本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
安全
您可以針對安全類別使用下列檢查。
注意
如果您已為您啟用 Security Hub AWS 帳戶,則可以在 Trusted Advisor 主控台中檢視您的發現項目。如需相關資訊,請參閱 檢視 AWS Security Hub 中的 AWS Trusted Advisor 控制項。
您可以檢視「 AWS 基礎安全性最佳做法」安全性標準中的所有控制項,但具有「類別」的控制項除外:復原 > 復原。如需支援的控制項清單,請參閱《AWS Security Hub 使用者指南》中的 AWS 基礎安全最佳實務控制項。
檢查名稱
- Amazon CloudWatch 日誌群組保留期
- 具有 Microsoft SQL 服務器支持的 EC2 Amazon 實例終止
- 具有 Microsoft Windows 服務器的 Amazon EC2 實例終止支持
- 具有 Ubuntu 標準支援LTS結束的 Amazon EC2 執行個
- Amazon EFS 客戶不使用 data-in-transit 加密
- Amazon EBS 公開快照
- Amazon RDS Aurora 儲存加密已關閉
- Amazon RDS 引擎次要版本升級是必需的
- Amazon RDS 公開快照
- Amazon RDS 安全組訪問風險
- Amazon RDS 儲存加密已關閉
- Amazon 路線 53 不匹配CNAME記錄直接指向 S3 存儲桶
- Amazon Route 53 MX 資源記錄集和寄件者政策架構
- Amazon S3 儲存貯體許可
- 已停用DNS解析度的 Amazon VPC 對等連線
- Application Load Balancer 目標群組加密
- AWS Backup 沒有以資源為基礎的政策的 Vault,以防止復原點刪除
- AWS CloudTrail 記錄
- AWS Lambda 使用已停用執行階段的函
- AWS Well-Architected 安全性的高風險問題
- CloudFrontSSL憑證存放區中的自訂憑IAM證
- CloudFront SSL原始伺服器上的憑證
- ELB監聽器安全
- Classic Load Balancer 安全群組
- 存取金鑰已暴露
- IAM 存取金鑰輪換
- IAM密碼策略
- IAMSAML2.0 身份提供者
- MFA在根帳號上
- 根使用者存取金鑰
- 安全群組-— 不受限制的特定連接埠
- 安全群組 - 不受限制的存取
Amazon CloudWatch 日誌群組保留期
- 描述
-
檢查 Amazon 日 CloudWatch 誌群組保留期是否設定為 365 天或其他指定的數字。
根據預設,日誌將無限期保留且永遠不會過期。不過,您可以調整每個日誌群組的保留原則,以符合特定期間的產業法規或法律要求。
您可以使用 AWS Config 規則中的和MinRetentionTime參數來指定最短保留時間LogGroupNames和記錄群組名稱。
注意
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。目前,您無法從此檢查中排除資源。
- 檢查 ID
-
c18d2gz186
- 來源
-
AWS Config Managed Rule: cw-loggroup-retention-period-check
- 警示條件
-
黃色:Amazon 日 CloudWatch 誌群組的保留期間小於所需的最短天數。
- 建議的動作
-
為儲存在 Amazon CloudWatch Logs 中的日誌資料設定超過 365 天的保留期,以符合合規要求。
如需詳細資訊,請參閱變更 CloudWatch 記錄檔中的記錄檔資料保留。
- 其他資源
- 報告欄位
-
-
Status
-
區域
-
資源
-
AWS Config 規則
-
輸入參數
-
上次更新時間
-
具有 Microsoft SQL 服務器支持的 EC2 Amazon 實例終止
- 描述
-
檢查SQL伺服器版本是否有過去 24 小時內執行的 Amazon 彈性運算雲端 (AmazonEC2) 執行個體。這項檢查會在版本接近或已達到終止支援時發出提醒。每個SQL伺服器版本都提供 10 年的支援,包括 5 年的主流支援和 5 年的延伸支援。支援結束後,SQL伺服器版本將不會收到定期的安全性更新。執行不支援SQL伺服器版本的應用程式可能會帶來安全性或合規性
注意
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。目前,您無法從此檢查中排除資源。
- 檢查 ID
-
Qsdfp3A4L3
- 警示條件
-
-
紅色:EC2執行個體的SQL伺服器版本已達到支援結束。
-
黃色:EC2執行個體的SQL伺服器版本將在 12 個月內終止支援。
-
- 建議的動作
-
若要將SQL伺服器工作負載現代化,請考慮重構至 Amazon Aurora 等 AWS 雲端 原生資料庫。如需詳細資訊,請參閱使用 AWS
. 若要移至全受管資料庫,請考慮重新平台為 Amazon Relational Database Service (AmazonRDS)。如需詳細資訊,請參閱 Amazon SQL 伺RDS服器
版。 要在 Amazon 上升級您的SQL服務器EC2,請考慮使用自動化手冊來簡化升級。如需詳細資訊,請參閱 AWS Systems Manager 文件。
如果您無法在 Amazon 上升級SQL服務器EC2,請考慮 Windows 服務器的終止 Support 遷移計劃(EMP)。如需詳細資訊,請參閱EMP網站
。 - 其他資源
- 報告欄位
-
-
Status
-
區域
-
執行個體 ID
-
SQL伺服器版本
-
支援週期
-
終止支援
-
上次更新時間
-
具有 Microsoft Windows 服務器的 Amazon EC2 實例終止支持
- 描述
-
這項檢查會在版本接近或已達到終止支援時發出提醒。每個 Windows Server 版本都提供 10 年的支援。這包括 5 年的主流支援和 5 年的延長支援。終止支援後,Windows Server 版本將不會收到定期的安全更新。如果您使用不支援的 Windows Server 版本執行應用程式,則會危及這些應用程式的安全性或法規遵循。
注意
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。目前,您無法從此檢查中排除資源。
- 檢查 ID
-
Qsdfp3A4L4
- 警示條件
-
-
紅色:EC2執行個體的視窗伺服器版本已達到支援結束 (視窗伺服器 2003、2003 R2、2008 和 2008 R2)。
-
黃色:EC2執行個體的 Windows 伺服器版本將在不到 18 個月 (視窗伺服器 2012 年和 2012 R2) 內終止支援。
