安全性

检查附加到 Application Load Balancer 及其亚马逊 EC2 目标的安全组。应用程序负载均衡器安全组应仅允许在侦听器中配置的入站端口。目标的安全组不应在目标从负载均衡器接收流量的同一端口接受来自互联网的直接连接。

如果安全组允许访问未针对负载均衡器配置的端口或允许直接访问目标，则数据丢失或恶意攻击的风险会增加。

此检查会排除以下组：

8604e947f2

为了提高安全性，请确保安全组仅允许必要的流量：

检查 Amazon CloudWatch 日志组保留期是否设置为 365 天或其他指定数字。

默认情况下，日志将无限期保留且永不过期。但是，您可以调整每个日志组的保留策略，使其符合特定期限的行业法规或法律要求。

您可以使用 AWS Config 规则中的和MinRetentionTime参数指定最短保留时间LogGroupNames和日志组名称。

c18d2gz186

AWS Config Managed Rule: cw-loggroup-retention-period-check

黄色：Amazon CloudWatch 日志组的保留期少于所需的最小天数。

为存储在 Amazon CloudWatch Logs 中的日志数据配置超过 365 天的保留期，以满足合规性要求。

有关更多信息，请参阅更改日志中的 CloudWatch 日志数据保留期。

更改 CloudWatch 日志保留期

检查过去 24 小时内运行的亚马逊弹性计算云 (Amazon EC2) 实例的 SQL Server 版本。如果该版本的支持接近或已经终止，则此检查会提示您。每个 SQL Server 版本都提供 10 年的支持，包括 5 年主流支持和 5 年延伸支持。支持终止后，该 SQL Server 版本将不会收到定期的安全更新。使用不受支持的 SQL Server 版本运行应用程序可能会带来安全或合规风险。

Qsdfp3A4L3

要实现 SQL Server 工作负载现代化，请考虑重构到 Amazon Aurora 等 AWS 云 原生数据库。有关更多信息，请参阅使用实现 Windows 工作负载现代化 AWS。

要迁移到完全托管式数据库，请考虑更换平台到 Amazon Relational Database Service（Amazon RDS）。有关更多信息，请参阅 Amazon RDS for SQL Server。

要在亚马逊上升级您的 SQL Server EC2，请考虑使用自动化运行手册来简化升级。有关详情，请参阅 AWS Systems Manager 文档。

如果你无法在亚马逊上升级 SQL Server EC2，可以考虑使用 Windows Server 的 End-of-Support迁移计划 (EMP)。有关更多信息，请参阅 EMP 网站。

如果 Microsoft Windows Server 版本的支持接近或已经终止，则此检查会提示您。每个 Windows Server 版本都提供 10 年的支持，包括 5 年主流支持和 5 年扩展支持。支持终止后，该 Windows Server 版本将不会收到定期的安全更新。使用不受支持的 Windows Server 版本运行应用程序可能会带来安全或合规风险。

Qsdfp3A4L4

要对 Windows 服务器工作负载进行现代化改造，请考虑使用现代化 Windows 工作负载中的各种选项 AWS。

要升级 Windows Server 工作负载以在更新版本的 Windows Server 上运行，您可以使用自动化运行手册。有关更多信息，请参阅 AWS Systems Manager 文档。

完成以下步骤：

如果这些版本的标准支持接近或已经终止，则此检查会提示您。务必采取行动 — 要么迁移到下一个 LTS 版本，要么升级到 Ubuntu Pro。支持终止后，18.04 LTS 计算机将不会收到任何安全更新。订阅 Ubuntu Pro 后，Ubuntu 18.04 LTS 部署可获得扩展安全维护 (ESM)，支持将持续至 2028 年。仍未修补的安全漏洞会使系统面临黑客攻击风险，可能导致重大数据泄露。

c1dfprch15

红色：亚马逊 EC2实例的Ubuntu版本已达到标准支持的终点（Ubuntu 18.04 LTS、18.04.1 LTS、18.04.2 LTS、18.04.3 LTS、18.04.4 LTS、18.04.5 LTS、18.04.5 LTS和18.04.6 LTS）。

黄色：亚马逊 EC2实例的Ubuntu版本将在不到6个月的时间内结束标准支持（Ubuntu 20.04 LTS、20.04.1 LTS、20.04.2 LTS、20.04.3 LTS、20.04.4 LTS、20.04.4 LTS、20.04.5 LTS和20.04.6 LTS）。

绿色：所有 Amazon EC2 实例均合规。

要将 Ubuntu 18.04 LTS 实例升级到受支持的 LTS 版本，请按照本文中所述的步骤操作。要将 Ubuntu 18.04 LTS 实例升级到 Ubuntu Pro，请访问 AWS License Manager 控制台并按照 AWS License Manager 用户指南中所述的步骤操作。您也可以参阅 Ubuntu 博客，其中展示了将 Ubuntu 实例升级到 Ubuntu Pro 的分步演示。

