sola247/iam-least-privilege-project

# AWS IAM 最小权限访问控制项目 ## 概述 本项目演示了如何使用最小权限原则（PoLP）来实施 AWS Identity and Access Management (IAM)。 该解决方案旨在为用户提供仅执行其工作职责所需的权限，同时限制未经授权的管理操作。 ## 展示技能 * AWS Identity and Access Management (IAM) * 最小权限原则 (PoLP) * 基于角色的访问控制 (RBAC) * IAM 用户和组 * 自定义 IAM 策略 * 访问验证和安全测试 * 云安全最佳实践 ## 架构 ``` IAM Users ↓ IAM Groups ↓ IAM Policies ↓ AWS Resources ``` ## 环境配置 ### IAM 组 * IAM-LP-Admins * 完全管理访问权限 * IAM-LP-Developers * 有限的开发访问权限 * IAM-LP-Auditors * 只读监控和审计访问权限 ### IAM 用户 * iam-lp-admin-user * 分配至 IAM-LP-Admins * A-Sola-lp-developer-user * 分配至 IAM-LP-Developers * B-Sola-lp-auditor-user * 分配至 IAM-LP-Auditors ## 实施的安全控制 ### 管理员访问权限 * 完全的 IAM 管理 * 用户管理 * 组管理 * 策略管理 ### 开发者访问权限 * 访问已批准的 AWS 资源 * 限制 IAM 管理 * 拒绝未经授权的权限提升 ### 审计员访问权限 授予只读访问权限的资源包括： * Amazon CloudWatch * AWS IAM (只读) * AWS CloudTrail (只读) * Amazon S3 (只读) 明确拒绝的操作： * IAM 用户创建 * IAM 策略修改 * IAM 权限管理 ## 验证结果 验证测试 1 * 管理员用户成功管理 IAM 资源 * 结果：通过 验证测试 2 * 开发者访问已批准的资源 * 结果：通过 验证测试 3 * 开发者被拒绝执行未经授权的 IAM 操作 * 结果：通过 验证测试 4 * 审计员访问 CloudWatch 监控资源 * 结果：通过 验证测试 5 * 审计员被拒绝创建 IAM 用户 * 结果：通过 ## 项目截图 ### 1. 已创建的 IAM 组  ### 2. 审计员策略配置  ### 3. 管理员组分配  ### 4. 管理员用户创建  ### 5. 开发者资源访问验证  ### 6. 开发者 IAM 访问被拒绝  ### 7. 审计员 CloudWatch 只读访问  ### 8. 审计员用户创建被拒绝  ## 核心要点 * 使用 AWS IAM 实施了最小权限访问控制。 * 使用 IAM 组设计了基于角色的访问控制。 * 创建了与工作职责相符的自定义策略。 * 通过真实场景测试验证了权限。 * 演示了企业环境中常用的 AWS 安全最佳实践。 ## 使用的技术 * AWS IAM * Amazon EC2 * Amazon CloudWatch * AWS CloudTrail * Amazon S3 * AWS Management Console ## 状态 项目已完成 所有访问控制均已成功实施并验证。

标签：AWS IAM, Streamlit, 云安全治理, 基于角色的访问控制, 最小权限原则, 权限验证, 访问控制