-
- 建議的動作
-
若要將您的 Windows 伺服器工作負載現代化,請考慮使用將 Windows 工作負載現代化
的各種選項。 AWS 若要升級您的 Windows Server 工作負載,以便在更新版本的 Windows Server 上執行,您可以使用自動化 Runbook。如需詳細資訊,請參閱 AWS Systems Manager 文件。
請按照以下步驟操作:
-
升級視窗伺服器版本
-
硬停止並在升級時啟動
-
如果使用EC2Config,請遷移到 EC2Launch
-
- 報告欄位
-
-
Status
-
區域
-
執行個體 ID
-
Windows Server 版本
-
支援週期
-
終止支援
-
上次更新時間
-
具有 Ubuntu 標準支援LTS結束的 Amazon EC2 執行個
- 描述
-
如果版本接近或已達到標準支援結束,則此檢查會提醒您。採取行動很重要-通過遷移到下一個LTS或升級到 Ubuntu Pro。支援結束後,您的 18.04 部LTS電腦將不會收到任何安全性更新。使用 Ubuntu 專業版訂閱,您的 Ubuntu 18.04 LTS 部署可以收到擴充的安全性維護 (ESM),直到 2028 年為止。仍未修補的安全漏洞會使您的系統對黑客開放,並且可能發生重大漏洞。
注意
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。目前,您無法從此檢查中排除資源。
- 檢查 ID
-
c1dfprch15
- 警示條件
-
紅色:Amazon EC2 執行個體的 Ubuntu 版本已達到標準支援的終止 (Ubuntu 18.04 LTS、18.04.1、18.04.2、18.04.3 LTS、18.04.4 LTS、18.04.5 和 18.0 LTS 4.6)。LTS LTS LTS
黃色:Amazon EC2 執行個體的 Ubuntu 版本將在不到 6 個月內達到標準支援結束 (Ubuntu 20.04 LTS、20.04.1、20.04.2、20.04.3 LTS、20.04.4 LTS、20.04.5 和 20.0 LTS 4.6)。LTS LTS LTS
綠色:所有 Amazon EC2 執行個體都符合規定。
- 建議的動作
-
若要將 Ubuntu 18.04 LTS 執行個體升級至受支援的LTS版本,請依照本文
中提到的步驟執行。要將 Ubuntu 18.04 LTS 實例升級到 Ubuntu Pro ,請訪問 AWS License Manager 控制台並按照AWS License Manager 用戶指南中提到的步驟進行操作。您還可以參考 Ubuntu 博客 ,其中顯示了將 Ubuntu 實例升級到 Ubuntu Pro 的一步一步演示。 - 其他資源
-
如需定價的相關資訊,請聯絡AWS Support
。 - 報告欄位
-
-
Status
-
區域
-
Ubuntu 的 LTS 版本
-
預期終止 Support 日期
-
執行個體 ID
-
支援週期
-
上次更新時間
-
Amazon EFS 客戶不使用 data-in-transit 加密
- 描述
-
檢查 Amazon EFS 檔案系統是否使用 data-in-transit 加密裝載。 AWS 建議客戶對所有資料流程使用 data-in-transit 加密,以保護資料免於意外外洩或未經授權的存取。Amazon EFS 建議客戶使用「-o tls」掛載設置,使用 Amazon EFS 掛載幫助程序使用 v1.2 來加密傳輸中的數據。TLS
- 檢查 ID
-
c1dfpnchv1
- 警示條件
-
黃色:Amazon EFS 檔案系統的一或多個用NFS戶端未使用提供 data-in-transit 加密的建議掛載設定。
綠色:Amazon EFS 檔案系統的所有用NFS戶端都使用提供 data-in-transit 加密的建議掛載設定。
- 建議的動作
-
若要利用 Amazon 上的 data-in-transit 加密功能EFS,建議您使用 Amazon 掛載協助程式和建議的掛載設定重新EFS掛載檔案系統。
注意
某些 Linux 發行版本不包含預設支援TLS功能的特殊版本。如果您使用的是不受支援的 Linux 發行版 (請參閱 Amazon Elastic File System 使用者指南中的支援發行版),最佳做法是在使用建議的掛載設定重新掛載之前升級它。
- 其他資源
- 報告欄位
-
-
Status
-
區域
-
EFS檔案系統識別碼
-
AZs使用未加密連線
-
上次更新時間
-
Amazon EBS 公開快照
- 描述
-
檢查 Amazon 彈性區塊存放區 (AmazonEBS) 磁碟區快照的權限設定,並在有任何可公開存取的快照時提醒您。
當您將快照集設為公開時,您可以授予所有 AWS 帳戶 和使用者存取快照上所有資料的權限。若只要與特定使用者或帳戶共用快照,請將快照標記為私人。然後,指定您要與其共用快照資料的一個或多個使用者帳戶。請注意,如果您在「封鎖所有共用」模式中啟用了封鎖公開存取,則您的公開快照將無法公開存取,也不會顯示在此檢查結果中。
注意
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會出現。
- 檢查 ID
-
ePs02jT06w
- 警示條件
-
紅色:EBS磁碟區快照可公開存取。
- 建議的動作
-
除非您確定要與所有使用者 AWS 帳戶 和使用者共用快照中的所有資料,否則請修改權限:將快照標記為私人,然後指定要授予權限的帳戶。如需詳細資訊,請參閱共用 Amazon EBS 快照。使用EBS快照的封鎖公用存取來控制允許公開存取資料的設定。此檢查無法從 Trusted Advisor 主控台的檢視中排除。
若要直接修改快照的權限,請使用 AWS Systems Manager 主控台中的 runbook。如需詳細資訊,請參閱
AWSSupport-ModifyEBSSnapshotPermission
。 - 其他資源
- 報告欄位
-
-
Status
-
區域
-
磁碟區 ID
-
快照 ID
-
描述
-
Amazon RDS Aurora 儲存加密已關閉
- 描述
-
Amazon 使用您管理的金鑰,RDS支援所有資料庫引擎的靜態加密 AWS Key Management Service。在具有 Amazon RDS 加密的作用中資料庫執行個體上,儲存在儲存中的靜態資料會加密,類似於自動備份、僅供讀取複本和快照。
如果在建立 Aurora DB 叢集時未開啟加密,則必須將解密的快照還原到加密的資料庫叢集。
注意
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。目前,您無法從此檢查中排除資源。
注意
