환경에서 보안 위험이 높거나 매우 높은 변경 사항

High_Risk-IAM-001: 루트 계정에 대한 액세스 키 생성

High_Risk-IAM-002: 추가 액세스를 허용하는 SCP 정책 수정

High_Risk-IAM-003: AMS 인프라를 손상시킬 수 있는 SCP 정책 수정

High_Risk-IAM-004: 고객 계정에서 인프라 변경 권한(쓰기, 권한 관리 또는 태그 지정)이 있는 역할/사용자 생성

High_Risk-IAM-005: IAM 역할은 AMS 계정과 타사 계정(고객이 소유하지 않음) 간의 정책을 신뢰합니다.

High_Risk-IAM-006: 타사 계정을 통해 AMS 계정에서 모든 KMS 키에 액세스하기 위한 교차 계정 정책)

High_Risk-IAM-007: 데이터를 저장할 수 있는 AMS 고객 S3 버킷 또는 리소스(예: Amazon RDS, Amazon DynamoDB 또는 Amazon Redshift)에 액세스하기 위한 타사 계정의 교차 계정 정책

High_Risk-IAM-008: 고객 계정의 인프라 변경 권한을 사용하여 IAM 권한 할당

High_Risk-IAM-009: 계정의 모든 S3 버킷에 대한 나열 및 읽기 허용

High_Risk-NET-001: 인터넷에서 OS 관리 포트 SSH/22 또는 SSH/2222(SFTP/2222 아님), TELNET/23, RDP/3389, WinRM/5985-5986, VNC/ 5900-5901 TS/CITRIX/1494 또는 1604, LDAP/389 또는 636 및 NETBIOS/137-139를 엽니다.

High_Risk-NET-002: 데이터베이스 관리 포트 MySQL/3306, PostgreSQL/5432, Oracle/1521, MSSQL/1433 또는 인터넷의 모든 관리 고객 포트 열기

High_Risk-NET-003: 모든 컴퓨팅 리소스에서 직접 애플리케이션 포트 HTTP/80, HTTPS/8443 및 HTTPS/443을 엽니다. 예: 인터넷에서 EC2 인스턴스, ECS/EKS/Fargate 컨테이너 등

High_Risk-NET-004: AMS 인프라에 대한 액세스를 제어하는 보안 그룹에 대한 모든 변경 사항

High_Risk-NET-006: 타사 계정과의 VPC 피어링(고객이 소유하지 않음)

High_Risk-NET-007: 고객 방화벽을 모든 AMS 트래픽의 송신 지점으로 추가

High_Risk-NET-008: 타사 계정과의 Transit Gateway 연결이 허용되지 않음

High_Risk-S3-001: S3 버킷에서 퍼블릭 액세스 프로비저닝 또는 활성화

High_Risk-LOG-001: CloudTrail을 비활성화합니다.

High_Risk-LOG-002: VPC 흐름 로그를 비활성화합니다.

High_Risk-LOG-003: AMS 관리형 계정에서 타사 계정(고객이 소유하지 않음)으로 모든 메서드(S3 이벤트 알림, SIEM 에이전트 풀, SIEM 에이전트 푸시 등)를 통한 로그 전달

High_Risk-LOG-004: CloudTrail에 비 AMS 추적 사용

High_Risk-ENC-001: 활성화된 경우 모든 리소스에서 암호화 비활성화