SEC03-BP07 分析公有和跨帳戶存取權
持續監控強調公有和跨帳戶存取權的調查結果。減少僅對需要此存取之特定資源的公有存取權和跨帳戶存取權。
預期成果:知道您共用了哪些 AWS 資源以及共用的對象。持續監控和稽核您共用的資源以確認這些資源僅與已授權主體共用。
常見的反模式:
-
沒有維持共用資源的詳細目錄。
-
未遵循程序來核准跨帳戶或資源的公有存取權。
未建立此最佳實務時的曝險等級:低
實作指引
如果您的帳戶位於 AWS Organizations 中,您可以將資源的存取權授予整個組織、特定組織單位或個別帳戶。如果您的帳戶不是組織的成員,您可以與個別帳戶共用資源。您可以使用以資源為基礎的政策 (例如 Amazon Simple Storage Service (Amazon S3) 儲存貯體政策) 來授予直接跨帳戶存取權,或允許另一個帳戶中的主體擔任您帳戶中的 IAM 角色。當使用資源政策時,確認僅將該存取權授予已授權的主體。定義程序,來核准所有需要公開提供的資源。
AWS Identity and Access Management Access AnalyzerPrincipalOrgId 條件金鑰來拒絕嘗試從 AWS Organizations
AWS Config 可以報告設定不當的資源,並可透過 AWS Config 政策檢查來偵測已設定公開存取的資源。諸如 AWS Control Tower
實作步驟
-
考慮對 AWS Organizations 使用 AWS Config: AWS Config 可讓您將 AWS Organizations 內來自多個帳戶的調查結果彙總到一個委派的管理員帳戶。這提供了全面性檢視,並讓您在帳戶間部署 AWS Config 規則 以偵測公開可存取的資源。
-
設定 AWS Identity and Access Management Access Analyzer:IAM Access Analyzer 可協助您識別組織及帳戶中與外部實體共用的資源,例如 Amazon S3 儲存貯體或 IAM 角色。
-
使用 AWS Config 中的自動修復以回應 Amazon S3 儲存貯體的公開存取設定中的變更:您可以自動開啟 Amazon S3 儲存貯體的封鎖公開存取設定
。 -
實作監控和提醒以識別 Amazon S3 儲存貯體是否已變為公有:您必須設立監控和提醒
以識別何時關閉 Amazon S3 封鎖公開存取,以及 Amazon S3 儲存貯體是否變為公有。此外,如果您正在使用 AWS Organizations,可以建立服務控制政策來防止對 Amazon S3 公開存取政策進行變更。AWS Trusted Advisor 會檢查具有公開存取許可的 Amazon S3 儲存貯體。將上傳或刪除存取權授予每個人的儲存貯體許可,可讓任何人在儲存貯體中新增、修改或移除項目,進而產生潛在的安全問題。Trusted Advisor 檢查會分析明確的儲存貯體許可,以及可能覆寫儲存貯體許可的關聯儲存貯體政策。您也可以使用 AWS Config 來監控 Amazon S3 儲存貯體的公開存取。如需詳細資訊,請參閱如何使用 AWS Config 來監控及回應允許公開存取的 Amazon S3 儲存貯體 。
檢閱 Amazon S3 儲存貯體的存取控制時,請務必考量儲存於其中的資料性質。Amazon Macie 是一項服務,其設計在於協助您探索和保護敏感資料,例如個人身分識別資訊 (PII)、受保護健康資訊 (PHI),以及私有金鑰或 AWS 存取金鑰等憑證。
資源
相關文件:
相關影片:
