本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
的 Security Hub 控制項 IAM
這些 AWS Security Hub 控制項會評估 AWS Identity and Access Management (IAM) 服務和資源。
這些控制項可能無法在所有 中使用 AWS 區域。如需詳細資訊,請參閱各區域控制項的可用性。
【IAM.1】 IAM政策不應允許完整的「*」管理權限
相關要求:PCIDSSv3.2.1/7.2.1、CIS AWS Foundations Benchmark v1.2.0/1.22、CIS AWS Founds Benchmark v1.4.0/1.16、 NIST.800-53.r5 AC-2(1) NIST.800-53.r5 AC-2、 NIST.800-53.r5 AC-3(15) NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3(7) NIST.800-53.r5 AC-5、 NIST.800-53.r5 AC-6(10) NIST.800-53.r5 AC-6、 NIST.800-53.r5 AC-6(2)、 NIST.800-53.r5 AC-6(3)
類別:保護 > 安全存取管理
嚴重性:高
資源類型: AWS::IAM::Policy
AWS Config 規則:iam-policy-no-statements-with-admin-access
排程類型:已觸發變更
參數:
excludePermissionBoundaryPolicy: true(不可自訂)
此控制項會檢查預設IAM的政策版本 (也稱為客戶受管政策) 是否具有管理員存取權,方法是將 陳述式"Effect": "Allow"包含"Action": "*"超過 "Resource": "*"。如果您有具有此類陳述式IAM的政策,則控制項會失敗。
控制項只會檢查您建立的客戶受管政策。它不會檢查內嵌和 AWS 受管政策。
IAM 政策定義一組授予使用者、群組或角色的許可。遵循標準安全建議, AWS 建議您授予最低權限,這表示僅授予執行任務所需的許可。在您提供完整管理權限而非使用者需要的最低許可組時,您便會向潛在的不需要動作公開資源。
相較於允許完整的管理權限,建議您決定使用者需要做什麼,然後打造政策,讓使用者只執行這些任務。以最小的一組許可開始,然後依需要授予額外的許可更加安全。不要從太寬鬆的許可開始,稍後才嘗試限縮這些許可。
您應該移除具有 陳述式IAM的政策,該陳述"Effect": "Allow" 式"Action": "*"超過 "Resource": "*"。
注意
AWS Config 應在您使用 Security Hub 的所有區域中啟用 。不過,可在單一區域中啟用全域資源記錄。如果您只記錄單一區域中的全域資源,則可以在所有區域中停用此控制項,但記錄全域資源的區域以外。
修補
若要修改您的IAM政策,使其不允許完整的「*」管理權限,請參閱 IAM 使用者指南 中的編輯IAM政策。
【IAM.2】 IAM使用者不應連接IAM政策
相關要求:PCIDSSv3.2.1/7.2.1、CIS AWS Founds Benchmark v3.0.0/1.15、CIS AWS Founds Benchmark v1.2.0/1.16 NIST.800-53.r5 AC-2、 NIST.800-53.r5 AC-2(1)、 NIST.800-53.r5 AC-3(15) NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3(7) NIST.800-53.r5 AC-6、 NIST.800-53.r5 AC-6(3)
類別:保護 > 安全存取管理
嚴重性:低
資源類型: AWS::IAM::User
AWS Config 規則:iam-user-no-policies-check
排程類型:已觸發變更
參數:無
此控制項會檢查您的IAM使用者是否已連接政策。如果您的IAM使用者已連接政策,則控制項會失敗。反之,IAM使用者必須繼承IAM群組的許可或擔任角色。
根據預設,IAM使用者、群組和角色無法存取 AWS 資源。IAM 政策會將權限授予使用者、群組或角色。建議您將IAM政策直接套用至群組和角色,而不是使用者。在群組或角色層級指派權限,會減少隨使用者數量成長而增加的存取管理複雜性。降低存取管理複雜性,可能會降低無意中讓委託人接收或保留過多權限的機會。
注意
AWS Config 應在您使用 Security Hub 的所有區域中啟用 。不過,可在單一區域中啟用全域資源記錄。如果您只記錄單一區域中的全域資源,您可以在記錄全域資源的區域以外的所有區域中停用此控制項。
修補
若要解決此問題,請建立IAM群組 ,並將政策連接至群組。然後,將使用者新增至群組 。政策即會套用到群組中的每個使用者。若要移除直接連接到使用者的政策,請參閱 IAM 使用者指南 中的新增和移除IAM身分許可。
【IAM.3】 IAM使用者的存取金鑰應每 90 天或更短時間輪換一次
相關要求:CIS AWS 基礎基準 v3.0.0/1.14、CIS AWS 基礎基準 v1.4.0/1.14、CIS AWS 基礎基準 v1.2.0/1.4、 NIST.800-53.r5 AC-2(1)、 NIST.800-53.r5 AC-2(3)、 NIST.800-53.r5 AC-3(15)
類別:保護 > 安全存取管理
嚴重性:中
資源類型: AWS::IAM::User
AWS Config 規則:access-keys-rotated
排程類型:定期
參數:
-
maxAccessKeyAge:90(不可自訂)
此控制項會檢查作用中的存取金鑰是否會在 90 天內輪換。
我們強烈建議您不要產生和移除帳戶中的所有存取金鑰。反之,建議的最佳實務是建立一或多個IAM角色或透過 使用聯合
每種方法都有其使用案例。對於具有現有中央目錄或計劃需要超過目前IAM使用者限制的企業而言,聯合通常更好。在 AWS 環境之外執行的應用程式需要存取金鑰,才能以程式設計方式存取 AWS 資源。
不過,如果需要程式設計存取的資源在 內執行 AWS,最佳實務是使用IAM角色。角色可讓您授予資源存取,而無須在組態中硬式編碼存取金鑰 ID 和私密存取金鑰。
若要進一步了解如何保護您的存取金鑰和帳戶,請參閱 中管理 AWS 存取金鑰的最佳實務AWS 一般參考。另請參閱部落格文章指南,在使用程式設計存取 AWS 帳戶 時保護
如果您已有存取金鑰,Security Hub 建議您每 90 天輪換存取金鑰。輪換存取金鑰可降低使用與被盜用或已終止帳戶相關聯存取金鑰的機會。這也能確保無法使用可能遺失、毀損或遭竊的舊金鑰存取資料。請在您輪換存取金鑰後一律更新應用程式。