有关定价的信息，请联系支持。

检查 Amazon EFS 文件系统是否使用 data-in-transit加密方式挂载。 AWS 建议客户对所有数据流使用 data-in-transit加密，以保护数据免遭意外泄露或未经授权的访问。Amazon EFS 建议客户端通过 Amazon EFS 挂载助手，使用“-o tls”挂载设置，通过 TLS v1.2 协议对传输中数据进行加密。

c1dfpnchv1

黄色：您的 Amazon EFS 文件系统的一个或多个 NFS 客户端未使用提供 data-in-transit加密功能的推荐挂载设置。

绿色：您的 Amazon EFS 文件系统的所有 NFS 客户端都使用推荐的提供 data-in-transit加密功能的挂载设置。

要利用 Amazon EFS 上的 data-in-transit加密功能，我们建议您使用 Amazon EFS 挂载帮助程序和推荐的挂载设置重新挂载文件系统。

检查 Amazon Elastic Block Store (Amazon EBS) 卷快照的权限设置，并在任何快照可公开访问时收到提醒。

当您将快照公开时，即授予所有 AWS 账户 用户访问快照中所有数据的权限。若要仅与特定用户或账户共享快照，请将快照标记为私有。然后，指定要与之共享快照数据的用户或账户。请注意，如果您在“阻止所有共享”模式下启用了“阻止公共访问”功能，则您的公有快照将无法公开访问，也不会显示在此检查的结果中。

ePs02jT06w

红色：EBS 卷快照可公开访问。

除非您确定要与所有 AWS 账户 人和用户共享快照中的所有数据，否则请修改权限：将快照标记为私有，然后指定要向其授予权限的帐户。有关更多信息，请参阅共享 Amazon EBS 快照。针对 EBS 快照使用“阻止公共访问”来控制允许对您的数据进行公共访问的设置。无法将此支票排除在 Trusted Advisor 控制台的视图之外。

要直接修改快照的权限，请使用 AWS Systems Manager 控制台中的运行手册。有关更多信息，请参阅 AWSSupport-ModifyEBSSnapshotPermission。

Amazon EBS 快照

Amazon RDS 支持使用您在 AWS Key Management Service中管理的密钥对所有数据库引擎进行静态加密。在采用 Amazon RDS 加密的活动数据库实例上，静态存储在存储中的数据会加密，类似于自动备份、只读副本和快照。

如果在创建 Aurora 数据库集群时未开启加密，则必须将解密后的快照还原到加密的数据库集群。

c1qf5bt005

红色：Amazon RDS Aurora 资源未启用加密。

为数据库集群开启静态数据加密。

您可以在创建数据库实例时开启加密，也可以使用变通方法为处于活动状态的数据库实例开启加密。您无法将已解密的数据库集群修改为加密的数据库集群。但是，您可以将未加密的快照还原为加密的数据库集群。从解密的快照还原时，必须指定密钥。 AWS KMS

有关更多信息，请参阅加密 Amazon Aurora 资源。

您的数据库资源未运行最新次要数据库引擎版本。最新的次要版本包含最新的安全修复和其它改进。

c1qf5bt003

黄色：Amazon RDS 资源未运行最新次要数据库引擎版本。

升级到最新的引擎版本。

建议您使用最新的数据库引擎次要版本维护数据库，因为此版本包含最新的安全修复和功能修复。数据库引擎次要版本升级仅包含与该数据库引擎同一主要版本的早期次要版本向后兼容的更改。

有关更多信息，请参阅升级数据库实例引擎版本。

检查 Amazon Relational Database Service (Amazon RDS) 数据库快照的权限设置，并在任何快照被标记为公有时发出提醒。

当您将快照公开时，即授予所有 AWS 账户 用户访问快照中所有数据的权限。如果要仅与特定用户或账户共享快照，请将快照标记为私有。然后，指定要与之共享快照数据的用户或账户。

rSs93HQwa1

红色：Amazon RDS 快照标记为公有。

除非您确定要与所有 AWS 账户 人和用户共享快照中的所有数据，否则请修改权限：将快照标记为私有，然后指定要向其授予权限的帐户。有关更多信息，请参阅共享数据库快照或数据库集群快照。无法将此支票排除在 Trusted Advisor 控制台的视图之外。

要直接修改快照的权限，可以在 AWS Systems Manager 控制台中使用运行手册。有关更多信息，请参阅 AWSSupport-ModifyRDSSnapshotPermission。

