本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
使用資料周邊建立許可防護機制
資料周邊防護機制旨在做為永遠在線的界限,協助保護跨各種 AWS 帳戶和資源的資料。資料周邊遵循 IAM 安全最佳實務,跨多個帳戶建立許可防護機制。這些全組織的許可防護機制不會取代您現有的精細存取控制。相反地,它們用作粗略的存取控制,透過確保使用者、角色和資源遵守一組定義的安全標準,協助改善您的安全策略。
資料周邊是 AWS 環境中的一組許可防護機制,可協助確保只有您信任的身分才能從預期的網路存取信任的資源。
-
信任的身分:AWS 帳戶和代表您行事的 AWS 服務中的主體 (IAM 角色或使用者)。
-
信任的資源:由 AWS 帳戶或代表您行事的 AWS 服務所擁有的資源。
-
預期的網路:您的內部部署資料中心和虛擬私有雲端 (VPC),或代表您行事的 AWS 服務網路。
注意
在某些情況下,您可能需要擴展資料周邊,以納入信任的業務合作夥伴的存取權。當建立特定於您的公司和您使用 AWS 服務的信任的身分、信任的資源和預期的網路之定義時,應當考慮所有預期的資料存取模式。
資料周邊控制應視為資訊安全和風險管理計畫中的任何其他安全控制。這表示您應該執行威脅分析,以識別雲端環境中的潛在風險,然後根據您自己的風險接受標準,選取並實作適當的資料周邊控制。為了更清楚地了解資料周邊實作的反覆風險型方法,您需要了解資料周邊控制以及您的安全優先事項會解決哪些安全風險和威脅向量。
資料周邊控制
資料周邊粗略控制透過實作不同的政策類型和條件索引鍵組合,協助您跨三個資料周邊達成六個不同的安全目標。
| 周邊 | 控制目標 | 使用 | 套用至 | 全域條件內容索引鍵 |
|---|---|---|---|---|
身分 |
只有信任的身分可以存取我的資源 |
RCP |
資源 |
aws:PrincipalOrgID aws:PrincipalOrgPaths aws:PrincipalAccount aws:PrincipalIsAwsService aws:SourceOrgID aws:SourceOrgPath aws:SourceAccount |
我的網路只允許信任的身分 |
VPC 端點政策 |
網路 |
||
資源 |
您的身分只能存取信任的資源 |
SCP |
身分 |
aws:ResourceOrgID aws:ResourceOrgPaths aws:ResourceAccount |
從您的網路只能存取信任的資源 |
VPC 端點政策 |
網路 |
||
網路 |
您的身分只能從預期的網路存取資源 |
SCP |
身分 |
aws:SourceIp aws:SourceVpc aws:SourceVpce aws:ViaAWSService aws:PrincipalIsAwsService |
您的資源只能從預期的網路存取 |
RCP |
資源 |
您可以將資料周邊視為在資料周圍建立堅實的界限,以防止意外存取模式。雖然資料周邊可以防止廣泛的意外存取,但您仍需要做出精細的存取控制決策。建立資料周邊並不會減少透過使用 IAM Access Analyzer 等工具作為最低權限旅程的一部分來持續微調許可的需求。
若要對 RCP 目前不支援的資源強制執行資料周邊控制,可以使用直接連接到資源的資源型政策。如需支援 RCP 和資源型政策的服務清單,請參閱 Resource control policies (RCPs) 和 AWS 使用 IAM 的 服務。
身分周邊
身分周邊是一組粗略的預防性存取控制,可協助確保只有信任的身分可以存取您的資源,並且只允許來自您網路的信任的身分。信任的身分包括您的 AWS 帳戶中的主體(角色或使用者),以及代表您行事的 AWS 服務。除非授予明確的例外狀況,否則所有其他身分都會被視為不受信任,且會受到身分周邊的阻止。
下列全域條件索引鍵有助於強制執行身分周邊控制。在資源控制政策中使用這些金鑰來限制對資源的存取,或在 VPC 端點政策中使用這些金鑰來限制對您網路的存取。
-
aws:PrincipalOrgID – 您可以使用此條件索引鍵,確保提出請求的 IAM 主體屬於 AWS Organizations 中指定的組織。
-
aws:PrincipalOrgPaths – 您可以使用此條件索引鍵,確保提出請求的 IAM 使用者、IAM 角色、聯合身分使用者或 AWS 帳戶根使用者屬於 AWS Organizations 中指定的組織單位 (OU)。