存取金鑰由存取金鑰 ID 和私密存取金鑰組成。它們用於簽署您向 提出的程式設計請求 AWS。使用者需要自己的存取金鑰,才能使用個別 API的操作 AWS ,從 AWS CLI、適用於 Windows 的工具 PowerShell AWS SDKs、 或 直接HTTP呼叫 進行程式設計呼叫 AWS 服務。
如果您的組織使用 AWS IAM Identity Center (IAM Identity Center),您的使用者可以登入 Active Directory、內建 IAM Identity Center 目錄,或連線至 IAM Identity Center 的其他身分提供者 (IdP)。然後,它們可以映射到IAM角色,讓他們可以執行 AWS CLI 命令或呼叫 AWS API操作,而不需要存取金鑰。若要進一步了解,請參閱 使用者指南 中的將 設定為 AWS CLI 使用 AWS IAM Identity Center 。 AWS Command Line Interface
注意
AWS Config 應在您使用 Security Hub 的所有區域中啟用 。不過,可在單一區域中啟用全域資源記錄。如果您只記錄單一區域中的全域資源,則可以在所有區域中停用此控制項,但記錄全域資源的區域以外。
修補
若要輪換超過 90 天的存取金鑰,請參閱 IAM 使用者指南 中的輪換存取金鑰。對於存取金鑰使用時間超過 90 天的任何使用者,請遵循指示。
【IAM.4】 IAM根使用者存取金鑰不應存在
相關要求:CIS AWS 基礎基準 v3.0.0/1.4、CIS AWS 基礎基準 v1.4.0/1.4、CIS AWS 基礎基準 v1.2.0/1.12、PCIDSSv3.2.1/2.1、PCIDSSv3.2.1/2.2、PCIDSSv3.2.1/7.2.1、 NIST.800-53.r5 AC-2(1)、 NIST.800-53.r5 AC-3(15)、 NIST.800-53.r5 AC-3(7) NIST.800-53.r5 AC-6、 NIST.800-53.r5 AC-6(10)、 NIST.800-53.r5 AC-6(2)
類別:保護 > 安全存取管理
嚴重性:嚴重
資源類型: AWS::::Account
AWS Config 規則:iam-root-access-key-check
排程類型:定期
參數:無
此控制項會檢查根使用者存取金鑰是否存在。
根使用者是 AWS 帳戶. AWS access 金鑰中最特權的使用者,提供對指定帳戶的程式設計存取。
Security Hub 建議您移除與根使用者相關聯的所有存取金鑰。這限制了可用於入侵帳戶的向量。這也會鼓勵建立和使用擁有最低權限的角色類型帳戶。
修補
若要刪除根使用者存取金鑰,請參閱 IAM 使用者指南 中的刪除根使用者的存取金鑰。若要從 AWS 帳戶 中的 刪除根使用者存取金鑰 AWS GovCloud (US),請參閱 AWS GovCloud (US) 使用者指南 中的刪除我的 AWS GovCloud (US) 帳戶根使用者存取金鑰。
MFA 應為具有主控台密碼的IAM所有使用者啟用 【IAM.5】
相關要求:CIS AWS 基礎基準 v3.0.0/1.10、CIS AWS 基礎基準 v1.4.0/1.10、CIS AWS 基礎基準 v1.2.0/1.2、 NIST.800-53.r5 AC-2(1)、 NIST.800-53.r5 AC-3(15)、 NIST.800-53.r5 IA-2(1)、 NIST.800-53.r5 IA-2(2)、 NIST.800-53.r5 IA-2(6)、 NIST.800-53.r5 IA-2(8)
類別:保護 > 安全存取管理
嚴重性:中
資源類型: AWS::IAM::User
AWS Config 規則:mfa-enabled-for-iam-console-access
排程類型:定期
參數:無
此控制項會檢查是否針對使用主控台密碼的IAM所有使用者啟用 AWS 多重身分驗證 (MFA)。
多重要素身分驗證 (MFA) 在使用者名稱和密碼之上新增額外的保護層。MFA 啟用 後,當使用者登入 AWS 網站時,系統會提示他們輸入使用者名稱和密碼。此外,系統會提示他們輸入來自裝置的 AWS MFA驗證碼。
建議您MFA為具有主控台密碼的所有帳戶啟用 。MFA 旨在提高主控台存取的安全性。身分驗證委託人必須擁有發出時效性金鑰的裝置,並且必須擁有登入資料的知識。
注意
AWS Config 應在您使用 Security Hub 的所有區域中啟用 。不過,可在單一區域中啟用全域資源記錄。如果您只記錄單一區域中的全域資源,則可以在所有區域中停用此控制項,但記錄全域資源的區域以外。
修補
若要MFA為IAM使用者新增 ,請參閱 IAM 使用者指南 中的使用多重要素身分驗證 (MFA) AWS。
我們正在為符合資格的客戶提供免費的MFA安全金鑰。看看您是否符合資格,並訂購您的免費金鑰
【IAM.6】 MFA應為根使用者啟用硬體
相關要求:CIS AWS 基礎基準 v3.0.0/1.6、CIS AWS 基礎基準 v1.4.0/1.6、CIS AWS 基礎基準 v1.2.0/1.14、PCIDSSv3.2.1/8.3.1、 NIST.800-53.r5 AC-2(1)、 NIST.800-53.r5 AC-3(15)、 NIST.800-53.r5 IA-2(1)、 NIST.800-53.r5 IA-2(2)、 NIST.800-53.r5 IA-2(6)、 NIST.800-53.r5 IA-2(8)
類別:保護 > 安全存取管理
嚴重性:嚴重
資源類型: AWS::::Account
AWS Config 規則:root-account-hardware-mfa-enabled
排程類型:定期
參數:無
此控制項 AWS 帳戶 會檢查是否已啟用您的 ,以使用硬體多重要素身分驗證 (MFA) 裝置來使用根使用者憑證登入。如果MFA未啟用,或允許任何虛擬MFA裝置使用根使用者憑證登入,則控制項會失敗。
虛擬MFA可能無法提供與硬體MFA裝置相同的安全層級。我們建議您在等待硬體購買核准或硬體到達時,僅使用虛擬MFA裝置。若要進一步了解,請參閱 IAM 使用者指南 中的啟用虛擬多重要素身分驗證 (MFA) 裝置 (主控台)。
以時間為基礎的一次性密碼 (TOTP) 和通用 2 要素 (U2F) 權杖都可以作為硬體MFA選項使用。
修補
若要為根使用者新增硬體MFA裝置,請參閱 IAM 使用者指南 中的為 AWS 帳戶 根使用者 (主控台) 啟用硬體MFA裝置。
我們正在為符合資格的客戶提供免費的MFA安全金鑰。看看您是否符合資格,並訂購您的免費金鑰
【IAM.7】 IAM使用者的密碼政策應具有強大的組態
相關要求: NIST.800-53.r5 AC-2(1)、 NIST.800-53.r5 AC-2(3)、 NIST.800-53.r5 AC-3(15)、 NIST.800-53.r5 IA-5(1)
