本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

Accelerate 中的其他 Security Hub 控制項

下列補償性控制項可在 Accelerate 中使用。

Lambda.3 - Lambda 函數應該位於 VPC 中

資源：

AMS 部署的 AWS Lambda 函數不會與您帳戶中的資源通訊。因此，它們不需要專用彈性網路界面 (ENIs) 或 VPC 放置。在 VPC 外部部署這些函數可降低成本並提高部署速度。這種方法不會對資源內通訊造成任何安全問題。由於這些 Lambda 函數會獨立運作，且不會存取 VPC 型資源，因此 VPC 部署會增加不必要的複雜性和費用，而不會提供額外的安全優勢。

S3.17 - S3 一般用途儲存貯體應使用 靜態加密 AWS KMS keys

資源：

AMS Alarm Manager 系統使用的 Amazon Simple Storage Service 儲存貯體使用 Amazon 受管加密金鑰 (SSE-S3)，而不是客戶受管 KMS 金鑰 (SSE-KMS)。實作客戶受管金鑰需要您授予 AMS 透過金鑰政策使用 KMS 金鑰的明確許可。這會導致額外的操作複雜性和風險。使用此控制項可提供強大的靜態加密，同時避免額外的成本和操作複雜性。

如果您修改金鑰政策、不當輪換金鑰，或意外刪除或停用金鑰，則 AMS 監控會立即為您失敗。這種對客戶受管金鑰可用性的相依性會影響 AMS 關鍵監控和警示基礎設施。它可能會中斷即時監控功能、警示交付、事件回應和服務運作狀態可見性。Amazon 受管加密金鑰會自動加密靜態資料，而不需要您管理金鑰政策、輪換排程或存取許可。此實作符合加密需求，同時維持 AMS受管基礎設施的成本效益和操作簡單性。

資源：

由於 AWS 服務限制， AWS CloudTrail 稽核記錄儲存貯體無法使用 AWS KMS 加密。做為伺服器存取記錄目的地的 S3 儲存貯體不得啟用 KMS 金鑰加密。如需詳細資訊，請參閱《Amazon Simple Storage Service 使用者指南》中的設定預設加密和疑難排解伺服器存取記錄。在記錄目的地儲存貯體上啟用 AWS KMS 加密可能會導致記錄失敗並產生操作問題。此儲存貯體會改用 Amazon S3-managed加密 (SSE-S3)。這可提供靜態加密，同時保持與 S3 伺服器存取記錄功能的相容性。

KMS.2 - IAM 主體不應具有允許對所有 KMS 金鑰進行解密動作的 IAM 內嵌政策

資源：

內嵌政策在 KMS 金鑰政策中包含 "Resource"： 【"*"】，這是連接至特定 KMS 金鑰 (ams_ssm_inventory_bucket_kms_key) 的資源型政策。金鑰政策本質上是針對個別金鑰的範圍，而在資源元素中使用 * 是標準 AWS 實務，因為政策範圍已經受到金鑰本身的限制。如需詳細資訊，請參閱《 AWS KMS keys 開發人員指南》中的建立金鑰政策和預設金鑰政策。此組態不會造成安全風險，因為存取僅限於單一 KMS 金鑰，而不是帳戶中的所有金鑰。

S3.9 - S3 一般用途儲存貯體應啟用伺服器存取記錄

資源：

這些 S3 儲存貯體是 AWS Config Recorder 儲存貯體的存取記錄目的地儲存貯體。S3 建議不要在這些儲存貯體上設定存取記錄，因為它會產生無限的記錄迴圈，不必要的增加成本。 AWS Security Hub 反之， 建議在此情況下的資源應抑制問題清單。

修補：

您應該針對這些受影響的儲存貯體隱藏此調查結果，因為調查結果沒有用。如果您不想隱藏問題清單，您可以選擇在儲存貯體上設定自我記錄。如果 AMS 更新儲存貯體，可能會移除自我記錄的風險。

EC2.6 - 應在所有 VPC 中啟用 VPCs 流程記錄

資源：

根據預設，AMS 不會為預設 VPC 啟用 VPC 流程日誌。

修補：

您可以新增ams:managed=true標籤索引鍵/值、清除組態規則的狀態，並重新執行規則的評估，以自行修復控制項。AMS 的自動修復元件會在 vpc 上啟用 VPC 流程日誌。