安全

檢查 Amazon 日 CloudWatch 誌群組保留期是否設定為 365 天或其他指定的數字。

根據預設，日誌將無限期保留且永遠不會過期。不過，您可以調整每個日誌群組的保留原則，以符合特定期間的產業法規或法律要求。

您可以使用 AWS Config 規則中的和MinRetentionTime參數來指定最短保留時間LogGroupNames和記錄群組名稱。

c18d2gz186

AWS Config Managed Rule: cw-loggroup-retention-period-check

黃色：Amazon 日 CloudWatch 誌群組的保留期間小於所需的最短天數。

為儲存在 Amazon CloudWatch Logs 中的日誌資料設定超過 365 天的保留期，以符合合規要求。

如需詳細資訊，請參閱變更 CloudWatch 記錄檔中的記錄檔資料保留。

更改 CloudWatch 日誌保留

檢查SQL伺服器版本是否有過去 24 小時內執行的 Amazon 彈性運算雲端 (AmazonEC2) 執行個體。這項檢查會在版本接近或已達到終止支援時發出提醒。每個SQL伺服器版本都提供 10 年的支援，包括 5 年的主流支援和 5 年的延伸支援。支援結束後，SQL伺服器版本將不會收到定期的安全性更新。執行不支援SQL伺服器版本的應用程式可能會帶來安全性或合規性

Qsdfp3A4L3

若要將SQL伺服器工作負載現代化，請考慮重構至 Amazon Aurora 等 AWS 雲端 原生資料庫。如需詳細資訊，請參閱使用 AWS.

若要移至全受管資料庫，請考慮重新平台為 Amazon Relational Database Service (AmazonRDS)。如需詳細資訊，請參閱 Amazon SQL 伺RDS服器版。

要在 Amazon 上升級您的SQL服務器EC2，請考慮使用自動化手冊來簡化升級。如需詳細資訊，請參閱 AWS Systems Manager 文件。

如果您無法在 Amazon 上升級SQL服務器EC2，請考慮 Windows 服務器的終止 Support 遷移計劃（EMP）。如需詳細資訊，請參閱EMP網站。

這項檢查會在版本接近或已達到終止支援時發出提醒。每個 Windows Server 版本都提供 10 年的支援。這包括 5 年的主流支援和 5 年的延長支援。終止支援後，Windows Server 版本將不會收到定期的安全更新。如果您使用不支援的 Windows Server 版本執行應用程式，則會危及這些應用程式的安全性或法規遵循。

Qsdfp3A4L4

若要將您的 Windows 伺服器工作負載現代化，請考慮使用將 Windows 工作負載現代化的各種選項。 AWS

若要升級您的 Windows Server 工作負載，以便在更新版本的 Windows Server 上執行，您可以使用自動化 Runbook。如需詳細資訊，請參閱 AWS Systems Manager 文件。

請按照以下步驟操作：

如果版本接近或已達到標準支援結束，則此檢查會提醒您。採取行動很重要-通過遷移到下一個LTS或升級到 Ubuntu Pro。支援結束後，您的 18.04 部LTS電腦將不會收到任何安全性更新。使用 Ubuntu 專業版訂閱，您的 Ubuntu 18.04 LTS 部署可以收到擴充的安全性維護 (ESM)，直到 2028 年為止。仍未修補的安全漏洞會使您的系統對黑客開放，並且可能發生重大漏洞。

c1dfprch15

紅色：Amazon EC2 執行個體的 Ubuntu 版本已達到標準支援的終止 (Ubuntu 18.04 LTS、18.04.1、18.04.2、18.04.3 LTS、18.04.4 LTS、18.04.5 和 18.0 LTS 4.6)。LTS LTS LTS

黃色：Amazon EC2 執行個體的 Ubuntu 版本將在不到 6 個月內達到標準支援結束 (Ubuntu 20.04 LTS、20.04.1、20.04.2、20.04.3 LTS、20.04.4 LTS、20.04.5 和 20.0 LTS 4.6)。LTS LTS LTS