當資料庫執行個體或資料庫叢集停止時,您可以在 Trusted Advisor 3 到 5 天內檢視 Amazon RDS 建議。五天後,建議在中不可用 Trusted Advisor。若要檢視建議,請開啟 Amazon 主RDS控台,然後選擇「建議」。
如果刪除資料庫執行個體或資料庫叢集,則與這些執行個體或叢集相關聯的建議將無法在 Trusted Advisor Amazon RDS 管理主控台中使用。
- 檢查 ID
-
c1qf5bt005
- 警示條件
-
紅色:Amazon RDS Aurora 資源未啟用加密。
- 建議的動作
-
開啟資料庫叢集的靜態資料加密。
- 其他資源
-
您可以在建立資料庫執行個體時開啟加密,或使用因應措施在作用中資料庫執行個體上開啟加密。您無法將解密的資料庫叢集修改為加密的資料庫叢集。不過,您可以將解密的快照還原到加密的資料庫叢集。從解密的快照還原時,必須指定 AWS KMS 金鑰。
如需詳細資訊,請參閱加密 Amazon Aurora 資源。
- 報告欄位
-
-
Status
-
區域
-
資源
-
引擎名稱
-
上次更新時間
-
Amazon RDS 引擎次要版本升級是必需的
- 描述
-
您的資料庫資源沒有執行最新的次要資料庫引擎版本。最新的次要版本包含最新的安全性修正和其他改進。
注意
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。目前,您無法從此檢查中排除資源。
注意
當資料庫執行個體或資料庫叢集停止時,您可以在 Trusted Advisor 3 到 5 天內檢視 Amazon RDS 建議。五天後,建議在中不可用 Trusted Advisor。若要檢視建議,請開啟 Amazon 主RDS控台,然後選擇「建議」。
如果刪除資料庫執行個體或資料庫叢集,則與這些執行個體或叢集相關聯的建議將無法在 Trusted Advisor Amazon RDS 管理主控台中使用。
- 檢查 ID
-
c1qf5bt003
- 警示條件
-
黃色:Amazon RDS 資源未執行最新的次要資料庫引擎版本。
- 建議的動作
-
升級至最新的引擎版本。
- 其他資源
-
我們建議您使用最新的 DB Engine 次要版本來維護資料庫,因為此版本包含最新的安全性和功能修正。數據庫引擎次要版本升級僅包含與相同主要版本的數據庫引擎的早期次要版本向後兼容的更改。
如需詳細資訊,請參閱升級資料庫執行個體引擎版本。
- 報告欄位
-
-
Status
-
區域
-
資源
-
引擎名稱
-
引擎版本目前
-
建議值
-
上次更新時間
-
Amazon RDS 公開快照
- 描述
-
檢查 Amazon 關聯式資料庫服務 (AmazonRDS) 資料庫快照的權限設定,並在有任何快照標示為公開時提醒您。
當您將快照集設為公開時,您可以授予所有 AWS 帳戶 和使用者存取快照上所有資料的權限。如果您只想與特定使用者或帳戶共用快照,請將快照標示為私有。然後指定您要共用快照資料的使用者或帳戶。
注意
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會出現。
- 檢查 ID
-
rSs93HQwa1
- 警示條件
-
紅色:Amazon RDS 快照標記為公開。
- 建議的動作
-
除非您確定要與所有使用者 AWS 帳戶 和使用者共用快照中的所有資料,否則請修改權限:將快照標記為私人,然後指定要授予權限的帳戶。如需詳細資訊,請參閱共用資料庫快照或資料庫叢集快照。此檢查無法從 Trusted Advisor 主控台的檢視中排除。
若要直接修改快照的權限,您可以使用 AWS Systems Manager 主控台中的 runbook。如需詳細資訊,請參閱
AWSSupport-ModifyRDSSnapshotPermission
。 - 其他資源
- 報告欄位
-
-
Status
-
區域
-
資料庫執行個體或叢集 ID
-
快照 ID
-
Amazon RDS 安全組訪問風險
- 描述
-
檢查 Amazon Relational Database Service (AmazonRDS) 的安全群組組態,並在安全群組規則授予資料庫過度寬鬆存取時發出警告。安全群組規則的建議組態是僅允許從特定 Amazon 彈性運算雲端 (AmazonEC2) 安全群組或特定 IP 位址存取。
注意
此檢查僅評估屬於 Amazon 外部執行個體的連接 toAmazon RDS執行個體的安全群組VPC。
- 檢查 ID
-
nNauJisYIT
- 警示條件
-
-
黃色:資料庫安全群組規則參考的是一個 Amazon EC2 安全群組,該群組授與下列其中一個連接埠的全域存取權:20、21、22、1433、1433、1434、3306、3389、4333、5432、5500。
-
紅色:資料庫安全性群組規則會授與全域存取權 (CIDR規則尾碼為 /0)。
-
綠色:資料庫安全性群組不包含寬容規則。
-
- 建議的動作
-
EC2-經典版於 2022 年 8 月 15 日退休。建議將您的 Amazon RDS 實例移動到一個VPC並使用 Amazon EC2 安全組。有關將資料庫執行個體移至的詳細資訊,VPC請參閱將不在的資料庫執行個體移VPC入 VPC.
如果您無法將 Amazon RDS 執行個體遷移到 aVPC,請檢閱您的安全群組規則,並限制對授權 IP 地址或 IP 範圍的存取。若要編輯安全性群組,請使用 A uthorizeDBSecurity GroupIngress API 或 AWS Management Console。如需詳細資訊,請參閱使用資料庫安全群組。
- 其他資源
- 報告欄位
-
-
Status
-
區域
-
RDS安全群組名稱
-
輸入規則
-
原因
-
Amazon RDS 儲存加密已關閉
- 描述
-
Amazon 使用您管理的金鑰,RDS支援所有資料庫引擎的靜態加密 AWS Key Management Service。在具有 Amazon RDS 加密的作用中資料庫執行個體上,儲存在儲存中的靜態資料會加密,類似於自動備份、僅供讀取複本和快照。
如果在建立資料庫執行個體時未開啟加密,則必須先還原已解密快照的加密副本,然後再開啟加密。
注意
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。目前,您無法從此檢查中排除資源。
注意
當資料庫執行個體或資料庫叢集停止時,您可以在 Trusted Advisor 3 到 5 天內檢視 Amazon RDS 建議。五天後,建議在中不可用 Trusted Advisor。若要檢視建議,請開啟 Amazon 主RDS控台,然後選擇「建議」。
如果刪除資料庫執行個體或資料庫叢集,則與這些執行個體或叢集相關聯的建議將無法在 Trusted Advisor Amazon RDS 管理主控台中使用。
- 檢查 ID
-
c1qf5bt006
- 警示條件
-
紅色:Amazon RDS 資源未啟用加密。
- 建議的動作
-
為資料庫執行個體開啟靜態資料加密。
- 其他資源
-
