AWS账号购买 AWS亚马逊云账号防盗指南
你有没有过这种时刻——凌晨三点,手机狂震,钉钉弹出一条告警:「检测到从尼日利亚拉各斯发起的S3批量删除操作」?你猛灌一口冷咖啡,手抖着登录AWS控制台,发现桶里三年的用户行为日志全没了,而账单上赫然多出$12,847.63的EC2突发实例费用……别急着删历史记录,这事儿真不是段子,上周我客户老张就干了这一出——他把根用户密码写在便签纸上,贴在显示器边框,还配了个可爱小熊贴纸。
别笑,这事真不遥远。AWS不是保险柜,是敞开式自助超市——货架(服务)琳琅满目,推车(权限)你自己选,但保安(你)要是蹲门口刷抖音,小偷(黑客、误操作、离职员工、甚至你家娃乱点鼠标)真能扛走整辆购物车。
先泼一盆冷水:AWS官方文档说「根用户应仅用于初始设置」,可现实中,83%的中型企业仍用根用户日常登录;MFA启用率不到41%;IAM策略里写着「"Effect": "Allow", "Action": "*", "Resource": "*"」的「宇宙超级管理员」账号,在某电商客户环境里居然有7个……这不是配置,这是在云上放烟花庆祝自己破产。
AWS账号购买 第一道门:根用户,锁进保险柜,钥匙埋后院
根用户不是你的主号,是你云上户口本上的「户主」——权力无限,责任无限,风险无限。它不该有密码,更不该有MFA绑定在手机上(万一手机丢了?)。正确姿势:创建根用户时,只做三件事——开启MFA(必须硬件令牌或Google Authenticator,别用短信!)、下载并离线存好两份密钥文件(一份存银行保险箱,一份刻在不锈钢片上挂老家衣柜顶)、然后——立刻!马上!永久禁用密码登录。对,就是删掉密码。以后所有操作,靠IAM用户+角色+联合身份。记住:根用户=考古文物,只该出现在年度安全审计PPT第一页,不该出现在你今天的浏览器标签页里。
第二道门:MFA,不是选修课,是呼吸权
有人说:「我IP白名单了,加MFA太麻烦。」朋友,IP白名单防不住你老婆用你电脑查快递,也防不住你VPN出口IP被黑产池污染。MFA是双因素认证,不是「多一道验证码」,而是「你有、且只有你有」的物理/生物凭证。推荐组合:Google Authenticator(免费、离线、抗钓鱼)+ YubiKey(硬件级,插USB即认证,连键盘记录器都抓不到)。曾有个客户坚持不用MFA,结果某天收到「您的AWS账户正在尝试登录」邮件,点开链接——那是钓鱼网站,他输完密码,黑客5分钟内创建了新IAM用户,开了1200台c5.4xlarge挖矿,三天烧掉$4万。MFA不是防君子,是让小偷觉得你家门锁比金库还烦。
第三道门:IAM,权限不是越大越好,是越小越稳
别信「给开发一个AdminAccess策略最省事」。省事=省命。正确姿势:遵循「最小权限原则」——他只需要改Lambda函数代码?那就只给lambda:UpdateFunctionCode + logs:CreateLogGroup;他要查RDS慢日志?只给rds:DescribeDBLogFiles + rds:DownloadDBLogFilePortion。用Permissions Cloud(免费在线工具)粘贴你的策略,它会红标出所有高危动作(如iam:CreateUser、s3:DeleteBucket)。更狠一招:启用IAM Access Analyzer,它会主动告诉你「这个S3桶策略允许全球匿名读取」、「那个Lambda执行角色能调用sts:AssumeRole到生产账号」——相当于请了个24小时巡逻的权限警察。
第四道门:监控,不是等出事才看,是让系统替你熬夜
CloudTrail不是摆设,是AWS的行车记录仪。务必开启「全局事件追踪」,把日志投递到独立账号的S3桶(别跟业务桶混一起!),再接上CloudWatch Events。举个真实例子:我们给一家教育公司配了规则——「当出现ConsoleLogin且sourceIPAddress非公司IP段,且MFAAuthenticated为false时,立即发企业微信+电话告警」。结果上线第三天,就抓到市场部实习生用同事账号试登录,没MFA,IP来自网吧……及时阻断,避免了后续的广告投放预算清零事故。顺带一提:启用AWS Config,它会每天扫描「哪些安全组开放了0.0.0.0/0的22端口」「哪些S3桶没开启服务器端加密」,生成PDF报告自动发你邮箱——比老板催KPI还准时。
第五道门:凭证,别当一次性筷子,要像牙刷一样定期换
AWS Access Key不是永久会员卡。开发同学常犯的错:把AK/SK硬编码在脚本里,Git提交还忘了.gitignore。正确姿势:开发机用AWS CLI配置文件+SSO登录;EC2用实例角色(Instance Profile);Lambda用执行角色;CI/CD流水线用OIDC联合身份(GitHub Actions原生支持)。至于必须用AK/SK的场景?上AWS Secrets Manager,设自动轮换(支持RDS、Redshift、自定义密钥),轮换周期设90天,过期前7天发Slack提醒。我们有个客户,密钥用了5年没换,直到某天GitHub泄露了旧仓库——黑客拿密钥扫遍全球AWS区域,找到了他测试环境里没关的Elasticsearch集群,塞了勒索病毒。
最后送你三条反常识铁律:
① 「我记性好」是最危险的密码管理法——写在便利贴、存在Excel、用微信文件传输助手,等于把家门钥匙挂在小区公告栏;
② 「我只用AWS,不碰其他云」不是优势,是靶心——攻击者专挑AWS大户下手,因为一次得手,等于接管整个IT命脉;
③ 「安全团队会管」是最大幻觉——DevOps时代,每个开发者都是安全守门员,就像每个司机都要系安全带,不能等交警来绑。
写这篇文章时,我刚帮一家创业公司做完账号加固:他们原来用根用户建了23个IAM用户,全绑AdminAccess,MFA为零,CloudTrail关着,密钥在GitLab私有仓库裸奔……现在,根用户密码已焚毁,MFA覆盖100%,最小权限策略跑在Terraform里自动部署,CloudTrail告警平均响应时间2分17秒。成本?零美元。时间?一个下午。效果?上个月AWS账单比去年同期降了31%,不是因为省钱,是因为没人敢乱开实例了——权限收得太紧,想违规都找不到按钮。
所以,别等被删库跑路才想起安全。现在,就放下手机,打开AWS控制台,花15分钟:禁用根用户密码、给主账号开MFA、删掉一个「AdministratorAccess」策略、把CloudTrail打开。做完这些,你不是完成了任务,是亲手给自家云上粮仓,焊上了一道带指纹锁、红外感应、远程报警的合金大门——门内,是安心睡觉的夜晚;门外,是黑客叹气转身的背影。
