AWS IAM 最小权限实战体系 — 从组策略到 OIDC 到 Permission Boundary
构建可扩展的权限管理体系:新人 5 分钟开通、权限变更可审计、零长期密钥
一、为什么 IAM 是安全第一道防线?
AWS 账号被攻破的 90% 原因:
- AK/SK 泄露到 GitHub(自动化扫描秒级发现)
- 过于宽泛的
*:*权限(一个 Key 能干一切) - 离职员工 Key 未回收(永久有效)
最小权限的本质:每个身份只能做它必须做的事,不多不少。
二、IAM 身份类型与适用场景
| 身份类型 | 适用场景 | 生命周期 |
|---|---|---|
| IAM User + Group | 人类登录控制台/CLI | 长期(需定期轮换 Key) |
| IAM Role (EC2/ECS) | 应用运行时权限 | 临时凭证(自动轮换) |
| OIDC Role | CI/CD 流水线(GitHub Actions) | 临时凭证(1 小时过期) |