類別:保護 > 安全存取管理
嚴重性:中
資源類型: AWS::::Account
AWS Config 規則:iam-password-policy
排程類型:定期
參數:
| 參數 | Description (描述) | Type | 允許的自訂值 | Security Hub 預設值 |
|---|---|---|---|---|
|
|
密碼中至少需要一個大寫字元 |
Boolean |
|
|
|
|
密碼中至少需要一個小寫字元 |
Boolean |
|
|
|
|
密碼中至少需要一個符號 |
Boolean |
|
|
|
|
密碼中至少需要一個數字 |
Boolean |
|
|
|
|
密碼中的字元數下限 |
Integer |
|
|
|
|
重複使用舊密碼之前的密碼輪換次數 |
Integer |
|
無預設值 |
|
|
密碼過期前的天數 |
Integer |
|
無預設值 |
此控制項會檢查IAM使用者的帳戶密碼政策是否使用強式組態。如果密碼政策不使用強式組態,則控制項會失敗。除非您提供自訂參數值,否則 Security Hub 會使用上表中提到的預設值。PasswordReusePrevention 和 MaxPasswordAge 參數沒有預設值,因此如果您排除這些參數,Security Hub 會在評估此控制項時忽略密碼輪換次數和密碼使用時間。
若要存取 AWS Management Console,IAM使用者需要密碼。作為最佳實務,Security Hub 強烈建議您不要建立IAM使用者,而是使用聯合。聯合允許使用者使用現有的公司憑證登入 AWS Management Console。使用 AWS IAM Identity Center (IAM Identity Center) 來建立或聯合使用者,然後在帳戶中擔任IAM角色。
若要進一步了解身分提供者和聯合,請參閱 IAM 使用者指南 中的身分提供者和聯合。若要進一步了解 IAM Identity Center,請參閱 AWS IAM Identity Center 使用者指南。
如果您需要使用IAM使用者,Security Hub 建議您強制執行建立強式使用者密碼。您可以在 上設定密碼政策 AWS 帳戶 ,以指定密碼的複雜性要求和強制輪換期。當您建立或變更密碼政策時,大多數的密碼政策設定會在使用者下次變更其密碼時強制執行。部分設定會立即強制執行。
修補
若要更新您的密碼政策,請參閱 IAM 使用者指南 中的為IAM使用者設定帳戶密碼政策。
【IAM.8】 應移除未使用的IAM使用者憑證
相關要求:PCIDSSv3.2.1/8.1.4、CIS AWS Foundations Benchmark v1.2.0/1.3、 NIST.800-53.r5 AC-2、 NIST.800-53.r5 AC-2(1)、 NIST.800-53.r5 AC-2(3) NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3(15)、 NIST.800-53.r5 AC-3(7)、 NIST.800-53.r5 AC-6
類別:保護 > 安全存取管理
嚴重性:中
資源類型: AWS::IAM::User
AWS Config 規則:iam-user-unused-credentials-check
排程類型:定期
參數:
-
maxCredentialUsageAge:90(不可自訂)
此控制項會檢查您的IAM使用者是否有密碼或作用中的存取金鑰,而這些金鑰已使用 90 天。
IAM 使用者可以使用不同類型的憑證來存取 AWS 資源,例如密碼或存取金鑰。
Security Hub 建議您移除或停用所有未使用 90 天或更長時間的憑證。停用或移除不必要的登入資料,可以減少使用與被盜用或放棄帳戶相關聯登入資料的機會。
注意
AWS Config 應在您使用 Security Hub 的所有區域中啟用 。不過,可在單一區域中啟用全域資源記錄。如果您只記錄單一區域中的全域資源,則可以在所有區域中停用此控制項,但記錄全域資源的區域以外。
修補
當您在 IAM 主控台中檢視使用者資訊時,存取金鑰使用期 、密碼使用期 和上次活動 有欄。如果上述任一欄的值大於 90 天,請將這些使用者的登入資料設定為非作用中。
您也可以使用憑證報告來監控使用者,並識別 90 天或更久沒有活動的使用者。您可以從IAM主控台下載 .csv 格式的憑證報告。
識別非作用中帳戶或未使用的憑證後,請停用它們。如需指示,請參閱 IAM 使用者指南 中的建立、變更或刪除IAM使用者密碼 (主控台)。
MFA 應為根使用者啟用 【IAM.9】
相關要求:PCIDSSv3.2.1/8.3.1、CIS AWS 基礎基準 v3.0.0/1.5、CIS AWS 基礎基準 v1.4.0/1.5、CIS AWS 基礎基準 v1.2.0/1.13、 NIST.800-53.r5 AC-2(1)、 NIST.800-53.r5 AC-3(15)、 NIST.800-53.r5 IA-2(1)、 NIST.800-53.r5 IA-2(2)、 NIST.800-53.r5 IA-2(6)、 NIST.800-53.r5 IA-2(8)
類別:保護 > 安全存取管理
嚴重性:嚴重
資源類型: AWS::::Account
AWS Config 規則:root-account-mfa-enabled
排程類型:定期
參數:無
根使用者可完整存取 中的所有服務和資源 AWS 帳戶。MFA 在使用者名稱和密碼之上新增額外的保護層。MFA 啟用 後,當使用者登入 時 AWS Management Console,系統會提示使用者輸入其使用者名稱和密碼,以及從裝置 AWS MFA輸入驗證碼。
當您MFA對根使用者使用虛擬 時, CIS建議所使用的裝置不是個人裝置。使用保持充飽電及安全的專用行動裝置 (平板電腦或手機),不要與任何個別的個人裝置混用。這可降低MFA因裝置遺失、裝置換購或擁有裝置的個人不再受雇於公司而失去對 存取權的風險。
修補
若要MFA為根使用者啟用 ,請參閱 AWS 帳戶管理參考指南 中的在 AWS 帳戶 根使用者MFA上啟用 。
【IAM.10】 IAM使用者的密碼政策應具有強烈的 AWS Config衝動
相關要求:PCIDSSv3.2.1/8.1.4、PCIDSSv3.2.1/8.2.3、PCIDSSv3.2.1/8.2.4、PCIDSSv3.2.1/8.2.5
類別:保護 > 安全存取管理
嚴重性:中
資源類型: AWS::::Account
AWS Config 規則:iam-password-policy
排程類型:定期
參數:無
此控制項會檢查IAM使用者的帳戶密碼政策是否使用下列最低PCIDSS組態。
-
RequireUppercaseCharacters– 在密碼中至少需要一個大寫字元。(預設 =true) -