只有在建立資料庫執行個體時,才能加密資料庫執行個體。若要加密現有作用中資料庫執行個體:
建立原始資料庫執行個體的加密副本
-
建立資料庫執行個體的快照。
-
為步驟 1 中建立的快照建立加密副本。
-
從加密的快照還原資料庫執行個體。
如需詳細資訊,請參閱下列資源:
-
- 報告欄位
-
-
Status
-
區域
-
資源
-
引擎名稱
-
上次更新時間
-
Amazon 路線 53 不匹配CNAME記錄直接指向 S3 存儲桶
- 描述
-
檢查具有直接指向 Amazon S3 儲存貯體主機名稱的CNAME記錄的 Amazon Route 53 託管區域,如果您的 S3 儲存貯體名稱CNAME不符,則會發出警示。
- 檢查 ID
-
c1ng44jvbm
- 警示條件
-
紅色:Amazon Route 53 託管區域的CNAME記錄指向 S3 存儲桶主機名稱不匹配。
綠色:在您的 Amazon Route 53 託管區域中找不到不CNAME匹配的記錄。
- 建議的動作
-
將CNAME記錄指向 S3 儲存貯體主機名稱時,必須確定您設定的任何CNAME或別名記錄都有相符的儲存貯體。通過這樣做,您可以避免CNAME記錄被欺騙的風險。您還可以防止任何未經授權的 AWS 用戶在您的域中託管錯誤或惡意的 Web 內容。
若要避免將CNAME記錄直接指向 S3 儲存貯體主機名稱,請考慮使用來源存取控制 (OAC) 透過 Amazon CloudFront 存取 S3 儲存貯體 Web 資產。
如需關聯 CNAME Amazon S3 儲存貯體主機名稱的詳細資訊,請參閱URLs使用CNAME記錄自訂 Amazon S3。
- 其他資源
- 報告欄位
-
-
Status
-
託管區域 ID
-
託管區域 ARN
-
匹配CNAME記錄
-
記錄不符 CNAME
-
上次更新時間
-
Amazon Route 53 MX 資源記錄集和寄件者政策架構
- 描述
-
對於每個 MX 記錄,檢查包含有效SPF值的關聯TXT記錄。記TXT錄值必須以「v=spf1" 開頭。SPF記錄類型已由網際網路工程工作小組 (IETF) 棄用。使用 Route 53,我是使用TXT記錄而不是記錄的最佳做法。SPF Trusted Advisor 當 MX 記錄至少有一個有效SPF值的關聯TXT記錄時,此檢查會報告為綠色。
- 檢查 ID
-
c9D319e7sG
- 警示條件
-
-
綠色:MX 資源記錄集的TXT資源記錄包含有效SPF值。
-
黃色:MX 資源記錄集的TXT或SPF資源記錄包含有效SPF值。
-
紅色:MX 資源記錄集沒有包含有效SPF值的TXT或SPF資源記錄。
-
- 建議的動作
-
針對每個 MX 資源記錄集,建立包含有效SPF值的TXT資源記錄集。如需詳細資訊,請參閱寄件者政策架構:SPF記錄語法
和使用 Amazon Route 53 主控台建立資源記錄集。 - 其他資源
- 報告欄位
-
-
託管區域名稱
-
託管區域 ID
-
資源記錄集名稱
-
Status
-
Amazon S3 儲存貯體許可
- 描述
-
在 Amazon Simple Storage Service (Amazon S3) 中檢查具有開放存取權限或允許存取任何已驗證 AWS 使用者的儲存貯體。
此檢查會檢查明確的儲存貯體許可,以及可能會覆寫這些許可的儲存貯體政策。建議不要將 Amazon S3 儲存貯體的 List 存取權授予所有使用者。這些許可有可能導致非預期的使用者以高頻率列出儲存貯體中的物件,進而造成費用高於預期。授予上傳和刪除存取權給所有人的許可,可能會導致儲存貯體中出現安全漏洞。
- 檢查 ID
-
Pfx0RwqBli
- 警示條件
-
-
黃色:值區ACL允許「所有人」或「任何已驗證的 AWS 使用者」存取清單。
-
黃色:儲存貯體政策授予任何類型的開放式存取權。
-
黃色:儲存貯體政策具有授予公開存取權的陳述式。封鎖對具有公用政策的儲存貯體的公開與跨帳戶存取權設定已開啟,並且將存取權設定為僅限該帳戶的授權使用者使用,直到公開陳述式已遭移除。
-
黃色: Trusted Advisor 沒有檢查原則的權限,或是因為其他原因而無法評估原則。
-
紅色:值區ACL允許「所有人」或「任何已驗證的 AWS 使用者」上傳和刪除存取權。
-
綠色:所有 Amazon S3 均根據ACL和/或儲存貯體政策合規。
-
- 建議的動作
-
如果儲存貯體授予開放式存取權,請確定是否真的需要開放式存取權。例如,若要託管靜態網站,您可以使用 Amazon CloudFront 來提供在 Amazon S3 上託管的內容。請參閱 Amazon CloudFront 開發人員指南中的限制對 anAmazon S3 來源的存取。請盡可能更新值區權限,以限制擁有者或特定使用者的存取權。使用 Amazon S3 封鎖公開存取,控制允許公開存取資料的設定。設定設定儲存貯體及物件存取許可。
- 其他資源
- 報告欄位
-
-
Status
-
區域名稱
-
區域API參數
-
儲存貯體名稱
-
ACL允許清單
-
ACL允許上傳/刪除
-
政策允許存取權
-
已停用DNS解析度的 Amazon VPC 對等連線
- 描述
-
檢查您的VPC對等連接是否同時為接受者和請求者開啟DNS解析度。VPCs
DNS對VPC等連接的解析度允許從您的查詢時將公共DNS主機名稱解析為私人IPv4地址。VPC這允許在對等VPCs資源之間使用DNS名稱進行通信。DNSVPC對等連線中的解析度可讓應用程式開發與管理變得更簡單、更不容易出錯,並確保資源永遠透過對等連線進行私密通訊。VPC
您可以使用VPCIDs AWS Config 規則中的vpcIds參數來指定。
如需詳細資訊,請參閱啟用對VPC等連線的DNS解析度。
注意
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。目前,您無法從此檢查中排除資源。
- 檢查 ID
-
c18d2gz124
- 來源
-
AWS Config Managed Rule: vpc-peering-dns-resolution-check
- 警示條件
-
黃色:對等連線VPCs中的接受者與請求者都不會啟用DNS解析度。VPC
- 建議的動作
-
開啟對VPC等連線的DNS解析度。
- 其他資源
- 報告欄位
-
-
Status
-
區域
-
資源
-
AWS Config 規則
-
輸入參數
-
上次更新時間
-
Application Load Balancer 目標群組加密
- 描述
-
檢查 Application Load Balancer (ALB) 目標群組是否使用通訊HTTPS協定來加密後端目標類型的執行個體或 IP 傳輸中的通訊。HTTPSALB與後端目標之間的要求有助於維護傳輸中資料的機密性。
- 檢查 ID
-
c2vlfg0p1w
- 警示條件
-
-
黃色:Application Load Balancer 目標群組使用HTTP.