綠色：所有 Amazon EC2 執行個體都符合規定。

若要將 Ubuntu 18.04 LTS 執行個體升級至受支援的LTS版本，請依照本文中提到的步驟執行。要將 Ubuntu 18.04 LTS 實例升級到 Ubuntu Pro，請訪問 AWS License Manager 控制台並按照AWS License Manager 用戶指南中提到的步驟進行操作。您還可以參考 Ubuntu 博客，其中顯示了將 Ubuntu 實例升級到 Ubuntu Pro 的一步一步演示。

如需定價的相關資訊，請聯絡AWS Support。

檢查 Amazon EFS 檔案系統是否使用 data-in-transit 加密裝載。 AWS 建議客戶對所有資料流程使用 data-in-transit 加密，以保護資料免於意外外洩或未經授權的存取。Amazon EFS 建議客戶使用「-o tls」掛載設置，使用 Amazon EFS 掛載幫助程序使用 v1.2 來加密傳輸中的數據。TLS

c1dfpnchv1

黃色：Amazon EFS 檔案系統的一或多個用NFS戶端未使用提供 data-in-transit 加密的建議掛載設定。

綠色：Amazon EFS 檔案系統的所有用NFS戶端都使用提供 data-in-transit 加密的建議掛載設定。

若要利用 Amazon 上的 data-in-transit 加密功能EFS，建議您使用 Amazon 掛載協助程式和建議的掛載設定重新EFS掛載檔案系統。

檢查 Amazon 彈性區塊存放區 (AmazonEBS) 磁碟區快照的權限設定，並在有任何可公開存取的快照時提醒您。

當您將快照集設為公開時，您可以授予所有 AWS 帳戶 和使用者存取快照上所有資料的權限。若只要與特定使用者或帳戶共用快照，請將快照標記為私人。然後，指定您要與其共用快照資料的一個或多個使用者帳戶。請注意，如果您在「封鎖所有共用」模式中啟用了封鎖公開存取，則您的公開快照將無法公開存取，也不會顯示在此檢查結果中。

ePs02jT06w

紅色：EBS磁碟區快照可公開存取。

除非您確定要與所有使用者 AWS 帳戶 和使用者共用快照中的所有資料，否則請修改權限：將快照標記為私人，然後指定要授予權限的帳戶。如需詳細資訊，請參閱共用 Amazon EBS 快照。使用EBS快照的封鎖公用存取來控制允許公開存取資料的設定。此檢查無法從 Trusted Advisor 主控台的檢視中排除。

若要直接修改快照的權限，請使用 AWS Systems Manager 主控台中的 runbook。如需詳細資訊，請參閱AWSSupport-ModifyEBSSnapshotPermission。

Amazon EBS 快照

Amazon 使用您管理的金鑰，RDS支援所有資料庫引擎的靜態加密 AWS Key Management Service。在具有 Amazon RDS 加密的作用中資料庫執行個體上，儲存在儲存中的靜態資料會加密，類似於自動備份、僅供讀取複本和快照。

如果在建立 Aurora DB 叢集時未開啟加密，則必須將解密的快照還原到加密的資料庫叢集。

c1qf5bt005

紅色：Amazon RDS Aurora 資源未啟用加密。

開啟資料庫叢集的靜態資料加密。

您可以在建立資料庫執行個體時開啟加密，或使用因應措施在作用中資料庫執行個體上開啟加密。您無法將解密的資料庫叢集修改為加密的資料庫叢集。不過，您可以將解密的快照還原到加密的資料庫叢集。從解密的快照還原時，必須指定 AWS KMS 金鑰。

如需詳細資訊，請參閱加密 Amazon Aurora 資源。

您的資料庫資源沒有執行最新的次要資料庫引擎版本。最新的次要版本包含最新的安全性修正和其他改進。

c1qf5bt003

黃色：Amazon RDS 資源未執行最新的次要資料庫引擎版本。

升級至最新的引擎版本。

我們建議您使用最新的 DB Engine 次要版本來維護資料庫，因為此版本包含最新的安全性和功能修正。數據庫引擎次要版本升級僅包含與相同主要版本的數據庫引擎的早期次要版本向後兼容的更改。