RequireLowercaseCharacters– 在密碼中至少需要一個小寫字元。(預設 =true) -
RequireNumbers– 密碼中至少需要一個數字。(預設 =true) -
MinimumPasswordLength– 密碼長度下限。(預設 = 7 或更久) -
PasswordReusePrevention– 允許重複使用之前的密碼數目。(預設 = 4) -
MaxPasswordAge – 密碼過期前的天數。(預設 = 90)
修補
若要更新密碼政策以使用建議的組態,請參閱 IAM 使用者指南 中的為IAM使用者設定帳戶密碼政策。
【IAM.11】 確保IAM密碼政策至少需要一個大寫字母
相關要求:CIS AWS 基礎基準 1.2.0/1.5 版
類別:保護 > 安全存取管理
嚴重性:中
資源類型: AWS::::Account
AWS Config 規則:iam-password-policy
排程類型:定期
參數:無
密碼政策是強制執行密碼複雜性要求的一部分。使用IAM密碼政策來確保密碼使用不同的字元集。
CIS 建議密碼政策至少需要一個大寫字母。設定密碼複雜性政策以提高帳戶彈性,因應暴力登入嘗試。
修補
若要變更您的密碼政策,請參閱 IAM 使用者指南 中的為IAM使用者設定帳戶密碼政策。針對密碼強度 ,選取至少需要一個拉丁字母 (A–Z) 的大寫字母。
【IAM.12】 確保IAM密碼政策至少需要一個小寫字母
相關要求:CIS AWS 基礎基準 1.2.0/1.6 版
類別:保護 > 安全存取管理
嚴重性:中
資源類型: AWS::::Account
AWS Config 規則:iam-password-policy
排程類型:定期
參數:無
密碼政策是強制執行密碼複雜性要求的一部分。使用IAM密碼政策來確保密碼使用不同的字元集。CIS 建議密碼政策至少需要一個小寫字母。設定密碼複雜性政策以提高帳戶彈性,因應暴力登入嘗試。
修補
若要變更您的密碼政策,請參閱 IAM 使用者指南 中的為IAM使用者設定帳戶密碼政策。針對密碼強度 ,選取至少需要一個拉丁字母 (A–Z) 中的小寫字母。
【IAM.13】 確保IAM密碼政策至少需要一個符號
相關要求:CIS AWS 基礎基準 1.2.0/1.7 版
類別:保護 > 安全存取管理
嚴重性:中
資源類型: AWS::::Account
AWS Config 規則:iam-password-policy
排程類型:定期
參數:無
密碼政策是強制執行密碼複雜性要求的一部分。使用IAM密碼政策來確保密碼使用不同的字元集。
CIS 建議密碼政策至少需要一個 符號。設定密碼複雜性政策以提高帳戶彈性,因應暴力登入嘗試。
修補
若要變更您的密碼政策,請參閱 IAM 使用者指南 中的為IAM使用者設定帳戶密碼政策。針對密碼強度 ,選取至少需要一個非英數字元 。
【IAM.14】 確保IAM密碼政策至少需要一個數字
相關要求:CIS AWS 基礎基準 1.2.0/1.8 版
類別:保護 > 安全存取管理
嚴重性:中
資源類型: AWS::::Account
AWS Config 規則:iam-password-policy
排程類型:定期
參數:無
密碼政策是強制執行密碼複雜性要求的一部分。使用IAM密碼政策來確保密碼使用不同的字元集。
CIS 建議密碼政策至少需要一個數字。設定密碼複雜性政策以提高帳戶彈性,因應暴力登入嘗試。
修補
若要變更您的密碼政策,請參閱 IAM 使用者指南 中的為IAM使用者設定帳戶密碼政策。針對密碼強度 ,選取至少需要一個數字 。
【IAM.15】 確保IAM密碼政策要求密碼長度至少為 14 或更長
相關要求:CIS AWS 基礎基準 3.0.0/1.8 版、CIS AWS 基礎基準 1.4.0/1.8 版、CIS AWS 基礎基準 1.2.0/1.9 版
類別:保護 > 安全存取管理
嚴重性:中
資源類型: AWS::::Account
AWS Config 規則:iam-password-policy
排程類型:定期
參數:無
密碼政策是強制執行密碼複雜性要求的一部分。使用IAM密碼政策來確保密碼至少為指定長度。
CIS 建議密碼政策至少需要 14 個字元的密碼長度。設定密碼複雜性政策以提高帳戶彈性,因應暴力登入嘗試。
修補
若要變更您的密碼政策,請參閱 IAM 使用者指南 中的為IAM使用者設定帳戶密碼政策。針對密碼長度下限 ,輸入 14或較大的數字。
【IAM.16】 確保IAM密碼政策防止密碼重複使用
相關要求:CIS AWS 基礎基準 3.0.0/1.9 版、CIS AWS 基礎基準 1.4.0/1.9 版、CIS AWS 基礎基準 1.2.0/1.10 版
類別:保護 > 安全存取管理
嚴重性:低
資源類型: AWS::::Account
AWS Config 規則:iam-password-policy
排程類型:定期
參數:無
此控制項會檢查要記住的密碼數目是否設定為 24。如果值不是 24,則控制項會失敗。
IAM 密碼政策可防止相同使用者重複使用指定的密碼。
CIS 建議密碼政策防止密碼重複使用。防止重複使用密碼以提高帳戶彈性,因應暴力登入嘗試。
修補
若要變更您的密碼政策,請參閱 IAM 使用者指南 中的為IAM使用者設定帳戶密碼政策。如需防止密碼重複使用 ,請輸入 24。
【IAM.17】 確保IAM密碼政策在 90 天內過期
相關要求:CIS AWS 基礎基準 1.2.0/1.11 版
類別:保護 > 安全存取管理
嚴重性:低
資源類型: AWS::::Account
AWS Config 規則:iam-password-policy
排程類型:定期
參數:無
IAM 密碼政策可以要求在指定天數後輪換或過期密碼。
CIS 建議密碼政策在 90 天後過期密碼。縮短密碼生命週期以提高帳戶彈性,因應暴力登入嘗試。要求定期密碼變更,也有助於下列案例:
-
在您不知情時,密碼遭竊或被盜用。這會透過系統入侵、軟體漏洞或內部威脅而發生。
-
某些企業和政府的 web 篩選條件或代理伺服器可以攔截並記錄流量,即使流量加密。
-
許多人在很多系統 (如工作、電子郵件和個人) 都使用相同的密碼。
-
遭入侵的最終使用者工作站可能有按鍵記錄器。
修補
若要變更您的密碼政策,請參閱 IAM 使用者指南 中的為IAM使用者設定帳戶密碼政策。針對開啟密碼過期時間 ,輸入 90或較小的數字。
【IAM.18】 確保已建立支援角色,以使用 管理事件 AWS Support
相關要求:CIS AWS 基礎基準 3.0.0/1.17 版、CIS AWS 基礎基準 1.4.0/1.17 版、CIS AWS 基礎基準 1.2.0/1.20 版
類別:保護 > 安全存取管理
嚴重性:低
資源類型: AWS::::Account
AWS Config 規則:iam-policy-in-use
排程類型:定期
參數:
policyARN:arn:(不可自訂)partition:iam::aws:policy/AWSSupportAccesspolicyUsageType:ANY(不可自訂)
AWS 提供可用於事件通知和回應的支援中心,以及技術支援和客戶服務。
建立IAM角色,以允許授權使用者使用 AWS 支援管理事件。透過實作存取控制的最低權限,IAM角色將需要適當的IAM政策,以允許支援中心存取,以便使用 管理事件 AWS Support。
注意
AWS Config 應在您使用 Security Hub 的所有區域中啟用 。不過,可在單一區域中啟用全域資源記錄。如果您只記錄單一區域中的全域資源,則可以在所有區域中停用此控制項,但記錄全域資源的區域以外。
修補
若要修復此問題,請建立角色以允許授權使用者管理 AWS Support 事件。
若要建立用於 AWS Support 存取的角色
在 開啟IAM主控台https://console.aws.amazon.com/iam/
。 -
在IAM導覽窗格中,選擇角色 ,然後選擇建立角色 。
-
針對角色類型 ,選擇另一個 AWS 帳戶。
-
針對帳戶 ID ,輸入您要授予資源存取權之 AWS 帳戶 的 AWS 帳戶 ID。
如果將擔任此角色的使用者或群組位在相同帳戶,則請輸入本機帳戶號碼。
注意
指定帳戶的管理員可以授予許可給該帳戶中的任何 使用者來擔任此角色。若要執行此操作,管理員要將政策連接到授予
sts:AssumeRole動作之許可的使用者或群組。在該政策中,資源必須是角色 ARN。 -
選擇下一步:許可。
-
搜尋受管政策
AWSSupportAccess。 -
選取
AWSSupportAccess受管政策的核取方塊。 -
選擇下一步:標籤。
-
(選用) 若要將中繼資料新增至角色,請將標籤附加為鍵值對。
如需在 中使用標籤的詳細資訊IAM,請參閱 IAM 使用者指南 中的標記IAM使用者和角色。
-
選擇下一步:檢閱。
-
針對 Role name (角色名稱),輸入您的角色名稱。
角色名稱在您的 中必須是唯一的 AWS 帳戶。不區分大小寫。
-
(選用) 在 Role description (角色說明) 中,輸入新角色的說明。
-
檢閱角色,然後選擇 Create role (建立角色)。
MFA 應為IAM所有使用者啟用 【IAM.19】
相關要求:PCIDSSv3.2.1/8.3.1、 NIST.800-53.r5 AC-2(1)、 NIST.800-53.r5 AC-3(15)、 NIST.800-53.r5 IA-2(1)、 NIST.800-53.r5 IA-2(2)、 NIST.800-53.r5 IA-2(6)、 NIST.800-53.r5 IA-2(8)
類別:保護 > 安全存取管理
嚴重性:中
資源類型: AWS::IAM::User
AWS Config 規則:iam-user-mfa-enabled
排程類型:定期
參數:無
此控制項會檢查IAM使用者是否已啟用多重要素身分驗證 (MFA)。
注意
AWS Config 應在您使用 Security Hub 的所有區域中啟用 。不過,可在單一區域中啟用全域資源記錄。如果您只記錄單一區域中的全域資源,則可以在所有區域中停用此控制項,但記錄全域資源的區域以外。
修補
若要MFA為IAM使用者新增 ,請參閱 IAM 使用者指南 中的為使用者啟用MFA裝置 AWS。
【IAM.20】 避免使用根使用者
重要
Security Hub 已於 2024 年 4 月停用此控制項。如需詳細資訊,請參閱變更 Security Hub 控制項的日誌。
相關要求:CIS AWS 基礎基準 1.2.0/1.1 版
類別:保護 > 安全存取管理
嚴重性:低
資源類型: AWS::IAM::User
AWS Config rule: use-of-root-account-test (自訂 Security Hub 規則)
排程類型:定期
參數:無
此控制項會檢查 是否對根使用者的使用 AWS 帳戶 具有限制。控制項會評估下列資源:
Amazon Simple Notification Service (Amazon SNS) 主題
AWS CloudTrail 追蹤
與 CloudTrail 追蹤相關聯的指標篩選條件
以篩選條件為基礎的 Amazon CloudWatch 警示
如果下列一或多個陳述式為 true,則此檢查會導致FAILED調查結果:
帳戶中不存在 CloudTrail 追蹤。
CloudTrail 追蹤已啟用,但未設定至少一個包含讀取和寫入管理事件的多區域追蹤。
CloudTrail 追蹤已啟用,但未與 CloudWatch Logs 日誌群組建立關聯。
不使用 Center for Internet Security (CIS) 指定的確切指標篩選條件。指定的指標篩選條件為
'{$.userIdentity.type="Root" && $.userIdentity.invokedBy NOT EXISTS && $.eventType !="AwsServiceEvent"}'。帳戶中不存在以指標篩選條件為基礎的 CloudWatch 警示。
CloudWatch 設定為傳送通知至相關SNS主題的警示不會根據警示條件觸發。
SNS 主題不符合傳送訊息至SNS主題 的限制。
SNS 主題至少沒有一個訂閱者。
NO_DATA 如果下列一或多個陳述式為 true,則此檢查會導致 的控制狀態:
多區域追蹤是以不同區域為基礎。Security Hub 只能在追蹤所在的區域中產生調查結果。
多區域追蹤屬於不同的帳戶。Security Hub 只能為擁有追蹤的帳戶產生調查結果。
WARNING 如果下列一或多個陳述式為 true,則此檢查會導致 的控制狀態:
目前帳戶不擁有 CloudWatch 警示中參考SNS的主題。
叫用 時,目前的帳戶無法存取
ListSubscriptionsByTopicSNS SNS主題API。
注意
我們建議您使用組織追蹤來記錄組織中許多帳戶的事件。組織追蹤預設為多區域追蹤,只能由 AWS Organizations 管理帳戶或 CloudTrail 委派的管理員帳戶管理。使用組織追蹤會導致在組織成員帳戶中評估的控制項控制狀態為 NO_DATA。在成員帳戶中,Security Hub 只會產生成員擁有資源的調查結果。與組織追蹤相關的調查結果會在資源擁有者的帳戶中產生。您可以使用跨區域彙總,在 Security Hub 委派的管理員帳戶中查看這些調查結果。
最佳實務是,只有在執行帳戶和服務管理任務 所需的 時,才使用您的根使用者憑證。將IAM政策直接套用至群組和角色,而非使用者。如需設定管理員以供每日使用的指示,請參閱 IAM 使用者指南 中的建立您的第一個IAM管理員使用者和群組。
修補
修復此問題的步驟包括設定 Amazon SNS主題、 CloudTrail追蹤、指標篩選條件和指標篩選條件的警示。
