Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Sécurité et conformité
La sécurité et la conformité sont une responsabilité partagée entre AMS Advanced et vous, en tant que client. Le mode AMS Advanced Direct Change ne modifie pas cette responsabilité partagée.
Sécurité en mode Direct Change
AMS Advanced offre une valeur ajoutée avec une zone d'atterrissage prescriptive, un système de gestion du changement et une gestion des accès. Lorsque vous utilisez le mode Changement direct, ce modèle de responsabilité ne change pas. Cependant, vous devez être conscient des risques supplémentaires.
Le rôle « Mise à jour » du mode de changement direct (voirRôles et politiques IAM en mode Changement direct) fournit des autorisations élevées permettant à l'entité qui y a accès d'apporter des modifications aux ressources d'infrastructure des services pris en charge par AMS au sein de votre compte. Avec des autorisations élevées, les risques varient en fonction de la ressource, du service et des actions, en particulier dans les situations où une modification incorrecte est apportée en raison d'un oubli, d'une erreur ou d'un non-respect de votre processus interne et de votre cadre de contrôle.
Conformément aux normes techniques de l'AMS, les risques suivants ont été identifiés et les recommandations suivantes sont formulées. Des informations détaillées sur les normes techniques AMS sont disponibles via AWS Artifact. Pour y accéder AWS Artifact, contactez votre CSDM pour obtenir des instructions ou rendez-vous sur Getting Started with
AMS-STD-001 : Marquage
| Normes | Est-ce que ça se casse | Risques | Recommandations |
|---|---|---|---|
| Toutes les ressources détenues par AMS doivent avoir la paire clé-valeur suivante | Oui. Interruptions pour CloudFormationCloudTrail, EFS OpenSearch, CloudWatch Logs, SQS, SSM, Tagging api, car ces services ne supportent pas la La norme indiquée dans le tableau AMS-STD-003 ci-dessous indique que vous pouvez modifier l'environnement et AppId AppName, mais pas pour les ressources appartenant à AMS. Non réalisable par le biais des autorisations IAM. |
Un balisage incorrect des ressources AMS peut avoir un impact négatif sur les opérations de reporting, d'alerte et de correction de vos ressources, du côté AMS. | L'accès doit être restreint pour apporter des modifications aux exigences de balisage par défaut d'AMS pour toute personne autre que les équipes AMS. |
Toutes les balises appartenant à AMS autres que celles répertoriées ci-dessus doivent avoir des préfixes tels que AMS* ou MC* au cas où. upper/lower/mix | |||
| Aucune balise figurant sur les piles appartenant à AMS ne doit être supprimée en fonction de vos demandes de modification. | Oui CloudFormation ne prend pas en charge la aws:TagsKey condition de restriction des balises pour l'espace de noms AMS. | ||
| Vous n'êtes pas autorisé à utiliser la convention de dénomination des balises AMS dans votre infrastructure, comme indiqué dans le tableau AMS-STD-002, ci-dessous. | Oui. Interruptions pour CloudFormation Amazon Elastic File System (EFS), OpenSearch CloudWatch Logs, Amazon Simple Queue Service (SQS), Amazon Systems EC2 Manager (SSM), Tagging API ; ces services ne supportent pas la condition de restriction du balisage pour aws:TagsKey l'espace de noms AMS. CloudTrail |
AMS-STD-002 : Identity and Access Management (IAM)
| Normes | Est-ce que ça se casse | Risques | Recommandations |
|---|---|---|---|
| 4.7 Les actions qui contournent le processus de gestion des modifications (RFC) ne doivent pas être autorisées, telles que le démarrage ou l'arrêt d'une instance, la création de compartiments S3 ou d'instances RDS, etc. Les comptes en mode développeur et les services en mode Self-Service Provisioned (SSPS) sont exemptés tant que les actions sont effectuées dans les limites du rôle attribué. | Oui. L'objectif des actions en libre-service vous permet d'effectuer des actions en contournant le système AMS RFC. |