如需詳細資訊，請參閱升級資料庫執行個體引擎版本。

檢查 Amazon 關聯式資料庫服務 (AmazonRDS) 資料庫快照的權限設定，並在有任何快照標示為公開時提醒您。

當您將快照集設為公開時，您可以授予所有 AWS 帳戶 和使用者存取快照上所有資料的權限。如果您只想與特定使用者或帳戶共用快照，請將快照標示為私有。然後指定您要共用快照資料的使用者或帳戶。

rSs93HQwa1

紅色：Amazon RDS 快照標記為公開。

除非您確定要與所有使用者 AWS 帳戶 和使用者共用快照中的所有資料，否則請修改權限：將快照標記為私人，然後指定要授予權限的帳戶。如需詳細資訊，請參閱共用資料庫快照或資料庫叢集快照。此檢查無法從 Trusted Advisor 主控台的檢視中排除。

若要直接修改快照的權限，您可以使用 AWS Systems Manager 主控台中的 runbook。如需詳細資訊，請參閱AWSSupport-ModifyRDSSnapshotPermission。

備份和還原 Amazon RDS 資料庫執行個體

檢查 Amazon Relational Database Service (AmazonRDS) 的安全群組組態，並在安全群組規則授予資料庫過度寬鬆存取時發出警告。安全群組規則的建議組態是僅允許從特定 Amazon 彈性運算雲端 (AmazonEC2) 安全群組或特定 IP 位址存取。

nNauJisYIT

EC2-經典版於 2022 年 8 月 15 日退休。建議將您的 Amazon RDS 實例移動到一個VPC並使用 Amazon EC2 安全組。有關將資料庫執行個體移至的詳細資訊，VPC請參閱將不在的資料庫執行個體移VPC入 VPC.

如果您無法將 Amazon RDS 執行個體遷移到 aVPC，請檢閱您的安全群組規則，並限制對授權 IP 地址或 IP 範圍的存取。若要編輯安全性群組，請使用 A uthorizeDBSecurity GroupIngress API 或 AWS Management Console。如需詳細資訊，請參閱使用資料庫安全群組。

Amazon 使用您管理的金鑰，RDS支援所有資料庫引擎的靜態加密 AWS Key Management Service。在具有 Amazon RDS 加密的作用中資料庫執行個體上，儲存在儲存中的靜態資料會加密，類似於自動備份、僅供讀取複本和快照。

如果在建立資料庫執行個體時未開啟加密，則必須先還原已解密快照的加密副本，然後再開啟加密。

c1qf5bt006

紅色：Amazon RDS 資源未啟用加密。

為資料庫執行個體開啟靜態資料加密。

只有在建立資料庫執行個體時，才能加密資料庫執行個體。若要加密現有作用中資料庫執行個體：

如需詳細資訊，請參閱下列資源：

檢查具有直接指向 Amazon S3 儲存貯體主機名稱的CNAME記錄的 Amazon Route 53 託管區域，如果您的 S3 儲存貯體名稱CNAME不符，則會發出警示。

c1ng44jvbm

紅色：Amazon Route 53 託管區域的CNAME記錄指向 S3 存儲桶主機名稱不匹配。

綠色：在您的 Amazon Route 53 託管區域中找不到不CNAME匹配的記錄。

將CNAME記錄指向 S3 儲存貯體主機名稱時，必須確定您設定的任何CNAME或別名記錄都有相符的儲存貯體。通過這樣做，您可以避免CNAME記錄被欺騙的風險。您還可以防止任何未經授權的 AWS 用戶在您的域中託管錯誤或惡意的 Web 內容。

若要避免將CNAME記錄直接指向 S3 儲存貯體主機名稱，請考慮使用來源存取控制 (OAC) 透過 Amazon CloudFront 存取 S3 儲存貯體 Web 資產。