-
綠色:Application Load Balancer 目標群組使用HTTPS.
-
- 建議的動作
-
設定 instnace 或 IP 的後端目標類型以支援HTTPS存取,並變更目標群組以使用通訊HTTPS協定來加密執行個體或 IP 目標類型ALB與後端目標類型之間的通訊。
- 其他資源
- 報告欄位
-
-
Status
-
區域
-
ALB阿恩
-
ALB姓名
-
ALBVPC身份證
-
目標群組阿恩
-
目標群組名稱
-
目標群組通訊協定
-
上次更新時間
-
AWS Backup 沒有以資源為基礎的政策的 Vault,以防止復原點刪除
- 描述
-
檢查 AWS Backup Vault 是否具有可防止復原點刪除的貼附以資源為基礎的策略。
資源型政策可防止意外刪除復原點,讓您以最低權限對備份資料強制執行存取控制。
您可以指 AWS Identity and Access Management ARNs定不希望規則簽入規則principalArnList參數的 AWS Config 規則。
注意
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。目前,您無法從此檢查中排除資源。
- 檢查 ID
-
c18d2gz152
- 來源
-
AWS Config Managed Rule: backup-recovery-point-manual-deletion-disabled
- 警示條件
-
黃色:有些 AWS Backup Vault 沒有以資源為基礎的政策,以防止刪除復原點。
- 建議的動作
-
為您的 AWS Backup Vault 建立以資源為基礎的政策,以防止意外刪除復原點。
此原則必須包含具備備份:DeleteRecoveryPoint、備份:和備份:UpdateRecoveryPointLifecyclePutBackupVaultAccessPolicy 權限的「拒絕」陳述式。
如需詳細資訊,請參閱設定備份文件庫的存取政策。
- 報告欄位
-
-
Status
-
區域
-
資源
-
AWS Config 規則
-
輸入參數
-
上次更新時間
-
AWS CloudTrail 記錄
- 描述
-
檢查您使用的 AWS CloudTrail. CloudTrail AWS 帳戶 通過記錄有關在帳戶上進行的 AWS API呼叫的信息,提高了對您的活動的可見性。例如,您可以使用這些日誌來判斷特定使用者在指定時段內採取的動作,或是哪些使用者在指定時段內對特定資源採取了動作。
由於將日誌檔 CloudTrail 交付到 Amazon Simple Storage Service (Amazon S3) 儲存貯體,因此 CloudTrail 必須具有儲存貯體的寫入許可。如果某筆追蹤記錄會套用到所有區域 (建立新追蹤記錄時的預設值),該追蹤記錄會多次出現在 Trusted Advisor 報告中。
- 檢查 ID
-
vjafUGJ9H0
- 警示條件
-
-
黃色: CloudTrail 報告追蹤的記錄傳送錯誤。
-
紅色:尚未為區域建立追蹤,或已關閉追蹤的記錄功能。
-
- 建議的動作
-
若要從主控台建立追蹤並開始記錄,請移至 AWS CloudTrail 主控台
。 若要開始記錄,請參閱停止和開始追蹤記錄。
如果您收到日誌交付錯誤,請檢查以確認儲存貯體存在,且必要的政策已連接至儲存貯體。請參閱 Amazon S3 儲存貯體政策。
- 其他資源
- 報告欄位
-
-
Status
-
區域
-
追蹤記錄名稱
-
記錄狀態
-
儲存貯體名稱
-
上次交付日期
-
AWS Lambda 使用已停用執行階段的函
- 描述
-
檢查其 $ LATEST 版本設定為使用接近棄用或已棄用的執行階段的 Lambda 函數。已淘汰的執行階段不符合安全性更新或技術支援的資格
注意
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。目前,您無法從此檢查中排除資源。
已發佈的 Lambda 函數版本是不可變的,這表示可以叫用它們,但無法更新它們。只能更新 Lambda 函數的
$LATEST
版本。如需詳細資訊,請參閱 Lambda 函數版本。 - 檢查 ID
-
L4dfs2Q4C5
- 警示條件
-
-
紅色:函數的 $ LATEST 版本設定為使用已停用的執行階段。
-
黃色:函數的 $ LATEST 版本正在執行階段執行,該執行階段將在 180 天內淘汰。
-
- 建議的動作
-
如果您有函數正在接近棄用的執行階段上執行,您應該準備將這些函數遷移至受支援的執行階段。如需詳細資訊,請參閱執行階段支援政策。
建議您刪除已不再使用的先前函數版本。
- 其他資源
- 報告欄位
-
-
Status
-
區域
-
功能 ARN
-
執行期
-
距離棄用的天數
-
取代日期
-
平均每日叫用次數
-
上次更新時間
-
AWS Well-Architected 安全性的高風險問題
- 描述
-
在安全性支柱中檢查工作負載是否存在高風險問題 (HRIs)。這項檢查是以您的 AWS-Well Architected 檢閱為基礎。您的檢查結果取決於您是否使用 AWS Well-Architected 完成工作負載評估。
注意
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。目前,您無法從此檢查中排除資源。
- 檢查 ID
-
Wxdfp4B1L3
- 警示條件
-
-
紅色:在「 AWS Well-Architected」的安全性支柱中發現至少一個活躍的高風險問題。
-
綠色: AWS Well-Architected 的安全性支柱未偵測到任何有效的高風險問題。
-
- 建議的動作
-
AWS Well-Architected,在您的工作負載評估期間偵測到高風險問題。解決這些問題,可能有機會降低風險和節省成本。登入 AWS Well-Architected
工具,檢閱答案並採取行動,解決待處理的問題。 - 報告欄位
-
-
Status
-
區域
-
工作量 ARN
-
工作負載名稱
-
檢閱者姓名
-
工作負載類型
-
工作負載開始日期
-
工作負載上次修改日期
-
安全性識別HRIs的數目
-
為安全性HRIs解決的數目
-
安全性方面的問題數量
-
安全性支柱中的問題總數
-
上次更新時間
-
CloudFrontSSL憑證存放區中的自訂憑IAM證
- 描述
-
檢查SSL憑證存放區中的 CloudFront IAM替代網域名稱。這項檢查會在憑證過期、即將過期、使用過期的加密或未正確設定分佈時發出提醒。
當替代網域名稱的自訂憑證到期時,顯示您 CloudFront 內容的瀏覽器可能會顯示有關您網站安全性的警告訊息。使用 SHA -1 雜湊演算法加密的憑證已被大部分的網頁瀏覽器 (例如 Chrome 和 Firefox) 棄用。
憑證包含的網域名稱,必須與原始網域名稱或檢視者請求之主機標頭中的網域名稱相符。如果不匹配,則向用戶 CloudFront 返回 502(錯誤網關)的HTTP狀態碼。如需詳細資訊,請參閱使用替代網域名稱和HTTPS。
- 檢查 ID
-
N425c450f2
- 警示條件
-
-
紅色:自訂SSL憑證已過期。
-
黃色:自訂SSL憑證會在接下來的七天內到期。
-
黃色:使用 SHA -1 雜湊演算法加密自訂SSL憑證。
-
黃色:發行版中的一或多個替代網域名稱不會出現在自訂SSL憑證的「一般名稱」欄位或「主旨別名」欄位中。
-
- 建議的動作
-
我們建議您使用 AWS Certificate Manager 來佈建、管理和部署伺服器憑證。您可以使用要求新憑證ACM,或將現有ACM或外部憑證部署至AWS資源。提供的證書ACM是免費的,可以自動更新。若要取得有關使用的更多資訊ACM,請參閱AWS Certificate Manager 使用指南。若要檢查區域ACM支AWS Certificate Manager 援,請參閱 AWS 一般參考.
