本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
安全性
您可以使用以下安全类别检查。
注意
如果您为启用了 Security Hub AWS 账户,则可以在 Trusted Advisor 控制台中查看您的发现。有关信息,请参阅在中查看 AWS Security Hub 控件 AWS Trusted Advisor。
您可以查看 AWS 基础安全最佳实践安全标准中的所有控件,但类别为 “恢复” > “弹性” 的控件除外。有关受支持控件的列表,请参阅《AWS Security Hub 用户指南》中的 AWS 基础安全最佳实践控件。
检查名称
- 应用程序负载均衡器安全组
- Amazon CloudWatch 日志组保留期
- 使用微软 SQL Server 的亚马逊 EC2 实例终止支持
- 使用微软 Windows Server 的亚马逊 EC2 实例终止支持
- 带有 Ubuntu LTS 的亚马逊 EC2实例已终止标准支持
- Amazon EFS 客户端未使用 data-in-transit加密
- Amazon EBS 公有快照
- 亚马逊 RDS Aurora 存储加密已关闭
- 需要升级 Amazon RDS 引擎次要版本
- Amazon RDS 公有快照
- Amazon RDS 安全组访问风险
- 亚马逊 RDS 存储加密已关闭
- Amazon Route 53 不匹配直接指向 S3 存储桶的 CNAME 记录
- Amazon Route 53 MX 资源记录集和发件人策略框架
- Amazon S3 存储桶权限
- 禁用 DNS 解析的 Amazon VPC 对等连接
- Application Load Balancer 目标组加密协议
- AWS Backup 没有基于资源的策略的保管库可防止删除恢复点
- AWS CloudTrail 正在记录
- AWS CloudTrail 管理事件日志
- AWS Lambda 使用已弃用运行时的函数
- AWS Well-Architected 安全方面的高风险问题
- CloudFrontIAM 证书存储区中的自定义 SSL 证书
- CloudFront 源服务器上的 SSL 证书
- ELB 侦听器安全
- Classic Load Balancer 安全组
- Exposed Access Keys
- IAM 访问密钥轮换
- IAM 访问分析器外部访问
- IAM 密码政策
- IAM SAML 2.0 身份提供商
- 根账户的 MFA
- root 用户访问密钥
- 安全组 – 不受限制的特定端口
- 安全组 – 不受限制的访问
应用程序负载均衡器安全组
- 描述
-
检查附加到 Application Load Balancer 及其亚马逊 EC2 目标的安全组。Application Load Balancer 安全组应仅允许在侦听器中配置的入站端口。目标的安全组不应在目标从负载均衡器接收流量的同一端口上接受来自互联网的直接连接。
如果安全组允许访问未为负载均衡器配置的端口或允许直接访问目标,则数据丢失或恶意攻击的风险就会增加。
此支票不包括以下群体:
与 IP 地址或 EC2 实例无关的目标组。
IPv6 流量安全组规则。
注意
此检查的结果将每天自动刷新多次,并且不允许刷新请求。更改可能需要几个小时才能显示。
对于企业、Enterprise On-Ramp 或 Enterprise Support 客户,您可以使用 BatchUpdateRecommendationResourceExclusionAPI 在 Trusted Advisor 结果中包含或排除一项或多项资源。
- 检查 ID
-
8604e947f2
- 提醒条件
-
-
红色:Target 有一个公有 IP 和一个安全组,允许从任何地方通过流量端口进行入站连接 (0.0.0.0/0)。
-
红色:Application Load Balancer 已启用身份验证,目标允许来自任何地方的流量端口上的入站连接 (0.0.0.0/0)。
-
黄色:Target 的安全组允许来自任何地方的流量端口上的入站连接 (0.0.0.0/0)。
-
黄色:Application Load Balancer 安全组允许在没有相应侦听器的端口上进行入站连接。
-
绿色:Application Load Balancer 安全组仅允许在与侦听器匹配的端口上进行入站连接。
-
- Recommended Action(建议的操作)
-
为了提高安全性,请确保您的安全组只允许必要的流量:
应用程序负载均衡器的安全组应仅允许其侦听器中配置的相同端口的入站连接。
对负载均衡器和目标使用专属安全组。
目标安全组应仅允许流量端口中与其关联的负载均衡器进行连接。
- 其他资源
- 报告列
-
-
状态
-
Region
-
目标组
-
ALB 名称
-
ALB SG ID
-
目标 SG ID
-
已启用身份验证
-
上次更新时间
-
Amazon CloudWatch 日志组保留期
- 描述
-
检查 Amazon CloudWatch 日志组保留期是否设置为 365 天或其他指定数字。
默认情况下,日志将无限期保留且永不过期。但是,您可以调整每个日志组的保留策略,使其符合特定期限的行业法规或法律要求。
您可以使用 AWS Config 规则中的和MinRetentionTime参数指定最短保留时间LogGroupNames和日志组名称。
注意
此检查的结果将每天自动刷新多次,并且不允许刷新请求。更改可能需要几个小时才能显示。
对于企业、Enterprise On-Ramp 或 Enterprise Support 客户,您可以使用 BatchUpdateRecommendationResourceExclusionAPI 在 Trusted Advisor 结果中包含或排除一项或多项资源。
- 检查 ID
-
c18d2gz186
- 来源
-
AWS Config Managed Rule: cw-loggroup-retention-period-check
- 提醒条件
-
黄色:Amazon CloudWatch 日志组的保留期少于所需的最小天数。
- Recommended Action(建议的操作)
-
为存储在 Amazon CloudWatch Logs 中的日志数据配置超过 365 天的保留期,以满足合规性要求。
有关更多信息,请参阅更改日志中的 CloudWatch 日志数据保留期。
- 其他资源
- 报告列
-
-
状态
-
Region
-
资源
-
AWS Config 规则
-
输入参数
-
上次更新时间
-
使用微软 SQL Server 的亚马逊 EC2 实例终止支持
- 描述
-
检查过去 24 小时内运行的亚马逊弹性计算云 (Amazon EC2) 实例的 SQL Server 版本。如果该版本的支持接近或已经终止,则此检查会提示您。每个 SQL Server 版本都提供 10 年的支持,包括 5 年主流支持和 5 年延伸支持。支持终止后,该 SQL Server 版本将不会收到定期的安全更新。使用不受支持的 SQL Server 版本运行应用程序可能会带来安全或合规风险。
注意
此检查的结果将每天自动刷新多次,并且不允许刷新请求。更改可能需要几个小时才能显示。
对于企业、Enterprise On-Ramp 或 Enterprise Support 客户,您可以使用 BatchUpdateRecommendationResourceExclusionAPI 在 Trusted Advisor 结果中包含或排除一项或多项资源。
- 检查 ID
-
Qsdfp3A4L3
- 提醒条件
-
-
红色: EC2 实例的 SQL Server 版本已达到支持期限。
-
黄色: EC2 实例的 SQL Server 版本将在 12 个月后终止支持。
-
- Recommended Action(建议的操作)
-
要实现 SQL Server 工作负载现代化,请考虑重构到 Amazon Aurora 等 AWS Cloud 原生数据库。有关更多信息,请参阅使用实现 Windows 工作负载现代化 AWS