如需關聯 CNAME Amazon S3 儲存貯體主機名稱的詳細資訊，請參閱URLs使用CNAME記錄自訂 Amazon S3。

對於每個 MX 記錄，檢查包含有效SPF值的關聯TXT記錄。記TXT錄值必須以「v=spf1" 開頭。SPF記錄類型已由網際網路工程工作小組 (IETF) 棄用。使用 Route 53，我是使用TXT記錄而不是記錄的最佳做法。SPF Trusted Advisor 當 MX 記錄至少有一個有效SPF值的關聯TXT記錄時，此檢查會報告為綠色。

c9D319e7sG

針對每個 MX 資源記錄集，建立包含有效SPF值的TXT資源記錄集。如需詳細資訊，請參閱寄件者政策架構：SPF記錄語法和使用 Amazon Route 53 主控台建立資源記錄集。

在 Amazon Simple Storage Service (Amazon S3) 中檢查具有開放存取權限或允許存取任何已驗證 AWS 使用者的儲存貯體。

此檢查會檢查明確的儲存貯體許可，以及可能會覆寫這些許可的儲存貯體政策。建議不要將 Amazon S3 儲存貯體的 List 存取權授予所有使用者。這些許可有可能導致非預期的使用者以高頻率列出儲存貯體中的物件，進而造成費用高於預期。授予上傳和刪除存取權給所有人的許可，可能會導致儲存貯體中出現安全漏洞。

Pfx0RwqBli

如果儲存貯體授予開放式存取權，請確定是否真的需要開放式存取權。例如，若要託管靜態網站，您可以使用 Amazon CloudFront 來提供在 Amazon S3 上託管的內容。請參閱 Amazon CloudFront 開發人員指南中的限制對 anAmazon S3 來源的存取。請盡可能更新值區權限，以限制擁有者或特定使用者的存取權。使用 Amazon S3 封鎖公開存取，控制允許公開存取資料的設定。設定設定儲存貯體及物件存取許可。

管理對您 Amazon S3 資源的存取許可

為您的 Amazon S3 儲存貯體設定區塊公開存取設定

檢查您的VPC對等連接是否同時為接受者和請求者開啟DNS解析度。VPCs

DNS對VPC等連接的解析度允許從您的查詢時將公共DNS主機名稱解析為私人IPv4地址。VPC這允許在對等VPCs資源之間使用DNS名稱進行通信。DNSVPC對等連線中的解析度可讓應用程式開發與管理變得更簡單、更不容易出錯，並確保資源永遠透過對等連線進行私密通訊。VPC

您可以使用VPCIDs AWS Config 規則中的vpcIds參數來指定。

如需詳細資訊，請參閱啟用對VPC等連線的DNS解析度。

c18d2gz124

AWS Config Managed Rule: vpc-peering-dns-resolution-check

黃色：對等連線VPCs中的接受者與請求者都不會啟用DNS解析度。VPC

開啟對VPC等連線的DNS解析度。

檢查 Application Load Balancer (ALB) 目標群組是否使用通訊HTTPS協定來加密後端目標類型的執行個體或 IP 傳輸中的通訊。HTTPSALB與後端目標之間的要求有助於維護傳輸中資料的機密性。

c2vlfg0p1w

設定 instnace 或 IP 的後端目標類型以支援HTTPS存取，並變更目標群組以使用通訊HTTPS協定來加密執行個體或 IP 目標類型ALB與後端目標類型之間的通訊。

強制執行傳輸中加密

Application Load Balancer 目標

Application Load Balancer 路由

Elastic Load Balancing 中的資料保護

檢查 AWS Backup Vault 是否具有可防止復原點刪除的貼附以資源為基礎的策略。

資源型政策可防止意外刪除復原點，讓您以最低權限對備份資料強制執行存取控制。

您可以指 AWS Identity and Access Management ARNs定不希望規則簽入規則principalArnList參數的 AWS Config 規則。

c18d2gz152

AWS Config Managed Rule: backup-recovery-point-manual-deletion-disabled

黃色：有些 AWS Backup Vault 沒有以資源為基礎的政策，以防止刪除復原點。

為您的 AWS Backup Vault 建立以資源為基礎的政策，以防止意外刪除復原點。

此原則必須包含具備備份:DeleteRecoveryPoint、備份:和備份:UpdateRecoveryPointLifecyclePutBackupVaultAccessPolicy 權限的「拒絕」陳述式。