Le modèle d'accès sécurisé est une facette technique essentielle d'AMS et un utilisateur IAM pour l'accès à la console ou par programme contourne ce contrôle d'accès. L'accès des utilisateurs IAM n'est pas surveillé par la gestion des modifications d'AMS. L'accès est CloudTrail uniquement connecté. | L'utilisateur IAM doit être limité dans le temps et bénéficier d'autorisations basées sur le moindre privilège et. need-to-know |
AMS-STD-003 : Sécurité réseau
| Normes | Est-ce que ça se casse | Risques | Recommandations |
|---|---|---|---|
| S2. L'adresse IP élastique sur EC2 les instances ne doit être utilisée que dans le cadre d'un accord formel d'acceptation des risques ou d'un cas d'utilisation valide par les équipes internes. | Oui. Les actions en libre-service vous permettent d'associer et de dissocier des adresses IP élastiques (EIP). |
L'ajout d'une adresse IP élastique à une instance l'expose à Internet. Cela augmente le risque de divulgation d'informations et d'activités non autorisées. | Bloquez tout trafic inutile vers cette instance par le biais de groupes de sécurité et vérifiez que vos groupes de sécurité sont attachés à l'instance afin de garantir qu'elle autorise le trafic uniquement lorsque cela est nécessaire pour des raisons professionnelles. |
| S14. Le peering VPC et les connexions aux terminaux entre les comptes appartenant au même client peuvent être autorisés. | Oui. Impossible dans le cadre de la politique IAM. |
Le trafic sortant de votre compte AMS n'est pas surveillé une fois la limite du compte franchie. | Nous vous recommandons de peering uniquement avec les comptes AMS que vous possédez. Si votre cas d'utilisation l'exige, utilisez des groupes de sécurité et des tables de routage pour limiter les plages de trafic, les ressources et les types de trafic pouvant sortir via la connexion appropriée. |
| La base AMS AMIs peut être partagée entre des comptes gérés par AMS et non gérés, à condition que nous puissions vérifier qu'ils appartiennent à la même organisation. AWS | AMIs peut contenir des données sensibles et peut être exposé à des comptes non intentionnels. | Partagez uniquement AMIs avec le compte appartenant à votre organisation ou validez le cas d'utilisation et les informations du compte avant de partager en dehors de l'organisation. |
AMS-STD-007 : Journalisation
| Normes | Est-ce que ça se casse | Risques | Recommandations |
|---|---|---|---|
| 19. Tout journal peut être transféré d'un compte AMS à un autre compte AMS du même client. | Oui. La politique IAM ne permet pas de vérifier que les comptes clients appartiennent à la même organisation. |
Les journaux peuvent contenir des données sensibles et ils peuvent être exposés à des comptes non intentionnels. | Partagez les journaux uniquement avec les comptes gérés par votre AWS organisation, ou validez le cas d'utilisation et les informations du compte avant de les partager en dehors de votre organisation. Nous pouvons vérifier cela de plusieurs manières, consultez votre responsable de prestation de services cloud (CSDM). |
| 20. Tout journal ne peut être transféré d'AMS vers un compte autre qu'AMS uniquement si le compte non-AMS appartient au même client AMS (en confirmant qu'il appartient au même AWS Organizations compte ou en faisant correspondre le domaine de messagerie au nom de l'entreprise du client et au compte lié à PAYER) à l'aide d'outils internes. |
Collaborez avec votre équipe interne d'autorisation et d'authentification pour contrôler en conséquence les autorisations relatives aux rôles du mode Changement direct.
Conformité en mode Direct Change
Le mode Direct Change est compatible avec les charges de travail en production et hors production. Il est de votre responsabilité de garantir le respect de toutes les normes de conformité (par exemple, PHI, HIPAA, PCI) et de vous assurer que l'utilisation du mode Direct Change est conforme à vos cadres et normes de contrôle internes.