。 要迁移到完全托管式数据库,请考虑更换平台到 Amazon Relational Database Service(Amazon RDS)。有关更多信息,请参阅 Amazon RDS for SQL Server
。 要在亚马逊上升级 SQL Server EC2,请考虑使用自动化运行手册来简化升级。有关更多信息,请参阅 AWS Systems Manager 文档。
如果你无法在亚马逊上升级 SQL Server EC2,可以考虑使用 Windows Server 的 End-of-Support迁移计划 (EMP)。有关更多信息,请参阅 EMP 网站
。 - 其他资源
- 报告列
-
-
状态
-
Region
-
实例 ID
-
SQL Server 版本
-
支持周期
-
停止支持
-
上次更新时间
-
使用微软 Windows Server 的亚马逊 EC2 实例终止支持
- 描述
-
如果该版本的支持接近或已经终止,则此检查会提示您。每个 Windows Server 版本都提供 10 年的支持。这包括 5 年主流支持和 5 年延长支持。支持终止到期后,该 Windows Server 版本将不会收到定期的安全更新信息。如果您使用不受支持的 Windows Server 版本运行应用程序,则这些应用程序的安全性或合规性将面临风险。
注意
此检查的结果将每天自动刷新多次,并且不允许刷新请求。更改可能需要几个小时才能显示。
对于企业、Enterprise On-Ramp 或 Enterprise Support 客户,您可以使用 BatchUpdateRecommendationResourceExclusionAPI 在 Trusted Advisor 结果中包含或排除一项或多项资源。
- 检查 ID
-
Qsdfp3A4L4
- 提醒条件
-
-
红色: EC2 实例的 Windows 服务器版本已达到支持期限(Windows Server 2003、2003 R2、2008 和 2008 R2)。
-
黄色: EC2 实例的 Windows 服务器版本将在不到 18 个月的时间内终止支持(Windows Server 2012 和 2012 R2)。
-
- Recommended Action(建议的操作)
-
要对 Windows 服务器工作负载进行现代化改造,请考虑使用现代化 Windows 工作负载
中的各种选项 AWS。 要升级 Windows Server 工作负载以在更新版本的 Windows Server 上运行,您可以使用自动化运行手册。有关更多信息,请参阅 AWS Systems Manager 文档。
请按照以下步骤操作:
-
升级 Windows 服务器版本
-
升级后硬停下来启动
-
如果使用 EC2 Config,请迁移到 EC2 Launch
-
- 报告列
-
-
状态
-
Region
-
实例 ID
-
Windows Server 版本
-
支持周期
-
停止支持
-
上次更新时间
-
带有 Ubuntu LTS 的亚马逊 EC2实例已终止标准支持
- 描述
-
如果版本接近或已达到标准支持的终止日期,此检查会提醒您。采取行动很重要——要么迁移到下一个LTS,要么升级到Ubuntu Pro。支持终止后,您的 18.04 LTS 计算机将不会收到任何安全更新。订阅 Ubuntu Pro 后,你的 Ubuntu 18.04 LTS 部署可以在 2028 年之前获得扩展安全维护 (ESM)。仍未修补的安全漏洞会使您的系统受到黑客攻击,并有可能出现重大漏洞。
注意
此检查的结果将每天自动刷新多次,并且不允许刷新请求。更改可能需要几个小时才能显示。
对于企业、Enterprise On-Ramp 或 Enterprise Support 客户,您可以使用 BatchUpdateRecommendationResourceExclusionAPI 在 Trusted Advisor 结果中包含或排除一项或多项资源。
- 检查 ID
-
c1dfprch15
- 提醒条件
-
红色:亚马逊 EC2实例的Ubuntu版本已达到标准支持的终点(Ubuntu 18.04 LTS、18.04.1 LTS、18.04.2 LTS、18.04.3 LTS、18.04.4 LTS、18.04.5 LTS、18.04.5 LTS和18.04.6 LTS)。
黄色:亚马逊 EC2实例的Ubuntu版本将在不到6个月的时间内结束标准支持(Ubuntu 20.04 LTS、20.04.1 LTS、20.04.2 LTS、20.04.3 LTS、20.04.4 LTS、20.04.4 LTS、20.04.5 LTS和20.04.6 LTS)。
绿色:所有 Amazon EC2 实例均合规。
- Recommended Action(建议的操作)
-
要将 Ubuntu 18.04 LTS 实例升级到支持的 LTS 版本,请按照本文中提到的步骤进行操作。
要将 Ubuntu 18.04 LTS 实例升级到 Ubuntu Pro ,请访问 AWS License Manager 控制台并按照用户指南中提到的步骤进行操作。AWS License Manager你也可以参阅 Ubuntu 博客,其中展示了将 Ubuntu 实例升级到 Ubuntu Pro 的分步演示。 - 其他资源
-
有关定价的信息,请联系支持
。 - 报告列
-
-
状态
-
Region
-
Ubuntu Lts 版本
-
Support 的预计终止日期
-
实例 ID
-
支持周期
-
上次更新时间
-
Amazon EFS 客户端未使用 data-in-transit加密
- 描述
-
检查 Amazon EFS 文件系统是否使用 data-in-transit加密方式挂载。 AWS 建议客户对所有数据流使用 data-in-transit加密,以保护数据免遭意外泄露或未经授权的访问。Amazon EFS 建议客户使用 “-o tls” 挂载设置,使用 Amazon EFS 挂载帮助程序使用 TLS v1.2 对传输中的数据进行加密。
- 检查 ID
-
c1dfpnchv1
- 提醒条件
-
黄色:您的 Amazon EFS 文件系统的一个或多个 NFS 客户端未使用提供 data-in-transit加密功能的推荐挂载设置。
绿色:您的 Amazon EFS 文件系统的所有 NFS 客户端都使用推荐的提供 data-in-transit加密功能的挂载设置。
- Recommended Action(建议的操作)
-
要利用 Amazon EFS 上的 data-in-transit加密功能,我们建议您使用 Amazon EFS 挂载帮助程序和推荐的挂载设置重新挂载文件系统。
注意
某些 Linux 发行版不包含默认支持 TLS 功能的 stunnel 版本。如果您使用的是不受支持的 Linux 发行版(请参阅 Amazon Elastic File System 用户指南中的支持的发行版),那么最佳做法是在使用推荐的挂载设置重新安装之前对其进行升级。
- 其他资源
- 报告列
-
-
状态
-
Region
-
EFS 文件系统 ID
-
AZs 使用未加密的连接
-
上次更新时间
-
Amazon EBS 公有快照
- 描述
-
检查您的 Amazon Elastic Block Store (Amazon EBS) 卷快照的权限设置,并在任何快照可供公开访问时提醒您。
将快照设为公开时,即授予所有 AWS 账户 用户访问快照中所有数据的权限。要仅与特定用户或账户共享快照,请将快照标记为私有。然后,指定要与之共享快照数据的用户或帐户。请注意,如果您在 “屏蔽所有共享” 模式下启用了 “阻止公共访问”,则您的公共快照将无法公开访问,也不会显示在此检查的结果中。
注意
此检查的结果将每天自动刷新多次,并且不允许刷新请求。更改可能需要几个小时才能显示。
- 检查 ID
-
ePs02jT06w
- 提醒条件
-
红色:EBS 卷快照可公开访问。
- Recommended Action(建议的操作)
-
除非您确定要与所有 AWS 账户 人和用户共享快照中的所有数据,否则请修改权限:将快照标记为私有,然后指定要向其授予权限的帐户。有关更多信息,请参阅共享 Amazon EBS 快照。使用 “阻止 EBS 快照的公共访问权限” 来控制允许公众访问您的数据的设置。无法将此支票排除在 Trusted Advisor 控制台的视图之外。
要直接修改快照的权限,请使用 AWS Systems Manager 控制台中的运行手册。有关更多信息,请参阅
AWSSupport-ModifyEBSSnapshotPermission
。 - 其他资源
- 报告列
-
-
状态
-
Region
-
卷 ID
-
快照 ID
-
描述
-
亚马逊 RDS Aurora 存储加密已关闭
- 描述
-
Amazon RDS 支持使用您在中管理的密钥对所有数据库引擎进行静态加密 AWS Key Management Service。在采用 Amazon RDS 加密的活动数据库实例上,静态存储在存储中的数据会加密,类似于自动备份、只读副本和快照。
如果在创建 Aurora 数据库集群时未开启加密,则必须将解密后的快照还原到加密的数据库集群。
注意
此检查的结果将每天自动刷新多次,并且不允许刷新请求。更改可能需要几个小时才能显示。
对于企业、Enterprise On-Ramp 或 Enterprise Support 客户,您可以使用 BatchUpdateRecommendationResourceExclusionAPI 在 Trusted Advisor 结果中包含或排除一项或多项资源。
注意
当数据库实例或数据库集群停止时,您可以在 Trusted Advisor 3 到 5 天内查看 Amazon RDS 建议。五天后,这些建议在中不可用 Trusted Advisor。要查看建议,请打开 Amazon RDS 控制台,然后选择推荐。
如果您删除数据库实例或数据库集群,则在 Amazon RDS 管理控制台中将不提供与这些实例 Trusted Advisor 或集群相关的建议。
- 检查 ID
-
c1qf5bt005
- 提醒条件
-
红色:亚马逊 RDS Aurora 资源未启用加密。
- Recommended Action(建议的操作)
-
为数据库集群开启静态数据加密。
- 其他资源
-
您可以在创建数据库实例时开启加密,也可以使用变通方法在活动数据库实例上开启加密。您无法将解密的数据库集群修改为加密的数据库集群。但是,您可以将解密的快照还原到加密的数据库集群。从解密的快照还原时,必须指定密钥。 AWS KMS
有关更多信息,请参阅加密 Amazon Aurora 资源。
- 报告列
-
-
状态
-
Region
-
资源
-
引擎名称
-
上次更新时间
-
需要升级 Amazon RDS 引擎次要版本
- 描述
-
您的数据库资源未运行最新次要数据库引擎版本。最新的次要版本包含最新的安全修复和其它改进。
注意
此检查的结果将每天自动刷新多次,并且不允许刷新请求。更改可能需要几个小时才能显示。
对于企业、Enterprise On-Ramp 或 Enterprise Support 客户,您可以使用 BatchUpdateRecommendationResourceExclusionAPI 在 Trusted Advisor 结果中包含或排除一项或多项资源。
注意
当数据库实例或数据库集群停止时,您可以在 Trusted Advisor 3 到 5 天内查看 Amazon RDS 建议。五天后,这些建议在中不可用 Trusted Advisor。要查看建议,请打开 Amazon RDS 控制台,然后选择推荐。
如果您删除数据库实例或数据库集群,则在 Amazon RDS 管理控制台中将不提供与这些实例 Trusted Advisor 或集群相关的建议。
- 检查 ID
-
c1qf5bt003
- 提醒条件
-
黄色:Amazon RDS 资源未运行最新的次要数据库引擎版本。
- Recommended Action(建议的操作)
-
升级到最新的引擎版本。
- 其他资源
-
我们建议您使用最新的数据库引擎次要版本来维护数据库,因为此版本包含最新的安全和功能修复。数据库引擎次要版本升级仅包含与数据库引擎相同主版本的早期次要版本向后兼容的更改。
有关更多信息,请参阅升级数据库实例引擎版本。
- 报告列
-
-
状态
-
Region
-
资源
-
引擎名称
-
当前引擎版本
-
建议值
-
上次更新时间
-
Amazon RDS 公有快照
- 描述
-
检查 Amazon Relational Database Service (Amazon RDS) 数据库快照的权限设置,并在任何快照被标记为公有时发出提醒。
将快照设为公开时,即授予所有 AWS 账户 用户访问快照中所有数据的权限。如果要仅与特定用户或账户共享快照,请将快照标记为私有。然后,指定要与之共享快照数据的用户或账户。
注意
此检查的结果将每天自动刷新多次,并且不允许刷新请求。更改可能需要几个小时才能显示。
- 检查 ID
-
rSs93HQwa1
- 提醒条件
-
红色:Amazon RDS 快照标记为公有。
- Recommended Action(建议的操作)
-
除非您确定要与所有 AWS 账户 人和用户共享快照中的所有数据,否则请修改权限:将快照标记为私有,然后指定要向其授予权限的帐户。有关更多信息,请参阅共享数据库快照或数据库集群快照。无法将此支票排除在 Trusted Advisor 控制台的视图之外。
要直接修改快照的权限,可以在 AWS Systems Manager 控制台中使用运行手册。有关更多信息,请参阅
AWSSupport-ModifyRDSSnapshotPermission
。 - 其他资源
- 报告列
-
-
状态
-
Region
-
数据库实例或集群 ID
-
快照 ID
-
Amazon RDS 安全组访问风险
- 描述
-
检查 Amazon Relational Database Service (Amazon RDS) 的安全组配置,并在安全组规则授予对您的数据库的过度权限时发出警告。安全组规则的推荐配置是仅允许从特定的亚马逊弹性计算云 (Amazon EC2) 安全组或特定 IP 地址进行访问。
注意
此检查仅评估附加到在 Amazon V PC 外部运行的 Amazon RDS 实例的安全组。
- 检查 ID
-
nNauJisYIT
- 提醒条件
-
-
黄色:数据库安全组规则引用的亚马逊 EC2 安全组允许对以下端口之一进行全局访问:20、21、22、1433、1434、3306、3389、4333、5432、5500。
-
红色:数据库安全组规则授予了全局访问权限(CIDR 规则后缀为 /0)。
-
绿色:数据库安全组不包含许可规则。
-
- Recommended Action(建议的操作)
-
EC2-Classic 已于 2022 年 8 月 15 日退役。建议将您的 Amazon RDS 实例移至 VPC 并使用亚马逊 EC2 安全组。有关将数据库实例移至 VPC 的更多信息,请参阅将不在 VPC 中的数据库实例移入 VPC。
如果您无法将 Amazon RDS 实例迁移到 VPC,请查看您的安全组规则并限制对授权的 IP 地址或 IP 范围的访问。要编辑安全组,请使用授权 DBSecurity GroupIngress API 或 AWS Management Console。有关更多信息,请参阅使用数据库安全组。
- 其他资源
- 报告列
-
-
状态
-
Region
-
RDS 安全组名称
-
入口规则
-
Reason
-
亚马逊 RDS 存储加密已关闭
- 描述
-
Amazon RDS 支持使用您在中管理的密钥对所有数据库引擎进行静态加密 AWS Key Management Service。在采用 Amazon RDS 加密的活动数据库实例上,静态存储在存储中的数据会加密,类似于自动备份、只读副本和快照。
如果在创建数据库实例时未开启加密,则必须先恢复已解密快照的加密副本,然后才能开启加密。
注意
此检查的结果将每天自动刷新多次,并且不允许刷新请求。更改可能需要几个小时才能显示。
对于企业、Enterprise On-Ramp 或 Enterprise Support 客户,您可以使用 BatchUpdateRecommendationResourceExclusionAPI 在 Trusted Advisor 结果中包含或排除一项或多项资源。
注意
当数据库实例或数据库集群停止时,您可以在 Trusted Advisor 3 到 5 天内查看 Amazon RDS 建议。五天后,这些建议在中不可用 Trusted Advisor。要查看建议,请打开 Amazon RDS 控制台,然后选择推荐。
如果您删除数据库实例或数据库集群,则在 Amazon RDS 管理控制台中将不提供与这些实例 Trusted Advisor 或集群相关的建议。
- 检查 ID
-
c1qf5bt006
- 提醒条件
-
红色:Amazon RDS 资源未启用加密。
- Recommended Action(建议的操作)
-
为您的数据库实例开启静态数据加密。
- 其他资源
-
只有在创建数据库实例时,您才能对数据库实例进行加密。要加密现有的活动数据库实例,请执行以下操作:
创建原始数据库实例的加密副本
-
创建数据库实例的快照。
-
为步骤 1 中创建的快照创建加密副本。
-
从加密快照还原数据库实例。
有关更多信息,请参阅以下资源:
-
- 报告列
-
-
状态
-
Region
-
资源
-
引擎名称
-
上次更新时间
-
Amazon Route 53 不匹配直接指向 S3 存储桶的 CNAME 记录
- 描述
-
使用直接指向 Amazon S3 存储桶主机名的别名记录检查 Amazon Route 53 托管区域,如果您的别名记录与您的 S3 存储桶名称不匹配,则会发出警报。
- 检查 ID
-
c1ng44jvbm
- 提醒条件
-
红色:Amazon Route 53 托管区域的别名记录表明 S3 存储桶主机名不匹配。
绿色:在您的 Amazon Route 53 托管区域中未找到不匹配的 CNAME 记录。
- Recommended Action(建议的操作)
-
将别名记录指向 S3 存储桶主机名时,必须确保您配置的任何别名记录或别名记录都存在匹配的存储桶。通过这样做,您可以避免CNAME记录被欺骗的风险。您还可以防止任何未经授权的 AWS 用户使用您的域名托管错误或恶意的网络内容。
为避免将别名记录直接指向 S3 存储桶主机名,请考虑使用源访问控制 (OAC) 通过 Amazon 访问您的 S3 存储桶网络资产。 CloudFront
有关将别名记录与 Amazon S3 存储桶主机名关联的更多信息,请参阅使用别名记录自定义 Amazon URLs S3。
- 其他资源
- 报告列
-
-
状态
-
托管区域 ID
-
托管区域 ARN
-
匹配 CNAME 记录
-
别名记录不匹配
-
上次更新时间
-
Amazon Route 53 MX 资源记录集和发件人策略框架
- 描述
-
对于每个 MX 记录,检查是否有包含有效 SPF 值的关联 TXT 记录。TXT 记录值必须以 “v=spf1” 开头。互联网工程任务组 (IETF) 已弃用 SPF 记录类型。对于 Route 53,最佳做法是使用 TXT 记录而不是 SPF 记录。 Trusted Advisor 当 MX 记录至少有一条具有有效 SPF 值的关联 TXT 记录时,会将此检查报告为绿色。
- 检查 ID
-
c9D319e7sG
- 提醒条件
-
-
绿色:MX 资源记录集具有包含有效 SPF 值的 TXT 资源记录。
-
黄色:MX 资源记录集具有包含有效的 SPF 值的 TXT 或 SPF 资源记录。
-
红色:MX 资源记录集没有包含有效 SPF 值的 TXT 或 SPF 资源记录。
-
- Recommended Action(建议的操作)
-
对于每个 MX 资源记录集,创建包含有效 SPF 值的 TXT 资源记录集。有关更多信息,请参阅发件人策略框架:SPF 记录语法
和使用 Amazon Route 53 控制台创建资源记录集。 - 其他资源
- 报告列
-
-
托管区域名称
-
托管区域 ID
-
资源记录集名称
-
状态
-
Amazon S3 存储桶权限
- 描述
-
检查 Amazon Simple Storage Service (Amazon S3) 中具有开放访问权限或允许任何经过身份验证的用户访问的存储桶。 AWS
此检查将检查显式存储桶权限以及可能覆盖这些权限的存储桶策略。建议不要向 Amazon S3 存储桶的所有用户授予列表访问权限。这些权限可能导致非预期的用户频繁地列出存储桶中的对象,从而导致费用高于预期。向每个人授予上载和删除访问权限的权限可能会导致存储桶中出现安全漏洞。
- 检查 ID
-
Pfx0RwqBli
- 提醒条件
-
-
黄色:对于所有人或任何经过身份验证的 AWS 用户,桶 ACL 允许“列出”访问权限。
-
黄色:存储桶策略允许任何种类的开放访问。
-
黄色:存储桶策略具有授予公有访问权限的语句。Block public and cross-account access to buckets that have public policies(阻止对具有公有策略的存储桶进行公有和跨账户存取)设置已打开,并且已限制为只有在删除公有语句之后,才允许该账户的授权用户访问。
-
黄色: Trusted Advisor 无权查看政策,或者由于其他原因无法评估策略。
-
红色:对于所有人或任何经过身份验证的 AWS 用户,桶 ACL 允许“上传”和“删除”访问权限。
-
绿色:根据 ACL 和/或存储桶策略,所有 Amazon S3 均合规。
-
- Recommended Action(建议的操作)
-
如果存储桶允许开放访问,请确定是否确实需要开放访问。例如,要托管静态网站,您可以使用 Amazon CloudFront 来提供托管在 Amazon S3 上的内容。请参阅《亚马逊 CloudFront 开发者指南》中的限制对 Amazon S3 来源的访问权限。如果可能,请更新存储桶权限以限制所有者或特定用户的访问权限。使用“Amazon S3 阻止公有访问”来控制允许对您的数据进行公有访问的设置。请参阅设置存储桶和对象访问权限。
- 其他资源
- 报告列
-
-
状态
-
区域名称
-
区域 API 参数
-
存储桶名称
-
ACL 允许列表
-
ACL 允许上载/删除
-
策略允许访问
-
禁用 DNS 解析的 Amazon VPC 对等连接
- 描述
-
检查您的 VPC 对等连接是否为接受者和请求者都开启了 DNS 解析。 VPCs
VPC 对等连接的 DNS 解析允许从您的 VPC 查询时将公有 DNS 主机名解析为私有 IPv4 地址。这允许使用 DNS 名称在对等互连资源之间进行通信。 VPCsVPC 对等连接中的 DNS 解析使应用程序开发和管理更简单,更不容易出错,同时还可确保资源始终通过 VPC 对等连接进行私密通信。
您可以使用规则中的 vPC IDs ID 参数指定 VPC。 AWS Config
有关更多信息,请参阅实现对 VPC 对等连接的 DNS 解析。
注意
此检查的结果将每天自动刷新多次,并且不允许刷新请求。更改可能需要几个小时才能显示。
对于企业、Enterprise On-Ramp 或 Enterprise Support 客户,您可以使用 BatchUpdateRecommendationResourceExclusionAPI 在 Trusted Advisor 结果中包含或排除一项或多项资源。
- 检查 ID
-
c18d2gz124
- 来源
-
AWS Config Managed Rule: vpc-peering-dns-resolution-check
- 提醒条件
-
黄色:VPC 对等连接 VPCs 中的接受者和请求者均未启用 DNS 解析。
- Recommended Action(建议的操作)
-
为您的 VPC 对等连接开启 DNS 解析。
- 其他资源
- 报告列
-
-
状态
-
Region
-
资源
-
AWS Config 规则
-
输入参数
-
上次更新时间
-
Application Load Balancer 目标组加密协议
- 描述
-
