AWS 账户待办事项清单

创建新的 AWS 账户，就如同打开了一个全新的世界。你需要学习、测试并构建大量的生产环境相关内容。在这篇博客中，我将分享一些关于如何快速创建 AWS 账户的实用技巧。

1) 为根账户使用通讯组列表：创建新的 AWS 账户时，您应该为根账户电子邮件地址使用通讯组列表。如果您仅使用一个个人电子邮件地址作为 AWS 根账户地址，这可能既无用又危险。无用之处在于，当个人电子邮件地址的所有者离职时，您需要更改根账户电子邮件地址。危险之处在于，如果此人遭遇网络钓鱼攻击，可能会给 AWS 账户带来灾难性的后果。因此，您应该创建一个通讯组列表，仅添加必要的人员，并将其用作根账户电子邮件地址。2 ) 请启用多因素身份验证 (MFA)： MFA 需要除了登录凭证之外的第二个身份验证因素。MFA 是额外的安全层，可以保护您免受身份盗窃的侵害。您应该为 AWS 根账户和 IAM 用户启用 MFA。如果您尚未为根账户和 IAM 用户启用 MFA，AWS IAM 控制台会提供相应的建议。对于您的 AWS IAM 用户，您可以使用 IAM 策略强制使用 MFA，以阻止未使用 MFA 的用户。

3) 启用 AWS CloudTrail： AWS CloudTrail 是一项用于审计您的 AWS 账户的服务。这项服务可以帮助您回答以下三个问题：“发生了什么？”“是谁做的？”“这件事是什么时候发生的？” CloudTrail 中包含审计日志，记录了您 AWS 资源的所有事件。有时，这项服务可能会与 AWS CloudWatch 混淆，但它们的用途不同。AWS CloudWatch 侧重于应用程序，而 AWS CloudTrail 侧重于 AWS 环境和用户。 以下是我的一些 CloudTrail 使用技巧：

• 在所有已启用区域中配置 AWS CloudTrail。
• 启用日志文件完整性保护。
• 将日志存储在 AWS S3 存储桶中。实施最小权限访问控制。

4) 启用 AWS GuardDuty： GuardDuty 是一项针对您的 AWS 账户和工作负载的威胁检测和持续监控服务。它易于设置和使用。只需点击几下，即可启用并使用此威胁检测服务。GuardDuty 的检测结果易于修复，因为当您想要分析检测结果时，它会提供大量有用的详细信息。您可以尝试使用示例检测结果来更好地理解。此外，它还新增了许多功能。在 Enreforce:2022 大会上，AWS 宣布GuardDuty 恶意软件防护现已推出。

5) 使用 AWS IAM 切换角色：您拥有多个 AWS 账户，或者需要访问其他账户进行云安全审查。如何实现跨账户访问？答案很简单：使用切换角色。通过使用 IAM 角色，您无需为每个账户创建 IAM 用户（也无需记住所有密码）。您只需一个 IAM 用户即可切换到其他账户。此外，使用 IAM 角色还有诸多优势。IAM 角色凭证是临时的，并且会自动轮换（每 1 小时一次），因此您无需管理凭证。而且，从安全角度来看，即使凭证被攻击者获取，由于凭证是临时的，您也无需担心长期遭受攻击。

6) 使用 AWS CloudWatch 告警：在云环境中，接收通知至关重要。为了监控应用程序和安全，您应该启用 CloudWatch 告警，以便在发生任何事件时收到通知。以下是我正在使用的一些实用通知：

• 无需 MFA 即可登录控制台
• AWS Root 账户登录
• EC2 服务器 CPU 使用率超标
• AWS RDS 连接数
• AWS IAM 策略变更
• 账单警报金额分别为 10 美元、100 美元和 1000 美元

7) 将 AWS 账单权限委托给 IAM 用户：要访问账单详情，您需要使用 AWS 根账户凭证激活 IAM 访问权限。我认为这应该是创建 AWS 账户后的第二步。您不应该每次都使用根账户凭证登录来查看账单。要激活此功能，您可以按照以下步骤操作。

8) 始终将基础设施即代码 (IaC) 视为首要考虑因素：基础设施即代码在很多方面都能助您一臂之力。首先，它可以最大限度地降低创建新 AWS 资源时人为错误的风险。其次，当您开始使用 AWS CloudFormation 时，您会发现云开发效率显著提升。此外，它还有助于提高安全性。您只需为所有资源编写一次安全最佳实践代码，即可随时部署，而无需担心任何安全配置错误。因此，您应该始终将 IaC 放在首位。

9) 定期审查资源： AWS 账户中有很多团队成员在工作，每个人都会创建一些资源。因此，您需要定期审查 AWS 资源，以优化基础设施和成本。有时，一些 AWS S3 存储桶可能不再使用，一些 AWS EC2 服务器可能用于测试，还有一些 AWS RDS 服务每月费用可能很高。使用一些实用工具进行每周或每月的审查将大有裨益。

10) 将日志集中存储在不同的 AWS 账户中：
AWS 中存在大量日志，例如 CloudWatch、CloudTrail 和 AWS ELB 访问日志，所有这些日志对您都至关重要。为了更好地管理它们，您需要将日志集中存储在不同的 AWS 账户中。这是 AWS 的最佳实践，可以节省您的时间和精力，并保障您的安全。从时间角度来看，当您遇到问题需要分析日志时，您需要找到它们的存储位置，例如哪个 AWS 存储桶，哪个存储桶的日志最早等等。如果将日志存储在不同的 AWS 账户中，这个过程就会变得非常简单。从安全角度来看，如果发生任何云安全事件，您的日志存储在另一个 AWS 账户中，黑客就无法删除他们的踪迹，因为您可以保留所有日志。

感谢阅读！☁️