기계 번역으로 제공되는 번역입니다. 제공된 번역과 원본 영어의 내용이 상충하는 경우에는 영어 버전이 우선합니다.
보안 및 규정 준수
보안 및 규정 준수는 AMS Advanced와 고객 간의 공동 책임입니다. AMS 고급 직접 변경 모드는이 공동 책임을 변경하지 않습니다.
직접 변경 모드의 보안
AMS Advanced는 규범적 랜딩 존, 변경 관리 시스템 및 액세스 관리를 통해 추가 가치를 제공합니다. 직접 변경 모드를 사용하는 경우이 책임 모델은 변경되지 않습니다. 그러나 추가 위험을 알고 있어야 합니다.
직접 변경 모드 "업데이트" 역할( 참조직접 변경 모드 IAM 역할 및 정책)은 계정 내에서 AMS 지원 서비스의 인프라 리소스를 변경할 수 있도록 엔터티가 액세스할 수 있는 승격된 권한을 제공합니다. 권한이 높아지면 리소스, 서비스 및 작업에 따라 다양한 위험이 존재합니다. 특히 감독, 실수 또는 내부 프로세스 및 제어 프레임워크 준수 부족으로 인해 잘못된 변경이 이루어지는 상황에서는 더욱 그렇습니다.
AMS 기술 표준에 따라 다음과 같은 위험이 식별되었으며 권장 사항은 다음과 같습니다. AMS 기술 표준에 대한 자세한 내용은를 통해 확인할 수 있습니다 AWS Artifact. 에 액세스하려면 CSDM에 AWS Artifact문의하여 지침을 받거나 시작하기로 AWS Artifact
AMS-STD-001: 태그 지정
| 표준 | 깨졌나요? | 위험 | 권장 사항 |
|---|---|---|---|
| 모든 AMS 소유 리소스에는 다음과 같은 키-값 페어가 있어야 합니다. | 예. CloudFormation,CloudTrail, EFS, OpenSearch, CloudWatch Logs, SQS, SSM, Tagging api에 대한 중단 - 이러한 서비스는 AMS 네임스페이스에 대한 태깅을 제한하는 다음 표 AMS-STD-003에 제공된 표준은 AppId, 환경 및 AppName을 변경할 수 있지만 AMS 소유 리소스의 경우 변경할 수 없다고 명시합니다. IAM 권한을 통해 달성할 수 없습니다. |
AMS 리소스의 잘못된 태그 지정은 AMS 측 리소스의 보고, 알림 및 패치 적용 작업에 부정적인 영향을 미칠 수 있습니다. | AMS 팀 이외의 모든 사용자의 AMS 기본 태그 지정 요구 사항을 변경하려면 액세스를 재시도해야 합니다. |
위에 나열된 태그 이외의 모든 AMS 소유 태그에는 upper/lower/mix스 대/소문자AMS*MC*와 같은 접두사가 있어야 합니다. | |||
| AMS 소유 스택의 태그는 변경 요청에 따라 삭제해서는 안 됩니다. | 예. CloudFormation은 AMS 네임스페이스에 대한 태그를 제한하는 aws:TagsKey 조건을 지원하지 않습니다. | ||
| 다음 표 AMSAMS-STD-002 태그 이름 지정 규칙을 사용할 수 없습니다. | 예. CloudFormation, CloudTrail, Amazon Elastic File System(EFS), OpenSearch, CloudWatch Logs, Amazon Simple Queue Service(SQS), Amazon EC2 Systems Manager(SSM), 태그 지정 API에 대한 중단. 이러한 서비스는 AMS 네임스페이스에 대한 태그 지정을 제한하는 aws:TagsKey 조건을 지원하지 않습니다. |
AMS-STD-002: Identity and Access Management(IAM)
| 표준 | 깨졌나요? | 위험 | 권장 사항 |
|---|---|---|---|
| 4.7 변경 관리 프로세스(RFC)를 우회하는 작업은 인스턴스 시작 또는 중지, S3 버킷 또는 RDS 인스턴스 생성 등과 같이 허용되지 않아야 합니다. 개발자 모드 계정 및 셀프 서비스 프로비저닝 모드 서비스(SSPS)는 작업이 할당된 역할의 경계 내에서 수행되는 한 면제됩니다. | 예. 셀프 서비스 작업의 목적을 통해 AMS RFC 시스템을 우회하는 작업을 수행할 수 있습니다. |