检查 Application Load Balancer (ALB) 目标组是否使用 HTTPS 协议加密后端目标类型的实例或 IP 传输中的通信。ALB 和后端目标之间的 HTTPS 请求有助于维护传输中数据的数据机密性。
- 检查 ID
-
c2vlfg0p1w
- 提醒条件
-
-
黄色:使用 HTTP 的 Application Load Balancer 目标组。
-
绿色:Application Load Balancer 目标组使用 HTTPS。
-
- Recommended Action(建议的操作)
-
将实例或 IP 的后端目标类型配置为支持 HTTPS 访问,并将目标组更改为使用 HTTPS 协议来加密 ALB 与后端目标类型的实例或 IP 之间的通信。
- 其他资源
- 报告列
-
-
状态
-
Region
-
ALB Arn
-
ALB 名称
-
ALB VPC ID
-
目标群体 Arn
-
目标组名称
-
目标组协议
-
上次更新时间
-
AWS Backup 没有基于资源的策略的保管库可防止删除恢复点
- 描述
-
检查 AWS Backup 文件库是否附加了防止删除恢复点的基于资源的策略。
资源型策略可防止意外删除恢复点,这使您能够以最低权限对备份数据实施访问控制。
你可以在规则 AWS Identity and Access Management ARNs 的principalArnList参数中指定你不想让 AWS Config 规则检查的。
注意
此检查的结果将每天自动刷新多次,并且不允许刷新请求。更改可能需要几个小时才能显示。
对于企业、Enterprise On-Ramp 或 Enterprise Support 客户,您可以使用 BatchUpdateRecommendationResourceExclusionAPI 在 Trusted Advisor 结果中包含或排除一项或多项资源。
- 检查 ID
-
c18d2gz152
- 来源
-
AWS Config Managed Rule: backup-recovery-point-manual-deletion-disabled
- 提醒条件
-
黄色:有些 AWS Backup 文件库没有基于资源的策略来防止删除恢复点。
- Recommended Action(建议的操作)
-
为您的 AWS Backup 文件库创建基于资源的策略,以防止恢复点意外删除。
该策略必须包含带有 backup: DeleteRecoveryPoint、backup: 和 backup: UpdateRecoveryPointLifecycle PutBackupVaultAccessPolicy 权限的 “拒绝” 语句。
有关更多信息,请参阅设置备份保管库访问策略。
- 报告列
-
-
状态
-
Region
-
资源
-
AWS Config 规则
-
输入参数
-
上次更新时间
-
AWS CloudTrail 正在记录
- 描述
-
检查您对的使用情况 AWS CloudTrail。 CloudTrail AWS 账户 通过记录有关在账户上进行的 AWS API 调用的信息,提高对您的活动的可见性。例如,您可以使用这些日志来确定特定用户在指定时间段内执行了哪些操作,或者哪些用户在指定时间段内对特定资源采取操作。
由于将日志文件 CloudTrail 传送到亚马逊简单存储服务 (Amazon S3) Service 存储桶 CloudTrail ,因此必须拥有该存储桶的写入权限。如果跟踪应用于所有区域(创建新跟踪时的默认设置),跟踪会多次出现在 Trusted Advisor 报告中。
- 检查 ID
-
vjafUGJ9H0
- 提醒条件
-
-
黄色: CloudTrail 报告跟踪的日志传输错误。
-
红色:尚未为某区域创建跟踪,或已针对某跟踪关闭日志记录。
-
- Recommended Action(建议的操作)
-
要通过控制台创建跟踪并启动日志记录,请转到 AWS CloudTrail 控制台
。 要启动日志记录,请参阅停止和启动跟踪的日志记录。
如果收到日志传输错误,请确保相应存储桶存在,并且已向存储桶附加必要的策略。请参阅 Amazon S3 存储桶策略。
- 其他资源
- 报告列
-
-
状态
-
Region
-
跟踪名称
-
日志记录状态
-
存储桶名称
-
上次交付日期
-
AWS CloudTrail 管理事件日志
- 描述
-
检查您对的使用情况 AWS CloudTrail。 CloudTrail 提高了您中活动的可见性 AWS 账户。它通过记录有关在账户上进行的 AWS API 调用的信息来实现此目的。例如,您可以使用这些日志来确定特定用户在指定时间段内执行了哪些操作,或者哪些用户在指定时间段内对特定资源采取操作。
由于将日志文件 CloudTrail 传送到亚马逊简单存储服务 (Amazon S3) Service 存储桶 CloudTrail ,因此必须拥有该存储桶的写入权限。如果跟踪应用于全部 AWS 区域 (创建新跟踪时的默认设置),则该跟踪将在 Trusted Advisor 报告中多次出现。
注意
此检查的结果将每天自动刷新多次,并且不允许刷新请求。更改可能需要几个小时才能显示。
对于企业、Enterprise On-Ramp 或 Enterprise Support 客户,您可以使用 BatchUpdateRecommendationResourceExclusionAPI 在 Trusted Advisor 结果中包含或排除一项或多项资源。
- 检查 ID
-
c25hn9x03v
- 提醒条件
-
-
红色:未为任何跟踪创建任何跟踪 AWS 区域,或者未为任何跟踪启用日志记录。
-
黄色:已启 CloudTrail 用,但所有跟踪都会报告日志传输错误。
-
绿色: CloudTrail 已启用,未报告任何日志传送错误。
-
- Recommended Action(建议的操作)
-
要创建跟踪并从控制台开始记录,请打开AWS CloudTrail 控制台
。 要启动日志记录,请参阅停止和启动跟踪的日志记录。
如果您收到日志传输错误,请确保存储桶存在且存储桶已附加必要的策略。请参阅 Amazon S3 存储桶策略。
- 其他资源
- 报告列
-
-
状态
-
Region
-
已启用日志记录
-
已报告配送错误
-
上次更新时间
-
AWS Lambda 使用已弃用运行时的函数
- 描述
-
检查 Lambda 函数的 $LATEST 版本配置为使用即将弃用或已弃用的运行时。已弃用的运行时没有资格获得安全更新或技术支持
注意
此检查的结果将每天自动刷新多次,并且不允许刷新请求。更改可能需要几个小时才能显示。
对于企业、Enterprise On-Ramp 或 Enterprise Support 客户,您可以使用 BatchUpdateRecommendationResourceExclusionAPI 在 Trusted Advisor 结果中包含或排除一项或多项资源。
已发布的 Lambda 函数版本不可改变,这意味着这些版本可以叫用,但不能更新。只有 Lambda 函数的
$LATEST
版本才能更新。有关更多信息,请参阅 Lambda 函数版本。 - 检查 ID
-
L4dfs2Q4C5
- 提醒条件
-
-
红色:函数的 $LATEST 版本配置为使用已弃用的运行时。
-
黄色:该函数的 $LATEST 版本正在运行时运行,该运行时将在 180 天内弃用。
-
- Recommended Action(建议的操作)
-
如果您的函数正在接近弃用的运行时运行,您应准备好迁移到受支持的运行时。有关更多信息,请参阅运行时支持策略。
我们建议您删除不再使用的较早的函数版本。
- 其他资源
- 报告列
-
-
状态
-
Region
-
函数 ARN
-
运行时
-
弃用的天数
-
弃用日期
-
平均每日调用次数
-
上次更新时间
-
AWS
Well-Architected 安全方面的高风险问题
- 描述
-
在安全支柱中检查您的工作负载是否存在高风险问题 (HRIs)。这张支票是根据你的 AWS-Well Architected 评论。您的检查结果取决于您是否完成了工作负载评估 AWS Well-Architected.
