我們已經討論過了十大最優實踐中的大部分，所以在跳到AWS配置領域的一些最優實踐前，讓我們總結一下關于IAM的討論。這篇帖子將會總結關于控制個人的討論。對個人的控制利用了IAM服務，而IAM服務則是通過利用角色來簡化和創建一個更加安全的環境來實現。

但是首先，讓我簡單概括一下：

關閉根API訪問金鑰和密碼金鑰

在各處啟動MFA令牌

減少擁有Admin權限的IAM用戶數

為EC2使用各種角色

最低權限：限制IAM實體使用強有力/明確策略所能實現的功能

定期重置所有的密鑰

在可能的地方使用IAM角色和STS AssumeRole

使用AutoScaling抑制DDoS影響

除非你是認真的，否則不要在任何EC2/ELB安全組中允許0.0.0.0/0網站

觀察全局可讀/列表可列示的S3桶策略

在這一系列帖子的前面一些帖子中，我們講到了如何以及為什么你的EC2實例應該使用各種角色。它的前提是利用 AWS Security Token Service（安全令牌服務），使你的資源安全溝通和減輕管理負擔變得更輕松。你既能夠保證安全又能簡化管理的頻率是多少？雖然它們聽起來像相互矛盾的兩個方面，但是它們實際上是我們奮斗的目標。任何時候只要你能使用戶安全變得更簡單，你的方法就越可能得到采納。反之，如果你使安全變得太復雜，它可能實際上在實踐中會導致更加不安全。例如，如果你強迫所有用戶使用它們根本不可能記住的隨機產生的24位字符構成的密碼，又有多少用戶會將回歸到寫下密碼或者將它存儲在一個可能不符合安全規則的地方呢？當然，密碼本身可能看起來增強了安全性，但是實際上，它可能導致了壞習慣，降低了安全性。

今天，我們將要為EC2擴展角色，討論對IAM用戶使用各種角色。這同樣是為了使安全維護變得更安全，更簡單。在本示例中，我將使用 Evident.ioDemo AWS賬戶。Evident剛開始打算作為一個公司運行時，只有一個AWS賬戶，該賬戶被用來展示Evident Security Platform（ESP，Evident安全平臺）和它創建自定義驗證，安全檢查和集成的能力。兩個工程師使用一個賬戶，那確保完全安全會是很簡單的嗎？我們 關閉了根API訪問確保沒有秘密金鑰。然后，我們為兩個管理員 啟動了MFA令牌。 我們甚至為一些銷售人員 創建了擁有只讀權限和特定策略的IAM用戶，所以他們不會惹上麻煩。利用內置的ESP IAM Credential Rotation（ESP IAM證書重置）安全檢查，我們預先找到需要重置的密鑰。

現在，ESP被設計成一個企業平臺，支持客戶擁有成百上千甚至成千上萬個賬戶（有一篇博客是關于SEP平臺上職責劃分的）。為了擴展我們的演示，我們添加了一小部分AWS賬戶，到現在，訪問該演示賬戶的人數正在增加。我們可以像一開始做的那樣，瀏覽每一個AWS賬戶，創建新用戶，生成密碼，限制那個用戶的權限，但是那看起來像很多重復性的手工操作的步驟。更好的選擇是利用我們已創建和保護的用戶，只是使他們能夠訪問這些追加的賬戶。這聽起來相當簡單，實際上，它也是相當簡單的。

AWS提供快速的演練，幫助你開始授權 另一個賬戶中IAM用戶對AWS賬戶的訪問權限。現在，在很多情況下，你甚至可以擁有一個AWS主賬戶，該賬戶中沒有資源運行，只是用于管理控制和計費訪問。在我們的案例中，我們擴展了一個AWS賬戶，允許工程師和銷售人員在控制臺上通過輕點鼠標就可以對其他賬戶擁有相同的訪問權限。

如果你有不止一個AWS賬戶，你就值得花費時間去瀏覽AWS概括的步驟，深入了解利用IAM用戶和角色你可以實現的目標。