Keamanan dan kepatuhan dalam mode Pengembang - Panduan Pengguna Tingkat Lanjut AMS
KeamananKepatuhan

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Keamanan dan kepatuhan dalam mode Pengembang

Keamanan dan kepatuhan adalah tanggung jawab bersama antara AMS Advanced dan Anda sebagai pelanggan kami. Mode AMS Advanced Developer mengalihkan tanggung jawab bersama kepada Anda atas sumber daya yang disediakan di luar proses manajemen perubahan atau disediakan melalui manajemen perubahan tetapi diperbarui dengan izin mode Pengembang. Untuk informasi selengkapnya tentang tanggung jawab bersama, lihat AWS Managed Services.

Peringatan:

  • DevMode memungkinkan Anda dan tim resmi Anda untuk melewati deny-by-default prinsip-prinsip inti keamanan AMS. Keuntungan, swalayan, lebih sedikit waktu menunggu AMS harus ditimbang terhadap kerugiannya, siapa pun dapat melakukan tindakan tak terduga dan destruktif tanpa sepengetahuan tim keamanan mereka. Jenis perubahan otomatis untuk mengaktifkan mode Dev dan mode Perubahan Langsung diekspos, dan setiap orang yang berwenang di organisasi Anda dapat menjalankannya CTs dan mengaktifkan mode ini.

  • Anda bertanggung jawab untuk mengelola izin eksekusi CT dari basis pengguna Anda.

  • AMS tidak mengelola izin eksekusi CT

Rekomendasi:

  • Lindungi

    • Pelanggan dapat mencegah akses ke CT ini melalui izin, lihat Membatasi izin dengan pernyataan kebijakan peran IAM

    • Mencegah akses ke CT ini dengan menerapkan proxy seperti sistem ITSM

    • Memanfaatkan kebijakan kontrol layanan (SCPs) yang mencegah kebijakan dan perilaku sesuai kebutuhan, lihat Perpustakaan Kontrol Pencegahan dan Detektif AMS

  • Mendeteksi

    • Pantau RFC Anda untuk ini CTs (Aktifkan mode pengembang ct-1opjmhuddw194 dan mode perubahan langsung, Aktifkan ct-3rd4781c2nnhp) dieksekusi dan merespons sesuai

    • Tinjau and/or audit akun Anda untuk keberadaan sumber daya IAM untuk mengidentifikasi akun tersebut di mana mode Pengembang atau mode Perubahan Langsung telah diterapkan

  • Menanggapi

    • Hapus akun dalam mode Pengembang sesuai kebutuhan

Keamanan dalam mode Pengembang

AMS Advanced menawarkan nilai tambahan dengan landing zone preskriptif, sistem manajemen perubahan, dan manajemen akses. Saat menggunakan mode Pengembang, nilai keamanan AMS Advanced dipertahankan dengan menggunakan konfigurasi akun yang sama dari akun AMS Advanced standar yang menetapkan jaringan pengerasan keamanan AMS Advanced dasar. Jaringan dilindungi oleh batas izin yang diberlakukan dalam peran (AWSManagedServicesDevelopmentRoleuntuk MALZ, customer_developer_role untuk SALZ), yang membatasi pengguna untuk memecah perlindungan parameter yang ditetapkan saat akun disiapkan.

Misalnya, pengguna dengan peran dapat mengakses Amazon Route 53 tetapi zona host internal AMS Advanced dibatasi. Batas izin yang sama diberlakukan pada peran IAM yang dibuat olehAWSManagedServicesDevelopmentRole, menegakkan batasan izin pada yang membatasi pengguna untuk memecah perlindungan parameter AWSManagedServicesDevelopmentRole yang ditetapkan saat akun di-onboard ke AMS Advanced.

Kepatuhan dalam mode Pengembang

Mode pengembang kompatibel dengan beban kerja produksi dan non-produksi. Anda bertanggung jawab untuk memastikan kepatuhan terhadap standar kepatuhan apa pun (misalnya, PHI, HIPAA, PCI), dan untuk memastikan bahwa penggunaan mode Pengembang sesuai dengan kerangka kerja dan standar pengendalian internal Anda.