注意
此检查的结果将每天自动刷新多次,并且不允许刷新请求。更改可能需要几个小时才能显示。
对于企业、Enterprise On-Ramp 或 Enterprise Support 客户,您可以使用 BatchUpdateRecommendationResourceExclusionAPI 在 Trusted Advisor 结果中包含或排除一项或多项资源。
- 检查 ID
-
Wxdfp4B1L3
- 提醒条件
-
-
红色:在Well-Architect AWS ed的安全支柱中至少发现了一个活跃的高风险问题。
-
绿色:在 Well-Architecte AWS d 的安全支柱中未检测到活跃的高风险问题。
-
- Recommended Action(建议的操作)
-
AWS Well-Architected 在评估工作负载时检测到了高风险问题。这些问题为降低风险和节省资金提供了机会。登录 AWS Well-Architected
工具以查看您的答案并采取措施解决活跃的问题。 - 报告列
-
-
状态
-
Region
-
工作负载 ARN
-
工作负载名称
-
审核人姓名
-
工作负载类型
-
工作负载开始日期
-
工作负载上次修改日期
-
已识别 HRIs 为安全人员的人数
-
HRIs 已解决安全问题的数量
-
安全问题数量
-
安全支柱中的问题总数
-
上次更新时间
-
CloudFrontIAM 证书存储区中的自定义 SSL 证书
- 描述
-
在 IAM 证书存储区中检查 SSL 证书中是否有 CloudFront 备用域名。如果证书已过期、即将过期、使用过时的加密或未针对分发正确配置,则此检查会提醒您。
当备用域名的自定义证书到期时,显示您的 CloudFront 内容的浏览器可能会显示一条有关您网站安全的警告消息。大多数网络浏览器(例如 Chrome 和 Firefox)都已弃用使用 SHA-1 哈希算法加密的证书。
证书必须包含与查看器请求的主机标头中的源域名或域名匹配的域名。如果不匹配,则向用户 CloudFront 返回 502(网关错误)的 HTTP 状态码。有关更多信息,请参阅使用备用域名和 HTTPS。
- 检查 ID
-
N425c450f2
- 提醒条件
-
-
红色:自定义 SSL 证书已过期。
-
黄色:自定义 SSL 证书将在七天后过期。
-
黄色:自定义 SSL 证书是使用 SHA-1 哈希算法加密的。
-
黄色:分配中的一个或多个备用域名未出现在自定义 SSL 证书的 Common Name(常用名称)或 Subject Alternative Names(主题备用名称)字段中。
-
- Recommended Action(建议的操作)
-
我们建议使用 AWS Certificate Manager 来预置、管理和部署您的服务器证书。使用 ACM,您可以申请新证书或将现有 ACM 或外部证书部署到 AWS 资源。ACM 提供的证书是免费的,可以自动续订。有关使用 ACM 的更多信息,请参阅 AWS Certificate Manager 用户指南。要查看 ACM 支持的区域,请参阅中的AWS Certificate Manager 终端节点和配额。 AWS 一般参考
续订已过期的证书或即将过期的证书。有关续订证书的更多信息,请参阅在 IAM 中管理服务器证书。
将使用 SHA-1 哈希算法加密的证书替换为使用 SHA-256 哈希算法加密的证书。
将证书替换为在 Common Name(常用名称)或 Subject Alternative Domain Names(主题备用域名)字段中包含适用值的证书。
- 其他资源
- 报告列
-
-
状态
-
分配 ID
-
分配域名
-
证书名称
-
Reason
-
CloudFront 源服务器上的 SSL 证书
- 描述
-
检查源服务器是否存在已过期、即将过期、丢失或使用过时加密的 SSL 证书。如果证书存在其中一个问题,则使用 HTTP 状态代码 502,Bad Gateway 来 CloudFront 响应您对内容的请求。
使用 SHA-1 哈希算法加密的证书已被 Chrome 和 Firefox 等 Web 浏览器弃用。根据您与 CloudFront分配关联的 SSL 证书的数量,例如,如果您使用亚马逊 EC2 或 Elastic Load Balancing 作为分 CloudFront 发来源, AWS 则此支票可能会使您每月向虚拟主机提供商的账单增加几美分。此检查不会验证您的源证书链或证书颁发机构。你可以在你的 CloudFront 配置中检查这些。
- 检查 ID
-
N430c450f2
- 提醒条件
-
-
红色:源服务器上的 SSL 证书已过期或缺失。
-
黄色:源服务器上的 SSL 证书将在 30 天后过期。
-
黄色:源服务器上的 SSL 证书是使用 SHA-1 哈希算法加密的。
-
黄色:无法找到源服务器上的 SSL 证书。连接失败,可能是因为超时或其他 HTTPS 连接问题。
-
- Recommended Action(建议的操作)
-
续订源服务器上已过期或即将过期的证书。
如果证书不存在,请添加证书。
将使用 SHA-1 哈希算法加密的证书替换为使用 SHA-256 哈希算法加密的证书。
- 其他资源
- 报告列
-
-
状态
-
分配 ID
-
分配域名
-
Origin
-
Reason
-
ELB 侦听器安全
- 描述
-
检查带有侦听器的经典负载均衡器,这些负载均衡器不使用推荐的安全配置进行加密通信。 AWS 建议您使用安全协议(HTTPS 或 SSL)、 up-to-date安全策略以及安全的密码和协议。当您使用安全协议进行前端连接(客户端到负载均衡器)时,您的客户端和负载均衡器之间的请求会被加密。这创造了一个更安全的环境。Elastic Load Balancing 提供预定义的安全策略,其密码和协议符合 AWS 安全最佳实践。新配置可用时,会发布预定义策略的新版本。
- 检查 ID
-
a2sEc6ILx
- 提醒条件
-
-
红色:负载均衡器没有配置安全协议 (HTTPS) 的侦听器。
-
黄色:负载均衡器 HTTPS 侦听器配置了包含弱密码的安全策略。
-
黄色:负载均衡器 HTTPS 侦听器未配置推荐的安全策略。
-
绿色:负载均衡器至少有一个 HTTPS 侦听器,并且所有 HTTPS 侦听器都配置了推荐的策略。
-
- Recommended Action(建议的操作)
-
如果传输到负载均衡器的流量必须安全无虞,请使用 HTTPS 或 SSL 协议进行前端连接。
将负载均衡器的预定义 SSL 安全策略升级到最新版本。
只使用推荐的密码和协议。
有关更多信息,请参阅 Elastic Load Balancing 的侦听器配置。
- 其他资源
- 报告列
-
-
状态
-
Region
-
负载均衡器名称
-
负载均衡器端口
-
Reason
-
Classic Load Balancer 安全组
- 描述
-
检查是否配置了安全组的负载均衡器,该安全组允许访问未为负载均衡器配置的端口。
如果安全组允许访问未针对负载均衡器配置的端口,则数据丢失或恶意攻击的风险会增加。
- 检查 ID
-
xSqX82fQu
- 提醒条件
-
-
黄色:与负载均衡器关联的 Amazon VPC 安全组的入站规则允许访问未在负载均衡器的侦听器配置中定义的端口。
-
绿色:与负载均衡器关联的 Amazon VPC 安全组的入站规则不允许访问负载均衡器侦听器配置中未定义的端口。
-
- Recommended Action(建议的操作)
-
配置安全组规则,以将访问限制在负载均衡器侦听器配置中定义的端口和协议,以及用于支持路径 MTU 发现的 ICMP 协议。请参阅经典负载均衡器的侦听器和 VPC 中的负载均衡器的安全组。
