",
                "s3:HeadBucket"
            ],
            "Resource": "*"
        },
        {
            "Sid": "VisualEditor1",
            "Effect": "Allow",
            "Action": "s3:*",
            "Resource": [
                "arn:aws:s3:::interos-oregon",
                "arn:aws:s3:::*/*"
            ]
        }
    ]
}

Answer 1

Лучшая практика предоставления привилегий - принцип «наименьшего доступа». Пользователям, функциям и / или ботам следует разрешать принимать на себя только те роли, которые имеют минимальные разрешения, необходимые для выполнения их задачи.

В дополнение к этому вы должны регулярно просматривать роли, политики и доступ IAM, чтобы убедиться, что у пользователя, функций, ботов или чего-либо еще есть только необходимые разрешения.

Подробнее о лучших практиках IAM можно прочитать здесь .