更新即將到期的過期憑證或憑證。如需更新憑證的詳細資訊,請參閱管理中IAM的伺服器憑證。
將使用 SHA -1 雜湊演算法加密的憑證取代為使用 SHA -256 雜湊演算法加密的憑證。
以 Common Name (通用名稱) 欄位或 Subject Alternative Names (主體備用網域名稱) 欄位中有適用值的憑證來取代該憑證。
- 其他資源
- 報告欄位
-
-
Status
-
分佈 ID
-
分佈網域名稱
-
憑證名稱
-
原因
-
CloudFront SSL原始伺服器上的憑證
- 描述
-
檢查您的原始伺服器是否有已過期、即將到期、遺失或使用過期加密的SSL憑證。如果憑證有上述其中一個問題,請使用HTTP狀態碼 502「錯誤閘道」 CloudFront 回應內容的要求。
使用 SHA -1 雜湊演算法加密的憑證已被網頁瀏覽器 (例如 Chrome 和 Firefox) 棄用。根據您與 CloudFront分發相關聯的SSL憑證數量,此檢查每月可能會增加幾美分的費用,例 AWS 如,如果您使用 Amazon EC2 或 Elastic Load Balancing 作為 CloudFront 分發的來源。此檢查不會驗證您的原始伺服器憑證鏈結或憑證授權單位。您可以在 CloudFront 配置中檢查這些內容。
- 檢查 ID
-
N430c450f2
- 警示條件
-
-
紅色:您來源的SSL憑證已過期或遺失。
-
黃色:您來源的SSL憑證會在接下來的三十天內到期。
-
黃色:您來源上的SSL憑證已使用 SHA -1 雜湊演算法加密。
-
黃色:找不到您來源的SSL憑證。連線可能因為逾時或其他HTTPS連線問題而失敗。
-
- 建議的動作
-
如果您原始伺服器上的憑證已過期或即將到期,請更新憑證。
如果憑證不存在,則新增憑證。
將使用 SHA -1 雜湊演算法加密的憑證取代為使用 SHA -256 雜湊演算法加密的憑證。
- 其他資源
- 報告欄位
-
-
Status
-
分佈 ID
-
分佈網域名稱
-
Origin
-
原因
-
ELB監聽器安全
- 描述
-
針對未使用建議的安全性組態進行加密通訊的接聽程式,檢查傳統負載平衡器。 AWS 建議您使用安全通訊協定 (HTTPS或SSL)、 up-to-date安全性原則,以及安全的密碼和通訊協定。當您使用安全通訊協定進行前端連線 (用戶端到負載平衡器) 時,用戶端和負載平衡器之間的要求會加密。這將創建一個更安全的環境。Elastic Load Balancing 提供預先定義的安全政策,其加密和通訊協定符合 AWS 安全最佳實務。預先定義政策的新版本會隨著新組態開放使用而發佈。
- 檢查 ID
-
a2sEc6ILx
- 警示條件
-
-
紅色:負載平衡器沒有設定使用安全通訊協定 (HTTPS) 的接聽程式。
-
黃色:負載平衡器HTTPS接聽程式設定為包含弱式密碼的安全性原則。
-
黃色:負載平衡器HTTPS接聽程式未使用建議的安全性原則設定。
-
綠色:負載平衡器至少有一個HTTPS監聽器,AND所有監HTTPS聽器都設定了建議的原則。
-
- 建議的動作
-
如果到負載平衡器的流量必須是安全的,請使用HTTPS或前端連線的通SSL訊協定。
將您的負載平衡器升級至最新版本的預先定義SSL安全性原則。
僅使用建議的密碼和通訊協定。
如需詳細資訊,請參閱 Elastic Load Balancing 的接聽程式組態。
- 其他資源
- 報告欄位
-
-
Status
-
區域
-
負載平衡器名稱
-
負載平衡器連接埠
-
原因
-
Classic Load Balancer 安全群組
- 描述
-
檢查使用安全群組設定的負載平衡器,該群組允許存取未針對負載平衡器設定的連接埠。
如果安全群組允許存取未針對負載平衡器設定的連接埠,資料遺失或遭受惡意攻擊的風險就會增加。
- 檢查 ID
-
xSqX82fQu
- 警示條件
-
-
黃色:與負載平衡器關聯之 Amazon VPC 安全群組的輸入規則允許存取未在負載平衡器的接聽程式組態中定義的連接埠。
-
綠色:與負載平衡器關聯的 Amazon VPC 安全群組的輸入規則不允許存取未在負載平衡器接聽程式組態中定義的連接埠。
-
- 建議的動作
-
設定安全群組規則,以限制只存取負載平衡器接聽程式組態中定義的連接埠和通訊協定,以及支援路徑MTU探索的ICMP通訊協定。請參閱中 C lassic Load Balancer 的接聽程式和負載平衡器的安全群組。VPC
如果遺失安全群組,請將新的安全群組套用至負載平衡器。建立安全群組規則,將存取權設定為僅限僅負載平衡器接聽程式組態中定義的連接埠和通訊協定可以使用。請參閱 a VPC 中負載平衡器的安全群組。
- 其他資源
-
-
Elastic Load Balancing User Guide (《Elastic Load Balancing 使用者指南》)
-
- 報告欄位
-
-
Status
-
區域
-
負載平衡器名稱
-
安全性群組 IDs
-
原因
-
存取金鑰已暴露
- 描述
-
檢查常用的程式碼儲存庫中是否有公開的存取金鑰,以及是否有可能因存取金鑰遭到入侵而造成的不規則 Amazon 彈性運算雲端 (AmazonEC2) 使用情況。
存取金鑰由存取金鑰 ID 和對應的私密存取金鑰組成。遭暴露的存取金鑰會對您的帳戶和其他使用者構成安全風險,可能會導致未經授權的活動或濫用而產生過多費用,以及違反 AWS 客戶協議
。 如果您的存取金鑰已遭暴露,請立即採取行動來保護您的帳戶。為了保護您的帳戶免受過多費用的影響,請 AWS 暫時限制您建立部分 AWS 資源的能力。這無法確保您的帳戶安全。只能限制部分您可能需支付費用的未經授權使用。
注意
這項檢查不保證可識別公開的存取金鑰或遭到入侵的EC2執行個體。您最終應對訪問密鑰和 AWS 資源的安全性負責。