如果安全组缺失,请将新安全组应用到负载均衡器。创建安全组规则,将访问限制在负载均衡器侦听器配置中定义的端口和协议。请参阅 VPC 中的负载均衡器的安全组。
- 其他资源
- 报告列
-
-
状态
-
Region
-
负载均衡器名称
-
安全组 IDs
-
Reason
-
Exposed Access Keys
- 描述
-
检查常用代码存储库中是否存在已向公众公开的访问密钥以及可能由于访问密钥泄露而导致的 Amazon Elastic Compute Cloud (Amazon EC2) 的不规则使用情况。
访问密钥包含访问密钥 ID 和相应的秘密访问密钥。访问密钥被暴露对您的账户和其他用户构成安全风险,可能导致未经授权的活动或滥用行为造成费用过高,并违反 AWS 客户协议
。 如果您的访问密钥暴露,请立即采取措施保护您的账户。为了保护您的账户免受过高的费用,请 AWS 暂时限制您创建某些 AWS 资源的能力。这并不能使您的账户安全。它仅部分限制了您可能需要付费的未经授权的使用。
注意
此检查并不能保证能识别出泄露的访问密钥或被盗的 EC2 实例。您对访问密钥和 AWS 资源的安全和保障负有最终责任。
注意
此检查的结果将每天自动刷新多次,并且不允许刷新请求。更改可能需要几个小时才能显示。
对于企业、Enterprise On-Ramp 或 Enterprise Support 客户,您可以使用 BatchUpdateRecommendationResourceExclusionAPI 在 Trusted Advisor 结果中包含或排除一项或多项资源。
如果显示了访问密钥的截止日期, AWS 账户 则如果未在该日期之前停止未经授权的使用,则 AWS 可能会暂停您的访问密钥。如果您认为收到了错误的提醒,请联系 AWS 支持
。 中显示的信息 Trusted Advisor 可能无法反映您账户的最新状态。除非账户中所有泄露的访问密钥都已得到解决,否则任何已泄露的访问密钥均不会标记为已解决。此类数据同步最多可能需要一周时间。
- 检查 ID
-
12Fnkpl8Y5
- 提醒条件
-
-
红色:可能已泄露- AWS 已识别访问密钥 ID 和相应的私有访问密钥,这些密钥已在 Internet 上暴露并可能已被泄露(使用)。
-
红色:已暴露 — AWS 已识别出已在互联网上公开的访问密钥 ID 和相应的私有访问密钥。
-
红色:疑似——Amazon 的非正常 EC2 使用表明访问密钥可能已被泄露,但尚未被确定为在互联网上暴露了访问密钥。
-
- Recommended Action(建议的操作)
-
尽快删除受影响的访问密钥。如果此密钥与 IAM 用户关联,请参阅管理对 IAM 用户的访问密钥。
检查您的账户是否存在未授权使用情况。登录到 AWS Management Console
,检查每个服务控制台是否存在可疑资源。请特别注意正在运行的 Amazon EC2 实例、竞价型实例请求、访问密钥和 IAM 用户。您也可以在账单与成本管理控制台 上检查总体使用情况。 - 其他资源
- 报告列
-
-
访问密钥 ID
-
用户名(IAM 或根用户)
-
欺诈类型
-
案例 ID
-
更新时间
-
位置
-
截止日期
-
使用量(美元/天)
-
IAM 访问密钥轮换
- 描述
-
检查过去 90 天内未轮换的活动 IAM 访问密钥。
定期轮换访问密钥时,您可以减少在您不知情的情况下使用泄漏的密钥访问资源的可能性。出于此检查的目的,上次轮换日期和时间是创建或最近激活访问密钥的时间。访问密钥编号和日期来自最新 IAM 凭证报告中的
access_key_1_last_rotated
和access_key_2_last_rotated
信息。由于凭证报告的重新生成频率受到限制,刷新此检查可能不会反映最近的变化。有关详细信息,请参阅获取您 AWS 账户的凭证报告。
为了创建和轮换访问密钥,用户必须具有相应的权限。有关更多信息,请参阅允许用户管理自己的密码、访问密钥和 SSH 密钥。
- 检查 ID
-
DqdJqYeRm5
- 提醒条件
-
-
绿色:访问密钥处于活跃状态且已在过去 90 天内轮换。
-
黄色:访问密钥处于活跃状态且已在过去 2 年内轮换,但距今已超过 90 天。
-
红色:访问密钥处于活跃状态,但在过去 2 年内未进行轮换。
-
- Recommended Action(建议的操作)
-
定期轮换访问密钥。请参阅轮换访问密钥和管理 IAM 用户的访问密钥。
- 其他资源
- 报告列
-
-
状态
-
IAM 用户
-
访问密钥
-
上次轮换的密钥
-
Reason
-
IAM 访问分析器外部访问
- 描述
-
检查是否存在账户级别的 IAM 访问分析器外部访问权限。
IAM Access Analyzer 外部访问分析器可帮助识别您的账户中与外部实体共享的资源。然后,分析器会创建一个包含调查结果的集中式仪表板。在 IAM 控制台中激活新的分析器后,安全团队就可以根据权限过大来确定要审查哪些账户的优先级。外部访问分析器可创建资源的公共访问和跨账户访问结果,并且不收取额外费用。
- 检查 ID
-
07602fcad6
- 提醒条件
-
-
红色:分析器外部访问权限未在账户级别激活。
-
绿色:分析器外部访问已在账户级别激活。
-
- Recommended Action(建议的操作)
-
为每个账户创建外部访问分析器可以帮助安全团队根据权限过大来确定要审查哪些账户的优先顺序。有关更多信息,请参阅AWS Identity and Access Management Access Analyzer 调查结果入门。
此外,最佳做法是使用未使用的访问分析器,这是一项付费功能,可简化对未使用访问权限的检查,以指导您实现最低权限。有关更多信息,请参阅识别授予 IAM 用户和角色的未使用访问权限。
- 其他资源
- 报告列
-
-
状态
-
Region
-
账户外部访问分析器 Arn
-
组织外部访问分析器 ARN
-
上次更新时间
-
IAM 密码政策
- 描述
-
检查账户的密码策略,并在未启用密码策略或未启用密码内容要求时发出警告。
密码内容要求通过强制创建强用户密码提高了 AWS 环境的整体安全性。若您创建或更改密码策略,将会立即对新用户强制执行更改,但不会要求现有用户更改其密码。
- 检查 ID
-
Yw2K9puPzl
- 提醒条件
-
-
绿色:启用密码策略,并启用推荐内容要求。
-
黄色:密码策略已启用,但至少有一项内容要求未启用。
-
- Recommended Action(建议的操作)
-
如果部分内容要求未启用,请考虑进行启用。如果未启用任何密码策略,请创建并配置策略。请参阅为 IAM 用户设置账户密码策略。
要访问 AWS Management Console,IAM 用户需要密码。作为最佳实践, AWS 强烈建议您使用联合身份验证,而不是创建 IAM 用户。联合身份验证允许用户使用其现有的公司凭证登录 AWS Management Console。使用 IAM Identity Center 创建用户或联合用户,然后在账户中担任 IAM 角色。
要了解有关身份提供商和联合身份验证的更多信息,请参阅 IAM 用户指南中的身份提供商和联合。要了解有关 IAM 身份中心的更多信息,请参阅 IAM 身份中心用户指南。
- 其他资源
- 报告列
-
-
密码策略
-
大写
-
小写
-
数字
-
非字母数字
-
IAM SAML 2.0 身份提供商
- 描述
-
检查 AWS 账户 是否配置为通过支持 SAML 2.0 的身份提供商 (IdP) 进行访问。在外部身份提供商中集中身份和配置用户时,请务必遵循最佳实践。AWS IAM Identity Center
- 检查 ID
-