보안 액세스 모델은 AMS의 핵심 기술 패싯이며 콘솔 또는 프로그래밍 방식의 액세스를 위한 IAM 사용자는이 액세스 제어를 우회합니다. IAM 사용자 액세스는 AMS 변경 관리에서 모니터링되지 않습니다. 액세스는 CloudTrail에만 로깅됩니다. | IAM 사용자는 시간 제한을 두고 최소 권한과 need-to-know 따라 권한을 부여받아야 합니다. |
AMS-STD-003: 네트워크 보안
| 표준 | 깨졌나요? | 위험 | 권장 사항 |
|---|---|---|---|
| S2. EC2 인스턴스의 탄력적 IP는 공식 위험 수락 계약 또는 내부 팀의 유효한 사용 사례에서만 사용해야 합니다. | 예. 셀프 서비스 작업을 사용하면 탄력적 IP 주소(EIP)를 연결하고 연결을 해제할 수 있습니다. |
인스턴스에 탄력적 IP를 추가하면 인스턴스가 인터넷에 노출됩니다. 이렇게 하면 정보 공개 및 무단 활동의 위험이 증가합니다. | 보안 그룹을 통해 해당 인스턴스에 대한 불필요한 트래픽을 차단하고 보안 그룹이 인스턴스에 연결되어 있는지 확인하여 비즈니스상의 이유로 필요한 경우에만 트래픽을 허용하도록 합니다. |
| S14. 동일한 고객에게 속한 계정 간의 VPC 피어링 및 엔드포인트 연결을 허용할 수 있습니다. | 예. IAM 정책을 통해 불가능합니다. |
AMS 계정에서 나가는 트래픽은 계정 경계를 벗어나면 모니터링되지 않습니다. | 소유하고 있는 AMS 계정으로만 피어링하는 것이 좋습니다. 사용 사례에 필요한 경우 보안 그룹 및 라우팅 테이블을 사용하여 관련 연결을 통해 송신할 수 있는 트래픽 범위, 리소스 및 유형을 제한합니다. |
| AMS 기본 AMIs는 동일한 AWS 조직에서 소유하고 있는지 확인할 수 있는 한 AMS 관리형 계정과 비관리형 계정 간에 공유할 수 있습니다. | AMIs 민감한 데이터가 포함될 수 있으며 의도하지 않은 계정에 노출될 수 있습니다. | 조직 외부에서 공유하기 전에 조직이 소유한 계정과만 AMIs를 공유하거나 사용 사례 및 계정 정보를 검증합니다. |
AMS-STD-007: 로깅
| 표준 | 깨졌나요? | 위험 | 권장 사항 |
|---|---|---|---|
| 19. 모든 로그는 한 AMS 계정에서 동일한 고객의 다른 AMS 계정으로 전달할 수 있습니다. | 예. 동일한 조직에 있는 고객 계정의 확인으로 인한 고객 로그의 잠재적 비보안은 IAM 정책을 통해 달성할 수 없습니다. |
로그에는 민감한 데이터가 포함될 수 있으며 의도하지 않은 계정에 노출될 수 있습니다. | 조직 외부에서 공유하기 전에 AWS 조직에서 관리하는 계정과만 로그를 공유하거나 사용 사례 및 계정 정보를 검증합니다. 이를 여러 가지 방법으로 확인할 수 있습니다. 클라우드 서비스 제공 관리자(CSDM)에게 문의하십시오. |
| 20. 모든 로그는 내부 도구를 사용하여 동일한 AMS 고객이 비 AMS 계정을 소유한 경우에만(동일한 계정인지 AWS Organizations 확인하거나 이메일 도메인을 고객의 회사 이름 및 PAYER 연결 계정과 일치시켜) AMS에서 비 AMS 계정으로 전달할 수 있습니다. |
이에 따라 내부 권한 부여 및 인증 팀과 협력하여 Direct Change 모드 역할에 대한 권한을 제어합니다.
직접 변경 모드의 규정 준수
Direct Change 모드는 프로덕션 워크로드와 비프로덕션 워크로드 모두와 호환됩니다. 규정 준수 표준(예: PHI, HIPAA, PCI)을 준수하고 Direct Change 모드 사용이 내부 제어 프레임워크 및 표준을 준수하도록 하는 것은 사용자의 책임입니다.