-
aws:PrincipalAccount – 您可以使用此條件索引鍵,確保只有您在政策中指定的主體帳戶才能存取資源。
-
aws:PrincipalIsAWSService 和 aws:SourceOrgID(交替使用 aws:SourceOrgPaths 和 aws:SourceAccount) – 您可以使用這些條件索引鍵,確保當 AWS 服務主體存取您的資源時,它們只能代表指定組織、組織單位或 AWS Organizations 帳戶中的資源執行此操作。
如需詳細資訊,請參閱在 AWS 上建立資料周邊:僅允許可信身分存取公司資料
資源周邊
資源周邊是一組粗略的預防性存取控制,可協助確保您的身分只能存取信任的資源,而且只能從您的網路存取信任的資源。信任的資源包括由 AWS 帳戶或代表您行事的 AWS 服務所擁有的資源。
下列全域條件索引鍵有助於強制執行資源周邊控制。在服務控制政策 (SCP) 中使用這些索引鍵來限制您的身分可存取哪些資源,或在 VPC 端點政策中限制可以從您的網路存取哪些資源。
-
aws:ResourceOrgID – 您可以使用此條件索引鍵,確保所存取的資源屬於 AWS Organizations 中指定的組織。
-
aws:ResourceOrgPaths – 您可以使用此條件索引鍵,確保所存取的資源屬於 AWS Organizations 中指定的組織單位 (OU)。
-
aws:ResourceAccount – 您可以使用此條件索引鍵,確保所存取的資源屬於 AWS Organizations 中指定的帳戶。
在某些情況下,您可能需要允許存取 AWS 擁有的資源、不屬於您組織的資源,以及您的主體或代表您行事的 AWS 服務所存取的資源。如需這些案例的詳細資訊,請參閱 Establishing a data perimeter on AWS: Allow only trusted resources from my organization
網路周邊
網路周邊是一組粗略的預防性存取控制,可協助確保您的身分只能從預期的網路存取資源,而且只能從預期的網路存取您的資源。預期的網路包括您內部部署的資料中心和虛擬私有雲端 (VPC),以及代表您行事的 AWS 服務的網路。
下列全域條件索引鍵有助於強制執行網路周邊控制。在服務控制政策 (SCP) 中使用這些索引鍵來限制您的身分可以通訊的網路,或在資源控制政策 (RCP) 中使用這些索引鍵來限制對預期網路的資源存取。
-
aws:SourceIp – 您可以使用此條件索引鍵,確保請求者的 IP 位址位於指定的 IP 範圍內。
-
aws:SourceVpc – 您可以使用此條件索引鍵,確保請求通過的 VPC 端點屬於指定的 VPC。
-
aws:SourceVpce – 您可以使用此條件索引鍵,確保請求通過指定的 VPC 端點。
-
aws:ViaAWSService – 您可以使用此條件索引鍵,確保 AWS 服務可以使用轉送存取工作階段 (FAS) 代表您的主體提出請求。
-
aws:PrincipalIsAWSService – 您可以使用此條件索引鍵,確保 AWS 服務可以使用 AWS 服務主體存取您的資源。
在另外一些案例中,您需要允許存取 AWS 服務,這些服務從您的網路外部存取您的資源。如需詳細資訊,請參閱 Establishing a data perimeter on AWS: Allow access to company data only from expected networks
進一步了解資料周邊的資源
下列資源可協助您進一步了解跨 AWS 的資料周邊。
-
AWS 上的資料周邊
– 了解資料周邊及其優點和使用案例。 -
部落格文章系列:在 AWS 上建立資料周邊
– 這些部落格文章涵蓋了有關大規模建立資料周邊的方案指引,包括關鍵的安全和實作考量。 -
資料周邊政策範例
– 此 GitHub 儲存庫包含的範例政策涵蓋了一些常見模式,可協助您在 AWS 上實作資料周邊。 -
資料周邊協助程式
– 此工具可協助您透過分析 AWS CloudTrail 日誌中的存取活動,來設計和預測資料周邊控制的影響。 -
白皮書:在 AWS 中建置資料周邊 – 本文概述在 AWS 中建立身分、資源和網路周邊的最佳實務和可用服務。
-
網路研討會:在 AWS 中建置資料周邊
– 了解在什麼情況下,如何根據不同的風險案例實作資料周邊控制。