c2vlfg0p86
- 提醒条件
-
-
黄色:此帐户未配置为通过支持 SAML 2.0 的身份提供商 (IdP) 进行访问。
-
绿色:此帐户配置为通过支持 SAML 2.0 的身份提供商 (IdP) 进行访问。
-
- Recommended Action(建议的操作)
-
为激活 IAM 身份中心 AWS 账户。有关更多信息,请参阅启用 IAM 身份中心。开启 IAM Identity Center 后,您可以执行常见任务,例如创建权限集和为 Identity Center 群组分配访问权限。有关更多信息,请参阅常见任务。
这是在 IAM 身份中心管理人类用户的最佳实践。但是,对于小规模部署,您可以在短期内通过 IAM 为人类用户激活联合用户访问权限。有关更多信息,请参阅 SAML 2.0 联合。
- 其他资源
- 报告列
-
-
状态
-
AWS 账户 我是
-
上次更新时间
-
根账户的 MFA
- 描述
-
检查根账户,如果未启用多重身份验证 (MFA),则发出警告。
为了提高安全性,我们建议您使用 MFA 来保护您的账户,MFA 要求用户在与网站和关联网站互动时输入来自其 MFA 硬件或虚拟设备的唯一身份验证码。 AWS Management Console
注意
对于您的 AWS Organizations 管理账户,AWS 要求根用户在访问时进行多重身份验证 (MFA)。 AWS Management Console
对于您的 AWS Organizations 成员账户,AWS 建议使用 MFA。除了应用 MFA 之外,如果您使用 AWS Organizations 管理多个账户,还可以应用 SCP 来限制成员账户根用户的访问权限。有关更多信息,请参阅《 AWS Organizations 用户指南》中的成员账户最佳实践。
- 检查 ID
-
7DAFEmoDos
- 提醒条件
-
红色:未在根账户上启用 MFA。
- Recommended Action(建议的操作)
-
登录根账户并激活 MFA 设备。请参阅检查 MFA 状态和设置 MFA 设备。
您可以随时访问安全证书页面,为您的账户激活 MFA。为此,请选择账户下拉菜单中的下拉菜单AWS Management Console。AWS 支持多种行业标准形式的 MFA,例如 FIDO2 和虚拟身份验证器。这使您可以灵活地选择满足您需求的 MFA 设备。如果其中一个 MFA 设备丢失或停止工作,最佳做法是注册多台 MFA 设备以实现弹性。
- 其他资源
-
有关更多信息,请参阅《IAM 用户指南》中激活 MFA 设备的一般步骤和为 AWS 账户 根用户(控制台)启用虚拟 M FA 设备。
root 用户访问密钥
- 描述
-
检查 root 用户访问密钥是否存在。强烈建议您不要为 root 用户创建访问密钥对。由于只有少数任务需要 root 用户,而且您通常不经常执行这些任务,因此最佳做法是登录 AWS Management Console 以执行 root 用户任务。在创建访问密钥之前,请查看长期访问密钥的替代方案。
- 检查 ID
-
c2vlfg0f4h
- 提醒条件
-
红色:root 用户访问密钥存在
绿色:root 用户访问密钥不存在
- Recommended Action(建议的操作)
-
删除 root 用户的访问密钥。请参阅删除 root 用户的访问密钥。此任务必须由 root 用户执行。您无法以 IAM 用户或角色身份执行这些步骤。
- 其他资源
- Report columns(报告列)
-
-
状态
-
账户 ID
-
上次更新时间
-
安全组 – 不受限制的特定端口
- 描述
-
检查安全组是否有允许对特定端口进行不受限制访问 (0.0.0.0/0) 的规则。
不受限制的访问会增加恶意活动(黑客 denial-of-service攻击、攻击、数据丢失)的机会。风险最高的端口标记为红色,风险较小的端口将标记为黄色。标记为绿色的端口通常由需要不受限制访问的应用程序使用,例如 HTTP 和 SMTP。
如果您故意通过这种方式配置了安全组,我们建议您使用其他安全措施来保护您的基础设施(如 IP 表)。
注意
此检查仅评估您创建的安全组及其 IPv4 地址入站规则。由创建的安全组 AWS Directory Service 会被标记为红色或黄色,但它们不构成安全风险,可以排除在外。有关更多信息,请参阅 Trusted Advisor 常见问题
。 - 检查 ID
-
HCP4007jGY
- 提醒条件
-
-
绿色:安全组在端口 80、25、443 或 465 上提供不受限制的访问。
-
红色:安全组附加到资源,提供对端口 20、21、22、1433、1434、3306、3389、4333、5432 或 5500 的无限制访问。
-
黄色:安全组提供对任何其他端口的无限制访问。
-
黄色:安全组未附加到任何资源,并且提供不受限制的访问权限。
-
- Recommended Action(建议的操作)
-
只有具有此需求的 IP 地址才能访问。要只允许特定 IP 地址进行访问,请将后缀设置为 /32(例如,192.0.2.10/32)。在创建更加严格的规则后,请务必删除过于宽松的规则。
查看并删除未使用的安全组。您可以使用 AWS Firewall Manager 大规模集中配置和管理安全组。有关更多信息 AWS 账户,请参阅AWS Firewall Manager 文档。
考虑使用 Systems Manager 会话管理器对 SSH(端口 22)和 RDP(端口 3389)访问实例。 EC2 使用会话管理器,您无需在安全组中启用端口 22 和 3389 即可访问您的 EC2 实例。
- 其他资源
- 报告列
-
-
状态
-
Region
-
安全组名称
-
安全组 ID
-
协议
-
起始端口
-
终止端口
-
关联
-
安全组 – 不受限制的访问
- 描述
-
检查安全组是否存在允许不受限制地访问资源的规则。
不受限制的访问会增加恶意活动(黑客 denial-of-service攻击、攻击、数据丢失)的机会。
注意
此检查仅评估您创建的安全组及其 IPv4 地址入站规则。由创建的安全组 AWS Directory Service 会被标记为红色或黄色,但它们不构成安全风险,可以排除在外。有关更多信息,请参阅 Trusted Advisor 常见问题
。 - 检查 ID
-
1iG5NDGVre
- 提醒条件
-
-
绿色:安全组规则的源 IP 地址的端口 25、80 或 443 的后缀为 /0。
-
黄色:安全组规则的源 IP 地址的端口 25、80 或 443 以外的端口后缀为 /0,并且安全组已附加到资源。
-
红色:安全组规则的源 IP 地址的端口 25、80 或 443 以外的端口后缀为 /0,并且安全组未连接到资源。
-
- Recommended Action(建议的操作)
-
只有具有此需求的 IP 地址才能访问。要只允许特定 IP 地址进行访问,请将后缀设置为 /32(例如,192.0.2.10/32)。在创建更加严格的规则后,请务必删除过于宽松的规则。
查看并删除未使用的安全组。您可以使用 AWS Firewall Manager 大规模集中配置和管理安全组。有关更多信息 AWS 账户,请参阅AWS Firewall Manager 文档。
考虑使用 Systems Manager 会话管理器对 SSH(端口 22)和 RDP(端口 3389)访问实例。 EC2 使用会话管理器,您无需在安全组中启用端口 22 和 3389 即可访问您的 EC2 实例。
- 其他资源
- 报告列
-
-
状态
-
Region
-
安全组名称
-
安全组 ID
-
协议
-
起始端口
-
终止端口
-
IP 范围
-
关联
-