若要建立 Amazon SNS主題
在 https://console.aws.amazon.com/sns/v3/home 開啟 Amazon
SNS主控台。 -
建立接收所有CIS警示的 Amazon SNS主題。
至少建立一個主題訂閱者。如需詳細資訊,請參閱 Amazon Simple Notification Service 開發人員指南 SNS 中的 Amazon 入門。
接下來,設定 CloudTrail 套用至所有區域的作用中。若要執行此作業,請遵循 【CloudTrail.1】 CloudTrail 應啟用並設定至少一個包含讀取和寫入管理事件的多區域追蹤 中的修補步驟。
記下您與該 CloudTrail 追蹤建立關聯的 CloudWatch Logs 日誌群組名稱。您可以為該日誌群組建立指標篩選條件。
最後,建立指標篩選條件和警示。
建立指標篩選條件和警示
在 開啟 CloudWatch 主控台https://console.aws.amazon.com/cloudwatch/
。 -
在導覽窗格中,選擇 Log groups (日誌群組)。
-
選取與您建立之 CloudTrail 追蹤相關聯的 CloudWatch Logs 日誌群組的核取方塊。
-
從動作 中,選擇建立指標篩選條件 。
-
在定義模式 下,執行下列動作:
-
複製以下模式,然後將它貼入 Filter Pattern (篩選條件模式) 欄位。
{$.userIdentity.type="Root" && $.userIdentity.invokedBy NOT EXISTS && $.eventType !="AwsServiceEvent"} -
選擇 Next (下一步)。
-
-
在指派指標 下,執行下列動作:
-
在篩選條件名稱 中,輸入指標篩選條件的名稱。
-
針對指標命名空間 ,輸入
LogMetrics。如果您對所有CIS日誌指標篩選條件使用相同的命名空間,則所有CIS基準指標都會分組在一起。
-
在指標名稱 中,輸入指標的名稱。記住指標的名稱。建立警示時,您將需要選取指標。
-
針對 Metric value (指標值),輸入
1。 -
選擇 Next (下一步)。
-
-
在檢閱和建立 下,驗證您為新指標篩選條件提供的資訊。然後,選擇建立指標篩選條件 。
-
在導覽窗格中,選擇日誌群組 ,然後選擇您在指標篩選條件 下建立的篩選條件。
-
選取篩選條件的核取方塊。選擇 Create alarm (建立警示)。
-
在指定指標和條件 下,執行下列動作:
-
在條件 下,針對閾值 ,選擇靜態 。
-
針對定義警示條件 ,選擇大於或等於 。
-
針對定義閾值 ,輸入
1。 -
選擇 Next (下一步)。
-
-
在設定動作 下,執行下列動作:
-
在警示狀態觸發 下,選擇在警示 中。
-
在選取SNS主題 下,選擇選取現有SNS主題 。
-
對於將通知傳送至 ,輸入SNS您在上一個程序中建立的主題名稱。
-
選擇 Next (下一步)。
-
-
在新增名稱和描述 下,輸入警示的名稱和描述,例如
CIS-1.1-RootAccountUsage。然後選擇下一步。 -
在預覽和建立 下,檢閱警示組態。然後選擇 Create Alarm (建立警示)。
【IAM.21】 您建立IAM的客戶受管政策不應允許 服務的萬用字元動作
相關要求: NIST.800-53.r5 AC-2、 NIST.800-53.r5 AC-2(1)、 NIST.800-53.r5 AC-3、 NIST.800-53.r5 AC-3(15)、 NIST.800-53.r5 AC-3(7) NIST.800-53.r5 AC-5、 NIST.800-53.r5 AC-6、、 NIST.800-53.r5 AC-6(10)、 NIST.800-53.r5 AC-6(2)、 NIST.800-53.r5 AC-6(3)
類別:偵測 > 安全存取管理
嚴重性:低
資源類型: AWS::IAM::Policy
AWS Config 規則:iam-policy-no-statements-with-full-access
排程類型:已觸發變更
參數:
-
excludePermissionBoundaryPolicy:True(不可自訂)
此控制項會檢查您建立的身分IAM型政策是否具有允許使用 * 萬用字元的陳述式,以授予任何服務上所有動作的許可。如果任何政策陳述式包含 "Effect": "Allow"與 ,則控制項會失敗"Action": "Service:*"。
例如,政策中的下列陳述式會導致調查結果失敗。
"Statement": [ { "Sid": "EC2-Wildcard", "Effect": "Allow", "Action": "ec2:*", "Resource": "*" }
如果您"Effect": "Allow"搭配 使用 ,控制項也會失敗"NotAction": "。在此情況下, service:*"NotAction元素會提供 中所有動作的存取權 AWS 服務,但 中指定的動作除外NotAction。
此控制僅適用於客戶受管IAM政策。它不適用於由 管理IAM的政策 AWS。
當您將許可指派給 時 AWS 服務,請務必在IAM政策中範圍允許IAM的動作。您應該將IAM動作限制為僅需要的動作。這可協助您佈建最低權限許可。如果政策連接到可能不需要許可的IAM主體,過度寬鬆的政策可能會導致權限升級。
在某些情況下,您可能想要允許具有類似字首IAM的動作,例如 DescribeFlowLogs和 DescribeAvailabilityZones。在這些授權情況下,您可以將尾碼萬用字元新增至一般字首。例如:ec2:Describe*。
如果您使用字首IAM動作搭配尾碼萬用字元,則此控制項會通過。例如,政策中的下列陳述式會導致調查結果通過。
"Statement": [ { "Sid": "EC2-Wildcard", "Effect": "Allow", "Action": "ec2:Describe*", "Resource": "*" }
當您以這種方式對相關IAM動作進行分組時,您也可以避免超過IAM政策大小限制。
注意
AWS Config 應在您使用 Security Hub 的所有區域中啟用 。不過,可在單一區域中啟用全域資源記錄。如果您只記錄單一區域中的全域資源,則可以在所有區域中停用此控制項,但記錄全域資源的區域以外。
修補
若要修正此問題,請更新您的IAM政策,使其不允許完整的「*」管理權限。如需如何編輯IAM政策的詳細資訊,請參閱 IAM 使用者指南 中的編輯IAM政策。
【IAM.22】 應移除 45 天內未使用的IAM使用者憑證
相關要求:CIS AWS 基礎基準 3.0.0/1.12 版、CIS AWS 基礎基準 1.4.0/1.12 版
類別:保護 > 安全存取管理
嚴重性:中
資源類型: AWS::IAM::User
