As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Segurança e conformidade
Segurança e conformidade são uma responsabilidade compartilhada entre a AMS Advanced e você, como nosso cliente. O modo AMS Advanced Direct Change não altera essa responsabilidade compartilhada.
Segurança no modo Direct Change
O AMS Advanced oferece valor adicional com uma landing zone prescritiva, um sistema de gerenciamento de mudanças e gerenciamento de acesso. Ao usar o modo Direct Change, esse modelo de responsabilidade não muda. No entanto, você deve estar ciente dos riscos adicionais.
A função “Atualização” do Modo de Alteração Direta (consulteFunções e políticas do IAM do modo Direct Change) fornece permissões elevadas, permitindo que a entidade com acesso a ela faça alterações nos recursos de infraestrutura dos serviços suportados pela AMS em sua conta. Com permissões elevadas, existem riscos variados, dependendo do recurso, do serviço e das ações, especialmente em situações em que uma alteração incorreta é feita devido a supervisão, erro ou falta de adesão ao processo interno e à estrutura de controle.
De acordo com os Padrões Técnicos da AMS, os seguintes riscos foram identificados e as recomendações são feitas da seguinte forma. Informações detalhadas sobre as Normas Técnicas da AMS estão disponíveis em AWS Artifact. Para acessar AWS Artifact, entre em contato com seu CSDM para obter instruções ou acesse Introdução
AMS-STD-001: Marcação
| Padrões | Isso quebra? | Riscos | Recomendações |
|---|---|---|---|
| Todos os recursos de propriedade da AMS devem ter o seguinte par de valores-chave | Sim. Interrupções para CloudFormationCloudTrail,, EFS OpenSearch, CloudWatch Logs, SQS, SSM, API de marcação, pois esses serviços não oferecem suporte à O padrão fornecido na tabela AMS-STD-003, a seguir, afirma que você pode alterar o ambiente AppId AppName, mas não os recursos de propriedade da AMS. Não é possível por meio de permissões do IAM. |
A marcação incorreta dos recursos do AMS pode afetar adversamente as operações de emissão de relatórios, alertas e correções de seus recursos, no lado do AMS. | O acesso deve ser restrito para fazer qualquer alteração nos requisitos de marcação padrão do AMS para qualquer pessoa que não seja as equipes do AMS. |
Todas as tags de propriedade da AMS, exceto as listadas acima, devem ter prefixos como AMS* ou MC* no caso. upper/lower/mix | |||
| Qualquer tag nas pilhas de propriedade da AMS não deve ser excluída com base em suas solicitações de alteração. | Sim. CloudFormation não suporta a aws:TagsKey condição de restringir tags para o namespace AMS. | ||
| Você não tem permissão para usar a convenção de nomenclatura de tags do AMS em sua infraestrutura, conforme mencionado na tabela AMS-STD-002, a seguir. | Sim. Pausas para CloudFormation CloudTrail,, Amazon Elastic File System (EFS) OpenSearch, CloudWatch Logs, Amazon Simple Queue Service (SQS), Amazon EC2 Systems Manager (SSM), Tagging API; esses serviços não aws:TagsKey suportam a condição de restringir a marcação para o namespace AMS. |
AMS-STD-002: Identity and Access Management (IAM)
| Padrões | Isso quebra? | Riscos | Recomendações |
|---|---|---|---|
| 4.7 Ações que ignoram o processo de gerenciamento de mudanças (RFC) não devem ser permitidas, como iniciar ou interromper uma instância, criar buckets do S3 ou instâncias do RDS e assim por diante. As contas do modo Desenvolvedor e os serviços do modo Self-Service Provisioned (SSPS) estão isentos, desde que as ações sejam executadas dentro dos limites da função atribuída. | Sim. O objetivo das ações de autoatendimento permite que você execute ações ignorando o sistema AMS RFC. |
O modelo de acesso seguro é uma faceta técnica central do AMS e um usuário do IAM para console ou acesso programático contorna esse controle de acesso. O acesso dos usuários do IAM não é monitorado pelo gerenciamento de alterações do AMS. O acesso está CloudTrail somente logado. | O usuário do IAM deve ter um limite de tempo e receber permissões com base no privilégio mínimo e. need-to-know |
AMS-STD-003: Segurança de rede
| Padrões | Isso quebra? | Riscos | Recomendações |
|---|---|---|---|
| S2. O Elastic IP em EC2 instâncias deve ser usado somente com um acordo formal de aceitação de risco ou com um caso de uso válido por equipes internas. | Sim. As ações de autoatendimento permitem associar e desassociar endereços IP elásticos (EIP). |
Adicionar um IP elástico a uma instância a expõe à Internet. Isso aumenta o risco de divulgação de informações e atividades não autorizadas. | Bloqueie qualquer tráfego desnecessário para essa instância por meio de grupos de segurança e verifique se seus grupos de segurança estão conectados à instância para garantir que ela permita o tráfego somente quando necessário por motivos comerciais. |
| S14. O emparelhamento de VPC e as conexões de endpoint entre contas que pertencem ao mesmo cliente podem ser permitidos. | Sim. Não é possível por meio da política do IAM. |
O tráfego que sai da sua conta do AMS não é monitorado depois de sair do limite da conta. | Recomendamos fazer peering somente com contas AMS que você possui. Se seu caso de uso exigir isso, use grupos de segurança e tabelas de rotas para limitar quais faixas de tráfego, recursos e tipos podem sair pela conexão relevante. |
| A base do AMS AMIs pode ser compartilhada entre contas gerenciadas e não gerenciadas pelo AMS, desde que possamos verificar se elas pertencem à mesma organização. AWS | AMIs podem conter dados confidenciais e podem ser expostos a contas indesejadas. | Compartilhe somente AMIs com a conta de propriedade da sua organização ou valide o caso de uso e as informações da conta antes de compartilhar fora da organização. |
AMS-STD-007: Registro
| Padrões | Isso quebra? | Riscos | Recomendações |
|---|---|---|---|
| 19. Qualquer registro pode ser encaminhado de uma conta AMS para outra conta AMS do mesmo cliente. | Sim. A possível insegurança dos registros do cliente, pois a verificação de que as contas dos clientes estão na mesma organização, não pode ser alcançada por meio da política do IAM. |
Os registros podem conter dados confidenciais e podem ser expostos a contas indesejadas. | Compartilhe registros somente com contas gerenciadas pela sua AWS organização ou valide o caso de uso e as informações da conta antes de compartilhá-los fora da sua organização. Podemos verificar isso de várias maneiras, consulte seu gerente de prestação de serviços em nuvem (CSDM). |
| 20. Qualquer registro pode ser encaminhado do AMS para uma conta que não seja do AMS somente se a conta não pertencer ao mesmo cliente do AMS (confirmando que eles estão na mesma AWS Organizations conta ou combinando o domínio do e-mail com o nome da empresa do cliente e a conta vinculada ao PAYER) usando ferramentas internas. |
Trabalhe com sua equipe interna de autorização e autenticação para controlar adequadamente as permissões para as funções do modo Direct Change.
Conformidade no modo Direct Change
O modo Direct Change é compatível com cargas de trabalho de produção e não produtivas. É sua responsabilidade garantir a adesão a quaisquer padrões de conformidade (por exemplo, PHI, HIPAA, PCI) e garantir que o uso do modo Direct Change esteja em conformidade com suas estruturas e padrões de controle interno.