此檢查的結果會自動重新整理,且不允許重新整理請求。目前,您無法從此檢查中排除資源。
如果顯示了訪問密鑰的截止日期, AWS 帳戶 如果未在該日期之前停止未經授權的使用,則 AWS 可能會暫停您的。如果您認為警示有誤,請聯絡 AWS Support
。 中顯示的資訊 Trusted Advisor 可能不會反映您帳戶的最新狀態。在帳戶上所有公開的存取金鑰都解決之前,不會將公開的存取金鑰標記為已解決。此資料同步最多可能需要一週的時間。
- 檢查 ID
-
12Fnkpl8Y5
- 警示條件
-
-
紅色:可能遭到入侵 — AWS 已識別存取金鑰 ID 和對應的秘密存取金鑰,這些金鑰已在網際網路上公開且可能已遭入侵 (已使用)。
-
紅色:公開 — AWS 已識別已在網際網路上公開的存取金鑰 ID 和對應的秘密存取金鑰。
-
紅色:可疑-Amazon EC2 使用不正常表示存取金鑰可能已遭到入侵,但尚未識別為公開在網際網路上。
-
- 建議的動作
-
儘快刪除受影響的存取金鑰。如果金鑰與IAM使用者相關聯,請參閱管理使IAM用者的存取金鑰。
檢查您的帳戶是否有未經授權的使用。登入 AWS Management Console
並檢查每個服務控制台是否存在可疑資源。請特別注意執行 Amazon EC2 執行個體、競價型執行個體請求、存取金鑰和IAM使用者。您還可以在帳單和成本管理主控台 上檢查整體使用情況。 - 其他資源
- 報告欄位
-
-
存取金鑰 ID
-
使用者名稱 (IAM 或根)
-
詐騙類型
-
案例 ID
-
更新時間
-
位置
-
截止日期
-
使用量 (USD每天)
-
IAM 存取金鑰輪換
- 描述
-
檢查過去 90 天未輪換的作用中IAM存取金鑰。
若定期輪換存取金鑰,可以減少在您不知情的情況下使用遭入侵的金鑰來存取資源的機會。就這項檢查的目的而言,上次輪換日期和時間指的是建立存取金鑰或上次啟用的時間。存取金鑰號碼和日期來自最新IAM認證報告中的
access_key_1_last_rotated
和access_key_2_last_rotated
資訊。由於憑證報告的重新產生頻率受到限制,因此重新整理此檢查可能不會反映最近的變更。如需詳細資訊,請參閱取得 AWS 帳戶帳戶的憑證報告。
若要建立和輪換存取金鑰,使用者必須擁有相應的許可。如需詳細資訊,請參閱允許使用者管理自己的密碼、存取金鑰和SSH金鑰。
- 檢查 ID
-
DqdJqYeRm5
- 警示條件
-
-
綠色:存取金鑰處於作用中狀態,並在過去的 90 天內輪換過。
-
黃色:存取金鑰處於作用中狀態,並在過去 2 年內輪換過,但輪換時間已超過 90 天。
-
紅色:存取金鑰處於作用中狀態,但在過去 2 年內沒有輪換過。
-
- 建議的動作
-
定期輪換存取金鑰。請參閱旋轉存取金鑰和管理IAM使用者的存取金鑰。
- 其他資源
- 報告欄位
-
-
Status
-
IAM使用者
-
存取金鑰
-
上次輪換的金鑰
-
原因
-
IAM密碼策略
- 描述
-
檢查帳戶的密碼策略,並在密碼政策未啟用或密碼內容要求未啟用時發出警告。
密碼內容要求可藉由強制建立高強度使用者密碼,提高您 AWS 環境的整體安全性。建立或變更密碼政策時,對立即為新的使用者強制執行該項變更,但不會要求現有使用者變更密碼。
- 檢查 ID
-
Yw2K9puPzl
- 警示條件
-
-
綠色:已啟用密碼原則,且已啟用建議的內容需求。
-
黃色:已啟用密碼政策,但至少有一項內容要求未啟用。
-
- 建議的動作
-
如果未啟用某些內容要求,請考慮啟用它們。如果未啟用密碼政策,請建立並設定一個密碼政策。請參閱設定IAM使用者的帳號密碼策略。
若要存取 AWS Management Console,IAM使用者需要密碼。最佳作法是 AWS 強烈建議您不要建立使用IAM者,而是使用同盟。同盟可讓使用者使用其現有的公司認證來登入 AWS Management Console。使用IAM身分識別中心建立或聯合使用者,然後在帳戶中IAM扮演角色。
若要深入了解身分識別提供者和同盟,請參閱IAM使用者指南中的身分識別提供者和同盟。若要深入了解IAM身分識別中心,請參閱IAM身分識別中心使用者指南。
- 其他資源
- 報告欄位
-
-
密碼政策
-
大寫
-
小寫
-
Number
-
非英數字元
-
IAMSAML2.0 身份提供者
- 描述
-
檢查 AWS 帳戶 是否已設定為透過支援 SAML 2.0 的身分識別提供者 (IdP) 進行存取。集中身分識別並在外部身分識別提供者或AWS IAM Identity Center
中設定使用者時,請務必遵循最佳做法。 - 檢查 ID
-
c2vlfg0p86
- 警示條件
-
-
黃色:此帳戶未設定為透過支援 SAML 2.0 的身分識別提供者 (IdP) 進行存取。
-
綠色:此帳戶設定為透過支援 SAML 2.0 的身分識別提供者 (IdP) 進行存取。
-
- 建議的動作
-
啟用的IAM身分識別中心 AWS 帳戶。如需詳細資訊,請參閱啟用IAM身分識別中心。開啟IAM身分識別中心後,您就可以執行一般工作,例如建立權限集和指派身分識別中心群組的存取權。如需詳細資訊,請參閱一般工作。
在IAM身分識別中心管理人類使用者是最佳做法。但是,您可以在短期內IAM為人類使用者啟動聯合使用者存取,以進行小規模部署。如需詳細資訊,請參閱 SAML2.0 同盟。
- 其他資源
- 報告欄位
-
-
Status
-
AWS 帳戶 身份證
-
上次更新時間
-
MFA在根帳號上
- 描述
-
檢查 root 帳號,並警告是否未啟用多重要素驗證 (MFA)。
為了提高安全性,我們建議您使用以保護您的帳戶MFA,這會要求用戶在與 AWS Management Console 和相關網站進行互動時,從其MFA硬件或虛擬設備輸入唯一的身份驗證碼。
- 檢查 ID
-