AWS Config 規則: iam-user-unused-credentials-check
排程類型:定期
參數:無
此控制項會檢查您的IAM使用者是否有密碼或作用中的存取金鑰,而這些金鑰在 45 天或更長時間內都未使用。若要這麼做,它會檢查 AWS Config 規則的maxCredentialUsageAge參數是否等於 45 個或更多。
使用者可以使用不同類型的憑證來存取 AWS 資源,例如密碼或存取金鑰。
CIS 建議您移除或停用已使用 45 天或更長時間的所有憑證。停用或移除不必要的登入資料,可以減少使用與被盜用或放棄帳戶相關聯登入資料的機會。
此控制項的 AWS Config 規則使用 GetCredentialReport和 GenerateCredentialReportAPI操作,只會每四小時更新一次。此控制項最多可能需要四小時才能看到IAM使用者變更。
注意
AWS Config 應在您使用 Security Hub 的所有區域中啟用 。不過,您可以啟用單一區域中的全域資源記錄。如果您只記錄單一區域中的全域資源,則可以在所有區域中停用此控制項,但記錄全域資源的區域以外。
修補
當您在 IAM 主控台中檢視使用者資訊時,存取金鑰使用期 、密碼使用期 和上次活動 有欄。如果任何資料欄中的值超過 45 天,請將這些使用者的憑證設為非作用中。
您也可以使用憑證報告來監控使用者,並識別 45 天或更長時間內沒有活動的使用者。您可以從IAM主控台下載 .csv 格式的憑證報告。
識別非作用中帳戶或未使用的憑證後,請停用它們。如需指示,請參閱 IAM 使用者指南 中的建立、變更或刪除IAM使用者密碼 (主控台)。
【IAM.23】 IAM Access Analyzer 分析器應加上標籤
類別:識別 > 庫存 > 標記
嚴重性:低
資源類型: AWS::AccessAnalyzer::Analyzer
AWS Config rule: tagged-accessanalyzer-analyzer (自訂 Security Hub 規則)
排程類型:已觸發變更
參數:
| 參數 | Description (描述) | Type | 允許的自訂值 | Security Hub 預設值 |
|---|---|---|---|---|
requiredTagKeys
|
評估的資源必須包含的非系統標籤金鑰清單。標籤鍵會區分大小寫。 | StringList | 符合AWS 要求的標籤清單 |
No default value
|
此控制項會檢查 AWS Identity and Access Management Access Analyzer (IAM Access Analyzer) 管理的分析器是否具有標籤,其中包含參數 中定義的特定金鑰requiredTagKeys。如果分析器沒有任何標籤索引鍵,或它沒有參數 中指定的所有索引鍵,則控制項會失敗requiredTagKeys。如果requiredTagKeys未提供 參數,則控制項只會檢查是否存在標籤金鑰,如果分析器未使用任何金鑰標記,則 會失敗。系統標籤會自動套用並以 開頭aws:,因此會遭到忽略。
標籤是您指派給 AWS 資源的標籤,它由索引鍵和選用值組成。您可建立標籤,依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、組織、搜尋和篩選資源。標記也可協助您追蹤動作和通知的負責任資源擁有者。使用標記時,您可以實作屬性型存取控制 (ABAC) 作為授權策略,以根據標籤定義許可。您可以將標籤連接至IAM實體 (使用者或角色) 和 AWS 資源。您可以為IAM委託人建立單一ABAC政策或個別的政策集。您可以設計這些ABAC政策,以便在主體的標籤與資源標籤相符時允許操作。如需詳細資訊,請參閱 使用者指南 中的什麼ABAC是 AWS?。 IAM
注意
請勿在標籤中新增個人識別資訊 (PII) 或其他機密或敏感資訊。許多 都可以存取標籤 AWS 服務,包括 AWS Billing。如需更多標記最佳實務,請參閱 中的標記 AWS 資源AWS 一般參考。
修補
若要將標籤新增至分析器,請參閱 TagResource 在 AWS IAM Access Analyzer API參考 中。
【IAM.24】 IAM角色應加上標籤
類別:識別 > 庫存 > 標記
嚴重性:低
資源類型: AWS::IAM::Role
AWS Config rule: tagged-iam-role (自訂 Security Hub 規則)
排程類型:已觸發變更
參數:
| 參數 | Description (描述) | Type | 允許的自訂值 | Security Hub 預設值 |
|---|---|---|---|---|
requiredTagKeys
|
評估的資源必須包含的非系統標籤金鑰清單。標籤鍵會區分大小寫。 | StringList | 符合AWS 需求的標籤清單 |
No default value
|
此控制項會檢查 AWS Identity and Access Management (IAM) 角色是否具有具有參數 中定義之特定金鑰的標籤requiredTagKeys。如果角色沒有任何標籤索引鍵,或它沒有參數 中指定的所有索引鍵,則控制項會失敗requiredTagKeys。如果requiredTagKeys未提供 參數,則控制項只會檢查標籤金鑰是否存在,如果角色未使用任何金鑰標記,則 控制項會失敗。系統標籤會自動套用並以 開頭aws:,因此會遭到忽略。
標籤是您指派給 AWS 資源的標籤,它由索引鍵和選用值組成。您可建立標籤,依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、組織、搜尋和篩選資源。標記也可協助您追蹤動作和通知的責任資源擁有者。使用標記時,您可以實作屬性型存取控制 (ABAC) 作為授權策略,以根據標籤定義許可。您可以將標籤連接至IAM實體 (使用者或角色) 和 AWS 資源。您可以為IAM委託人建立單一ABAC政策或個別的政策集。您可以設計這些ABAC政策,以便在主體的標籤與資源標籤相符時允許操作。如需詳細資訊,請參閱 使用者指南 中的什麼ABAC是 AWS?。 IAM
注意
請勿在標籤中新增個人識別資訊 (PII) 或其他機密或敏感資訊。許多 都可以存取標籤 AWS 服務,包括 AWS Billing。如需更多標記最佳實務,請參閱 中的標記 AWS 資源AWS 一般參考。
修補
若要將標籤新增至IAM角色,請參閱 IAM 使用者指南 中的標記IAM資源。
【IAM.25】 IAM 使用者應加上標籤
類別:識別 > 庫存 > 標記
嚴重性:低
資源類型: AWS::IAM::User
AWS Config rule: tagged-iam-user (自訂 Security Hub 規則)
排程類型:已觸發變更
參數:
| 參數 | Description (描述) | Type | 允許的自訂值 | Security Hub 預設值 |
|---|---|---|---|---|
requiredTagKeys
|
評估的資源必須包含的非系統標籤金鑰清單。標籤鍵會區分大小寫。 | StringList | 符合AWS 需求的標籤清單 |
No default value
|
此控制項會檢查 AWS Identity and Access Management (IAM) 使用者是否具有 參數 中定義之特定金鑰的標籤requiredTagKeys。如果使用者沒有任何標籤索引鍵,或如果它沒有參數 中指定的所有索引鍵,則控制項會失敗requiredTagKeys。如果requiredTagKeys未提供 參數,則控制項只會檢查標籤金鑰是否存在,如果使用者未使用任何金鑰標記,則 控制項會失敗。系統標籤會自動套用並以 開頭aws:,因此會遭到忽略。
標籤是您指派給 AWS 資源的標籤,它由索引鍵和選用值組成。您可建立標籤,依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、組織、搜尋和篩選資源。標記也可協助您追蹤動作和通知的責任資源擁有者。使用標記時,您可以實作屬性型存取控制 (ABAC) 作為授權策略,以根據標籤定義許可。您可以將標籤連接至IAM實體 (使用者或角色) 和 AWS 資源。您可以為IAM委託人建立單一ABAC政策或個別的政策集。您可以設計這些ABAC政策,以便在主體的標籤與資源標籤相符時允許操作。如需詳細資訊,請參閱 使用者指南 中的什麼ABAC是 AWS?。 IAM
注意
請勿在標籤中新增個人識別資訊 (PII) 或其他機密或敏感資訊。許多 都可以存取標籤 AWS 服務,包括 AWS Billing。如需更多標記最佳實務,請參閱 中的標記 AWS 資源AWS 一般參考。
修補
若要將標籤新增至IAM使用者,請參閱 IAM 使用者指南 中的標記IAM資源。
【IAM.26】 IAM應移除在 中管理的過期SSL/TLS憑證
相關要求:CIS AWS 基礎基準 3.0.0/1.19 版
類別:識別 > 合規
嚴重性:中
資源類型: AWS::IAM::ServerCertificate
AWS Config 規則: iam-server-certificate-expiration-check
排程類型:定期
參數:無
此控制項會檢查作用中SSL/TLS server certificate that is managed in IAM has expired. The control fails if the expired SSL/TLS伺服器憑證是否未移除。
若要在 中啟用與網站或應用程式的HTTPS連線 AWS,您需要 SSL/TLS 伺服器憑證。您可以使用 IAM或 AWS Certificate Manager (ACM) 來存放和部署伺服器憑證。只有在您必須支援 中不受 支援的HTTPS連線時 AWS 區域 ,才能使用 IAM作為憑證管理器ACM。IAM 安全地加密您的私有金鑰,並將加密的版本儲存在IAMSSL憑證儲存體中。IAM 支援在所有 區域中部署伺服器憑證,但您必須從外部供應商取得憑證,才能與 搭配使用 AWS。您無法將ACM憑證上傳至 IAM。此外,您無法從IAM主控台管理憑證。移除過期 SSL/TLS 憑證可消除將無效憑證意外部署到資源的風險,這會損害基礎應用程式或網站的可信度。
修補
若要從 移除伺服器憑證IAM,請參閱 IAM 使用者指南 中的管理伺服器憑證IAM。
【IAM.27】 IAM 身分不應連接 AWSCloudShellFullAccess 政策
相關要求:CIS AWS 基礎基準 3.0.0/1.22 版
類別:保護 > 安全存取管理 > 安全IAM政策
嚴重性:中
資源類型:AWS::IAM::Role、AWS::IAM::User、 AWS::IAM::Group
AWS Config 規則: iam-policy-blacklisted-check
排程類型:已觸發變更
參數:
"policyArns": "arn:aws:iam::aws:policy/AWSCloudShellFullAccess,arn:aws-cn:iam::aws:policy/AWSCloudShellFullAccess, arn:aws-us-gov:iam::aws:policy/AWSCloudShellFullAccess"
此控制項會檢查IAM身分 (使用者、角色或群組) 是否已AWSCloudShellFullAccess連接 AWS 受管政策。如果IAM身分已連接AWSCloudShellFullAccess政策,則控制項會失敗。
AWS CloudShell 提供對 執行CLI命令的便利方式 AWS 服務。 AWS 受管政策AWSCloudShellFullAccess提供 的完整存取權 CloudShell,這允許使用者本機系統和 CloudShell 環境之間的檔案上傳和下載功能。在 CloudShell 環境中,使用者具有 sudo 許可,並且可以存取網際網路。因此,將此受管政策轉換為IAM身分,讓他們能夠安裝檔案傳輸軟體,並將資料從 CloudShell 移至外部網際網路伺服器。建議您遵循最低權限原則,並將更窄的許可連接至身分IAM。
修補
若要從IAM身分分離AWSCloudShellFullAccess政策,請參閱 IAM 使用者指南 中的新增和移除IAM身分許可。
【IAM.28】 應啟用 IAM Access Analyzer 外部存取分析器
相關要求:CIS AWS 基礎基準 3.0.0/1.20 版
類別:偵測 > 偵測服務 > 特殊權限用量監控
嚴重性:高
資源類型: AWS::AccessAnalyzer::Analyzer
AWS Config 規則: iam-external-access-analyzer-enabled
排程類型:定期
參數:無
此控制項會檢查 AWS 帳戶 是否已啟用 IAM Access Analyzer 外部存取分析器。如果目前選取的 中未啟用外部存取分析器,則控制項會失敗 AWS 區域。
IAM Access Analyzer 外部存取分析器可協助識別組織和帳戶中與外部實體共用的資源,例如 Amazon Simple Storage Service (Amazon S3) 儲存貯體或IAM角色。這可協助您避免意外存取資源和資料。IAM Access Analyzer 是區域性的,必須在每個區域中啟用。若要識別與外部主體共用的資源,存取分析器會使用邏輯推理來分析環境中 AWS 的資源型政策。當您啟用外部存取分析器時,您可以為整個組織或帳戶建立分析器。
修補
若要在特定區域中啟用外部存取分析器,請參閱 IAM 使用者指南 中的啟用IAM存取分析器。您必須在您要監控資源存取權的每個區域中啟用分析器。