如需詳細資訊，請參閱設定備份文件庫的存取政策。

檢查您使用的 AWS CloudTrail. CloudTrail AWS 帳戶 通過記錄有關在帳戶上進行的 AWS API呼叫的信息，提高了對您的活動的可見性。例如，您可以使用這些日誌來判斷特定使用者在指定時段內採取的動作，或是哪些使用者在指定時段內對特定資源採取了動作。

由於將日誌檔 CloudTrail 交付到 Amazon Simple Storage Service (Amazon S3) 儲存貯體，因此 CloudTrail 必須具有儲存貯體的寫入許可。如果某筆追蹤記錄會套用到所有區域 (建立新追蹤記錄時的預設值)，該追蹤記錄會多次出現在 Trusted Advisor 報告中。

vjafUGJ9H0

若要從主控台建立追蹤並開始記錄，請移至 AWS CloudTrail 主控台。

若要開始記錄，請參閱停止和開始追蹤記錄。

如果您收到日誌交付錯誤，請檢查以確認儲存貯體存在，且必要的政策已連接至儲存貯體。請參閱 Amazon S3 儲存貯體政策。

檢查其 $ LATEST 版本設定為使用接近棄用或已棄用的執行階段的 Lambda 函數。已淘汰的執行階段不符合安全性更新或技術支援的資格

已發佈的 Lambda 函數版本是不可變的，這表示可以叫用它們，但無法更新它們。只能更新 Lambda 函數的 $LATEST 版本。如需詳細資訊，請參閱 Lambda 函數版本。

L4dfs2Q4C5

如果您有函數正在接近棄用的執行階段上執行，您應該準備將這些函數遷移至受支援的執行階段。如需詳細資訊，請參閱執行階段支援政策。

建議您刪除已不再使用的先前函數版本。

Lambda 執行階段

在安全性支柱中檢查工作負載是否存在高風險問題 (HRIs)。這項檢查是以您的 AWS-Well Architected 檢閱為基礎。您的檢查結果取決於您是否使用 AWS Well-Architected 完成工作負載評估。

Wxdfp4B1L3

AWS Well-Architected，在您的工作負載評估期間偵測到高風險問題。解決這些問題，可能有機會降低風險和節省成本。登入 AWS Well-Architected 工具，檢閱答案並採取行動，解決待處理的問題。

檢查SSL憑證存放區中的 CloudFront IAM替代網域名稱。這項檢查會在憑證過期、即將過期、使用過期的加密或未正確設定分佈時發出提醒。

當替代網域名稱的自訂憑證到期時，顯示您 CloudFront 內容的瀏覽器可能會顯示有關您網站安全性的警告訊息。使用 SHA -1 雜湊演算法加密的憑證已被大部分的網頁瀏覽器 (例如 Chrome 和 Firefox) 棄用。

憑證包含的網域名稱，必須與原始網域名稱或檢視者請求之主機標頭中的網域名稱相符。如果不匹配，則向用戶 CloudFront 返回 502（錯誤網關）的HTTP狀態碼。如需詳細資訊，請參閱使用替代網域名稱和HTTPS。

N425c450f2

我們建議您使用 AWS Certificate Manager 來佈建、管理和部署伺服器憑證。您可以使用要求新憑證ACM，或將現有ACM或外部憑證部署至AWS資源。提供的證書ACM是免費的，可以自動更新。若要取得有關使用的更多資訊ACM，請參閱AWS Certificate Manager 使用指南。若要檢查區域ACM支AWS Certificate Manager 援，請參閱 AWS 一般參考.

更新即將到期的過期憑證或憑證。如需更新憑證的詳細資訊，請參閱管理中IAM的伺服器憑證。

將使用 SHA -1 雜湊演算法加密的憑證取代為使用 SHA -256 雜湊演算法加密的憑證。

以 Common Name (通用名稱) 欄位或 Subject Alternative Names (主體備用網域名稱) 欄位中有適用值的憑證來取代該憑證。

使用HTTPS連接來訪問您的對象

匯入憑證

AWS Certificate Manager 使用者指南

檢查您的原始伺服器是否有已過期、即將到期、遺失或使用過期加密的SSL憑證。如果憑證有上述其中一個問題，請使用HTTP狀態碼 502「錯誤閘道」 CloudFront 回應內容的要求。

使用 SHA -1 雜湊演算法加密的憑證已被網頁瀏覽器 (例如 Chrome 和 Firefox) 棄用。根據您與 CloudFront分發相關聯的SSL憑證數量，此檢查每月可能會增加幾美分的費用，例 AWS 如，如果您使用 Amazon EC2 或 Elastic Load Balancing 作為 CloudFront 分發的來源。此檢查不會驗證您的原始伺服器憑證鏈結或憑證授權單位。您可以在 CloudFront 配置中檢查這些內容。

N430c450f2

如果您原始伺服器上的憑證已過期或即將到期，請更新憑證。

如果憑證不存在，則新增憑證。

將使用 SHA -1 雜湊演算法加密的憑證取代為使用 SHA -256 雜湊演算法加密的憑證。

使用替代網域名稱和 HTTPS

針對未使用建議的安全性組態進行加密通訊的接聽程式，檢查傳統負載平衡器。 AWS 建議您使用安全通訊協定 (HTTPS或SSL)、 up-to-date安全性原則，以及安全的密碼和通訊協定。當您使用安全通訊協定進行前端連線 (用戶端到負載平衡器) 時，用戶端和負載平衡器之間的要求會加密。這將創建一個更安全的環境。Elastic Load Balancing 提供預先定義的安全政策，其加密和通訊協定符合 AWS 安全最佳實務。預先定義政策的新版本會隨著新組態開放使用而發佈。

a2sEc6ILx

如果到負載平衡器的流量必須是安全的，請使用HTTPS或前端連線的通SSL訊協定。

將您的負載平衡器升級至最新版本的預先定義SSL安全性原則。

僅使用建議的密碼和通訊協定。

如需詳細資訊，請參閱 Elastic Load Balancing 的接聽程式組態。

檢查使用安全群組設定的負載平衡器，該群組允許存取未針對負載平衡器設定的連接埠。

如果安全群組允許存取未針對負載平衡器設定的連接埠，資料遺失或遭受惡意攻擊的風險就會增加。

xSqX82fQu

設定安全群組規則，以限制只存取負載平衡器接聽程式組態中定義的連接埠和通訊協定，以及支援路徑MTU探索的ICMP通訊協定。請參閱中 C lassic Load Balancer 的接聽程式和負載平衡器的安全群組。VPC

如果遺失安全群組，請將新的安全群組套用至負載平衡器。建立安全群組規則，將存取權設定為僅限僅負載平衡器接聽程式組態中定義的連接埠和通訊協定可以使用。請參閱 a VPC 中負載平衡器的安全群組。

檢查常用的程式碼儲存庫中是否有公開的存取金鑰，以及是否有可能因存取金鑰遭到入侵而造成的不規則 Amazon 彈性運算雲端 (AmazonEC2) 使用情況。

存取金鑰由存取金鑰 ID 和對應的私密存取金鑰組成。遭暴露的存取金鑰會對您的帳戶和其他使用者構成安全風險，可能會導致未經授權的活動或濫用而產生過多費用，以及違反 AWS 客戶協議。

如果您的存取金鑰已遭暴露，請立即採取行動來保護您的帳戶。為了保護您的帳戶免受過多費用的影響，請 AWS 暫時限制您建立部分 AWS 資源的能力。這無法確保您的帳戶安全。只能限制部分您可能需支付費用的未經授權使用。

