SEC03-BP07 分析公共和跨账户访问
持续监控重点关注公共访问和跨账户访问的调查发现。将公共访问和跨账户访问限制为仅限需要此访问的特定资源。
期望结果:了解您的哪些 AWS 资源是共享的,以及与谁共享。持续监控和审计您的共享资源,以验证它们仅与授权的主体共享。
常见反模式:
-
不保留共享资源的清单。
-
跨账户访问或公开访问资源时,没有遵循流程。
在未建立这种最佳实践的情况下暴露的风险等级:低
实施指导
如果您的账户在 AWS Organizations 中,您可以向整个组织、特定组织单位或个人账户授予资源访问权限。如果您的账户不是某个组织的成员,您可以与个人账户共享资源。您可以使用基于资源的策略 [例如 Amazon Simple Storage Service(Amazon S3)存储桶策略] 或通过允许其他账户中的主体代入您账户中的 IAM 角色来授予直接跨账户访问权限。使用资源策略时,请验证访问权限是否仅授予给经过授权的主体。建立一个流程来审批所有需要可公开访问的资源。
AWS Identity and Access Management Access AnalyzerPrincipalOrgId 条件键拒绝尝试从您的 AWS Organizations 之外代入角色
AWS Config 可以报告配置错误的资源,并可以通过 AWS Config 策略检查来检测配置了公有访问权限的资源。诸如 AWS Control Tower
实施步骤
-
考虑将 AWS Config 用于 AWS Organizations:AWS Config 允许您将 AWS Organizations 中多个账户的结果聚合到委派管理员账户中。这样可提供全面的视图,并允许您跨账户部署 AWS Config 规则以检测可公开访问的资源。
-
配置 AWS Identity and Access Management Access Analyzer:IAM Access Analyzer 有助于您识别组织和账户中与外部实体共享的资源,例如 Amazon S3 存储桶或 IAM 角色。
-
在 AWS Config 中使用自动修复来响应 Amazon S3 存储桶的公共访问配置中的更改:您可以自动启用 Amazon S3 存储桶的阻止公共访问设置
。 -
实施监控和警报,以确定 Amazon S3 存储桶是否已变为公共:您必须具备监控或警报机制
,以便确定 Amazon S3 屏蔽公共访问权限何时关闭,以及 Amazon S3 存储桶是否变为公共。此外,如果您正在使用 AWS Organizations,您可以创建服务控制策略,以阻止对 Amazon S3 公共访问策略进行更改。AWS Trusted Advisor 可对具有开放访问权限的 Amazon S3 存储桶进行检查。如果向每个人授予“上传/删除”权限,那么任何人都可以向存储桶添加项目或者修改或删除存储桶中的项目,这样会产生潜在的安全问题。Trusted Advisor 检查可检查显式存储桶权限,以及可能覆盖存储桶权限的关联存储桶策略。您也可以使用 AWS Config 来监控 Amazon S3 存储桶是否具有公共访问权限。有关更多信息,请参阅《如何使用 AWS Config 来监控和响应允许公共访问的 Amazon S3 存储桶 》。
在审核 Amazon S3 存储桶的访问控制时,务必考虑存储在存储桶中的数据的性质。Amazon Macie 是一项旨在协助您发现和保护敏感数据的服务,如个人身份信息(PII)、受保护健康信息(PHI)以及诸如私有密钥或 AWS 访问密钥等凭证。
资源
相关文档:
相关视频:
