SEC08-BP04 强制实施访问控制

为有助于保护静态数据，请使用隔离和版本控制等机制来强制实施访问控制。应用最低权限和条件访问控制。防止向公众授予访问您数据的权限。

期望结果：您验证只有获得授权的用户才能按照“需要知晓”的原则访问数据。您通过定期备份和版本控制来保护您的数据，以防止数据被有意或无意地修改或删除。您将关键数据与其它数据隔离，以保护其机密性和数据完整性。

常见反模式：

在未建立这种最佳实践的情况下暴露的风险等级：高

实施指导

保护静态数据对于维护数据的完整性、机密性以及符合监管要求非常重要。您可以实施多种控制措施来协助实现这一目标，包括访问控制、隔离、条件访问和版本控制。

您可以按照最低权限原则强制实施访问控制，该原则仅向用户和服务提供执行其任务所需的权限。这包括对于加密密钥的访问权限。查看您的 AWS Key Management Service (AWS KMS) policies，来验证您授予的访问权限级别是否适当，以及相关条件是否适用。

可以通过为每个分类级别使用不同的 AWS 账户，根据不同的分类级别分离数据，并使用 AWS Organizations 管理这些账户。这种隔离有助于防止未经授权的访问，并最大限度地降低数据泄露的风险。

定期审核在 Amazon S3 存储桶策略中授予的访问权限级别。除非绝对必要，否则请避免使用可公开读取或写入的存储桶。考虑使用 AWS Config 来检测可公开可用的存储桶，并使用 Amazon CloudFront 来提供 Amazon S3 中的内容。验证正确配置了应不支持公开访问的存储桶，以防止公开访问。

对存储在 Amazon S3 中的关键数据实施版本控制和对象锁定机制。Amazon S3 版本控制保留对象的先前版本，以便在意外删除或覆盖时恢复数据。Amazon S3 对象锁定为对象提供强制访问控制，从而防止对象在锁定到期之前被删除或覆盖，即使是根用户也是如此。此外，Amazon S3 Glacier Vault Lock 为存储在 Amazon S3 Glacier 中的归档提供了类似的功能。

实施步骤

资源

相关最佳实践：

相关文档：

相关视频：