如果顯示了訪問密鑰的截止日期， AWS 帳戶 如果未在該日期之前停止未經授權的使用，則 AWS 可能會暫停您的。如果您認為警示有誤，請聯絡 AWS Support。

中顯示的資訊 Trusted Advisor 可能不會反映您帳戶的最新狀態。在帳戶上所有公開的存取金鑰都解決之前，不會將公開的存取金鑰標記為已解決。此資料同步最多可能需要一週的時間。

12Fnkpl8Y5

儘快刪除受影響的存取金鑰。如果金鑰與IAM使用者相關聯，請參閱管理使IAM用者的存取金鑰。

檢查您的帳戶是否有未經授權的使用。登入 AWS Management Console 並檢查每個服務控制台是否存在可疑資源。請特別注意執行 Amazon EC2 執行個體、競價型執行個體請求、存取金鑰和IAM使用者。您還可以在帳單和成本管理主控台上檢查整體使用情況。

檢查過去 90 天未輪換的作用中IAM存取金鑰。

若定期輪換存取金鑰，可以減少在您不知情的情況下使用遭入侵的金鑰來存取資源的機會。就這項檢查的目的而言，上次輪換日期和時間指的是建立存取金鑰或上次啟用的時間。存取金鑰號碼和日期來自最新IAM認證報告中的access_key_1_last_rotated和access_key_2_last_rotated資訊。

由於憑證報告的重新產生頻率受到限制，因此重新整理此檢查可能不會反映最近的變更。如需詳細資訊，請參閱取得 AWS 帳戶帳戶的憑證報告。

若要建立和輪換存取金鑰，使用者必須擁有相應的許可。如需詳細資訊，請參閱允許使用者管理自己的密碼、存取金鑰和SSH金鑰。

DqdJqYeRm5

定期輪換存取金鑰。請參閱旋轉存取金鑰和管理IAM使用者的存取金鑰。

檢查帳戶的密碼策略，並在密碼政策未啟用或密碼內容要求未啟用時發出警告。

密碼內容要求可藉由強制建立高強度使用者密碼，提高您 AWS 環境的整體安全性。建立或變更密碼政策時，對立即為新的使用者強制執行該項變更，但不會要求現有使用者變更密碼。

Yw2K9puPzl

如果未啟用某些內容要求，請考慮啟用它們。如果未啟用密碼政策，請建立並設定一個密碼政策。請參閱設定IAM使用者的帳號密碼策略。

若要存取 AWS Management Console，IAM使用者需要密碼。最佳作法是 AWS 強烈建議您不要建立使用IAM者，而是使用同盟。同盟可讓使用者使用其現有的公司認證來登入 AWS Management Console。使用IAM身分識別中心建立或聯合使用者，然後在帳戶中IAM扮演角色。

若要深入了解身分識別提供者和同盟，請參閱IAM使用者指南中的身分識別提供者和同盟。若要深入了解IAM身分識別中心，請參閱IAM身分識別中心使用者指南。

管理密碼

檢查 AWS 帳戶 是否已設定為透過支援 SAML 2.0 的身分識別提供者 (IdP) 進行存取。集中身分識別並在外部身分識別提供者或AWS IAM Identity Center中設定使用者時，請務必遵循最佳做法。

c2vlfg0p86

啟用的IAM身分識別中心 AWS 帳戶。如需詳細資訊，請參閱啟用IAM身分識別中心。開啟IAM身分識別中心後，您就可以執行一般工作，例如建立權限集和指派身分識別中心群組的存取權。如需詳細資訊，請參閱一般工作。

在IAM身分識別中心管理人類使用者是最佳做法。但是，您可以在短期內IAM為人類使用者啟動聯合使用者存取，以進行小規模部署。如需詳細資訊，請參閱 SAML2.0 同盟。

什麼是IAM身分識別中心？

什麼是IAM？

檢查 root 帳號，並警告是否未啟用多重要素驗證 (MFA)。

為了提高安全性，我們建議您使用以保護您的帳戶MFA，這會要求用戶在與 AWS Management Console 和相關網站進行互動時，從其MFA硬件或虛擬設備輸入唯一的身份驗證碼。