7DAFEmoDos
- 警示條件
-
紅色:MFA根帳號未啟用。
- 建議的動作
-
登錄到您的 root 帳戶並激活設MFA備。請參閱檢查MFA狀態和設定MFA裝置。
您可以隨時前往「安全登入資料」頁面啟用MFA您的帳戶。若要執行此操作,請在中選擇帳戶功能表下拉式清單AWS Management Console。AWS支援多種業界標準形式MFA,例如FIDO2虛擬驗證器。這使您可以靈活地選擇符合您需求的MFA設備。如果其中一部MFA裝置遺失或停止運作,最佳做法是註冊多個裝置MFA以取得復原能力。
- 其他資源
-
如需詳細資訊,請參閱用戶指南中的啟用MFA裝置的一般步驟和為 AWS 帳戶 root 使用IAM者啟用虛擬裝置 (主控台)。MFA
根使用者存取金鑰
- 描述
-
檢查根用戶訪問密鑰是否存在。強烈建議您不要為 root 使用者建立存取金鑰配對。由於只有少數工作需要 root 使用者,而且您通常不常執行這些工作,因此最佳作法是登入以執行 root 使用者工作。 AWS Management Console 建立存取金鑰之前,請先檢閱長期存取金鑰的替代方案。
- 檢查 ID
-
c2vlfg0f4h
- 警示條件
-
紅色:根使用者存取金鑰存在
綠色:根使用者存取金鑰不存在
- 建議的動作
-
刪除 root 使用者的存取金鑰。請參閱刪除 root 使用者的存取金鑰。此工作必須由 root 使用者執行。您無法以IAM使用者或角色的身分執行這些步驟。
- 其他資源
- 報告欄位
-
-
Status
-
帳戶 ID
-
上次更新時間
-
安全群組-— 不受限制的特定連接埠
- 描述
-
檢查安全群組的規則是否允許對特定連接埠進行無限制存取 (0.0.0.0/0)。
不受限制的訪問增加了惡意活動(黑客 denial-of-service 攻擊,攻擊,數據丟失)的機會。風險最高的連接埠會標示為紅色,而風險較低的連接埠會標示為黃色。標記為綠色的連接埠通常會由需要不受限制存取的應用程式使用,例如HTTP和。SMTP
如果您刻意以這種方式設定安全群組,建議您使用其他安全措施來保護基礎設施 (例如 IP 表)。
注意
此檢查只會評估您建立的安全性群組及其IPv4位址的輸入規則。由建立的安全性群組 AWS Directory Service 會標記為紅色或黃色,但不會造成安全性風險,可以排除。如需詳細資訊,請參閱Trusted Advisor FAQ
。 - 檢查 ID
-
HCP4007jGY
- 警示條件
-
-
綠色:安全性群組可在連接埠 80、25、443 或 465 上提供不受限制的存取。
-
紅色:安全性群組已附加至資源,並提供對連接埠 20、21、22、1433、1434、3306、3389、4333、5432 或 5500 的不受限制存取。
-
黃色:安全群組提供對任何其他連接埠的不受限制存取。
-
黃色:安全群組未附加至任何資源,而且提供不受限制的存取。
-
- 建議的動作
-
將存取權設定為僅限需要存取權的 IP 地址使用。若要將存取權設定為僅限特定 IP 地址使用,請將尾碼設定為 /32 (例如 192.0.2.10/32)。建立更嚴格的規則之後,請務必刪除過於寬鬆的規則。
檢閱並刪除未使用的安全性群組。您可以使 AWS Firewall Manager 用集中設定和管理大規模的安全群組。如需詳細資訊,請參閱AWS Firewall Manager 文件。 AWS 帳戶
請考慮使用 Systems Manager 員工作階段管理員來存取EC2執行個體 RDP (連接埠 22) 和 (連接埠 3389)。SSH使用工作階段管理員,您可以存取EC2執行個體,而無需在安全性群組中啟用連接埠 22 和 3389。
- 其他資源
- 報告欄位
-
-
Status
-
區域
-
安全群組名稱
-
安全群組 ID
-
通訊協定
-
從連接埠
-
到連接埠
-
關聯
-
安全群組 - 不受限制的存取
- 描述
-
檢查安全群組的規則是否允許不受限制存取資源。
不受限制的訪問增加了惡意活動(黑客 denial-of-service 攻擊,攻擊,數據丟失)的機會。
注意
此檢查只會評估您建立的安全性群組及其IPv4位址的輸入規則。由建立的安全性群組 AWS Directory Service 會標記為紅色或黃色,但不會造成安全性風險,可以排除。如需詳細資訊,請參閱Trusted Advisor FAQ
。 - 檢查 ID
-
1iG5NDGVre
- 警示條件
-
-
綠色:安全性群組規則的來源 IP 位址具有連接埠 25、80 或 443 的尾碼為 /0。
-
黃色:對於 25、80 或 443 以外的連接埠,安全性群組規則具有 /0 尾碼的來源 IP 位址,且安全性群組已附加至資源。
-
紅色:安全性群組規則的來源 IP 位址為 25、80 或 443 以外的連接埠,尾碼為 /0,且安全性群組未附加至資源。
-
- 建議的動作
-
將存取權設定為僅限需要存取權的 IP 地址使用。若要將存取權設定為僅限特定 IP 地址使用,請將尾碼設定為 /32 (例如 192.0.2.10/32)。建立更嚴格的規則之後,請務必刪除過於寬鬆的規則。
檢閱並刪除未使用的安全性群組。您可以使 AWS Firewall Manager 用集中設定和管理大規模的安全群組。如需詳細資訊,請參閱AWS Firewall Manager 文件。 AWS 帳戶
請考慮使用 Systems Manager 員工作階段管理員來存取EC2執行個體 RDP (連接埠 22) 和 (連接埠 3389)。SSH使用工作階段管理員,您可以存取EC2執行個體,而無需在安全性群組中啟用連接埠 22 和 3389。
- 其他資源
- 報告欄位
-
-
Status
-
區域
-
安全群組名稱
-
安全群組 ID
-
通訊協定
-
從連接埠
-
到連接埠
-
IP 範圍
-
關聯
-