7DAFEmoDos

紅色：MFA根帳號未啟用。

登錄到您的 root 帳戶並激活設MFA備。請參閱檢查MFA狀態和設定MFA裝置。

您可以隨時前往「安全登入資料」頁面啟用MFA您的帳戶。若要執行此操作，請在中選擇帳戶功能表下拉式清單AWS Management Console。AWS支援多種業界標準形式MFA，例如FIDO2虛擬驗證器。這使您可以靈活地選擇符合您需求的MFA設備。如果其中一部MFA裝置遺失或停止運作，最佳做法是註冊多個裝置MFA以取得復原能力。

如需詳細資訊，請參閱用戶指南中的啟用MFA裝置的一般步驟和為 AWS 帳戶 root 使用IAM者啟用虛擬裝置 (主控台)。MFA

檢查根用戶訪問密鑰是否存在。強烈建議您不要為 root 使用者建立存取金鑰配對。由於只有少數工作需要 root 使用者，而且您通常不常執行這些工作，因此最佳作法是登入以執行 root 使用者工作。 AWS Management Console 建立存取金鑰之前，請先檢閱長期存取金鑰的替代方案。

c2vlfg0f4h

紅色：根使用者存取金鑰存在

綠色：根使用者存取金鑰不存在

刪除 root 使用者的存取金鑰。請參閱刪除 root 使用者的存取金鑰。此工作必須由 root 使用者執行。您無法以IAM使用者或角色的身分執行這些步驟。

需要 root 使用者認證的工作

重設遺失或忘記的 root 使用者密碼

檢查安全群組的規則是否允許對特定連接埠進行無限制存取 (0.0.0.0/0)。

不受限制的訪問增加了惡意活動（黑客 denial-of-service 攻擊，攻擊，數據丟失）的機會。風險最高的連接埠會標示為紅色，而風險較低的連接埠會標示為黃色。標記為綠色的連接埠通常會由需要不受限制存取的應用程式使用，例如HTTP和。SMTP

如果您刻意以這種方式設定安全群組，建議您使用其他安全措施來保護基礎設施 (例如 IP 表)。

HCP4007jGY

將存取權設定為僅限需要存取權的 IP 地址使用。若要將存取權設定為僅限特定 IP 地址使用，請將尾碼設定為 /32 (例如 192.0.2.10/32)。建立更嚴格的規則之後，請務必刪除過於寬鬆的規則。

檢閱並刪除未使用的安全性群組。您可以使 AWS Firewall Manager 用集中設定和管理大規模的安全群組。如需詳細資訊，請參閱AWS Firewall Manager 文件。 AWS 帳戶

請考慮使用 Systems Manager 員工作階段管理員來存取EC2執行個體 RDP (連接埠 22) 和 (連接埠 3389)。SSH使用工作階段管理員，您可以存取EC2執行個體，而無需在安全性群組中啟用連接埠 22 和 3389。

檢查安全群組的規則是否允許不受限制存取資源。

不受限制的訪問增加了惡意活動（黑客 denial-of-service 攻擊，攻擊，數據丟失）的機會。

1iG5NDGVre

將存取權設定為僅限需要存取權的 IP 地址使用。若要將存取權設定為僅限特定 IP 地址使用，請將尾碼設定為 /32 (例如 192.0.2.10/32)。建立更嚴格的規則之後，請務必刪除過於寬鬆的規則。

檢閱並刪除未使用的安全性群組。您可以使 AWS Firewall Manager 用集中設定和管理大規模的安全群組。如需詳細資訊，請參閱AWS Firewall Manager 文件。 AWS 帳戶

請考慮使用 Systems Manager 員工作階段管理員來存取EC2執行個體 RDP (連接埠 22) 和 (連接埠 3389)。SSH使用工作階段管理員，您可以存取EC2執行個體，而無需在安全性群組中啟用連接埠 22 和 3389。