备份和还原 Amazon RDS 数据库实例

检查 Amazon Relational Database Service (Amazon RDS) 的安全组配置，并在安全组规则授予对您的数据库的过度权限时发出警告。安全组规则的推荐配置是仅允许从特定的亚马逊弹性计算云 (Amazon EC2) 安全组或特定 IP 地址进行访问。

nNauJisYIT

EC2-Classic 已于 2022 年 8 月 15 日退役。建议将您的 Amazon RDS 实例移至 VPC 并使用亚马逊 EC2 安全组。有关将数据库实例迁移到 VPC 的更多信息，请参阅将不在 VPC 中的数据库实例迁移到 VPC。

如果您无法将 Amazon RDS 实例迁移到 VPC，请检查您的安全组规则，将访问权限限制为授权的 IP 地址或 IP 范围。要编辑安全组，请使用授权 DBSecurity GroupIngress API 或 AWS 管理控制台。有关更多信息，请参阅使用数据库安全组。

Amazon RDS 支持使用您在 AWS Key Management Service中管理的密钥对所有数据库引擎进行静态加密。在采用 Amazon RDS 加密的活动数据库实例上，静态存储在存储中的数据会加密，类似于自动备份、只读副本和快照。

如果在创建数据库实例时未开启加密，则必须先还原未加密快照的加密副本，然后再开启加密。

c1qf5bt006

红色：Amazon RDS 资源未启用加密。

为您的数据库实例开启静态数据加密。

您只能在创建数据库实例时加密该数据库实例。要加密现有的活动数据库实例，请执行以下操作：

有关更多信息，请参阅以下资源：

检查 Amazon Route 53 托管区中直接指向 Amazon S3 存储桶主机名的 CNAME 记录，如果 CNAME 记录与 S3 存储桶名称不匹配，则会收到提醒。

c1ng44jvbm

红色：Amazon Route 53 托管区域中存在指向不匹配的 S3 存储桶主机名的 CNAME 记录。

绿色：在 Amazon Route 53 托管区域中未找到不匹配的 CNAME 记录。

将 CNAME 记录指向 S3 存储桶主机名时，必须确保对于您配置的任何 CNAME 记录或别名记录，都存在一个匹配的存储桶。这样做可避免 CNAME 记录被伪造的风险。您还可以防止任何未经授权的 AWS 用户使用您的域名托管错误或恶意的网络内容。

为避免将别名记录直接指向 S3 存储桶主机名，请考虑使用源访问控制 (OAC) 通过 Amazon 访问您的 S3 存储桶网络资产。 CloudFront

有关将别名记录与 Amazon S3 存储桶主机名关联的更多信息，请参阅使用别名记录自定义 Amazon URLs S3。

对于每个 MX 记录，检查是否存在包含有效 SPF 值的关联 TXT 记录。TXT 记录值必须以“v=spf1”开头。SPF 记录类型已被互联网工程任务组 (IETF) 弃用。对于 Route 53，最佳做法是使用 TXT 记录而不是 SPF 记录。 Trusted Advisor 当 MX 记录至少有一条关联的 TXT 记录具有有效 SPF 值时，会将此检查报告为绿色。

c9D319e7sG

对于每个 MX 资源记录集，创建包含有效 SPF 值的 TXT 资源记录集。有关更多信息，请参阅发件人策略框架：SPF 记录语法和使用 Amazon Route 53 控制台创建资源记录集。

检查 Amazon Simple Storage Service (Amazon S3) 中具有开放访问权限或允许任何经过身份验证的用户访问的存储桶。 AWS

此检查将检查显式存储桶权限以及可能覆盖这些权限的存储桶策略。建议不要向 Amazon S3 存储桶的所有用户授予列表访问权限。这些权限可能导致非预期的用户频繁地列出存储桶中的对象，从而导致费用高于预期。向每个人授予上载和删除访问权限的权限可能会导致存储桶中出现安全漏洞。

Pfx0RwqBli

如果存储桶允许开放访问，请确定是否确实需要开放访问。例如，要托管静态网站，您可以使用 Amazon CloudFront 来提供托管在 Amazon S3 上的内容。请参阅《亚马逊 CloudFront 开发者指南》中的限制对 Amazon S3 来源的访问。如有可能，请更新存储桶权限，以只允许拥有者或特定用户访问。使用“Amazon S3 阻止公有访问”来控制允许对您的数据进行公有访问的设置。请参阅设置存储桶和对象访问权限。

管理对 Amazon S3 资源的访问权限

为 Amazon S3 存储桶配置阻止公共访问设置

检查您的 VPC 对等连接是否为接受者和请求者都开启了 DNS 解析。 VPCs

VPC 对等连接的 DNS 解析允许在从您的 VPC 查询时将公有 DNS 主机名解析为私有 IPv4 地址。这允许使用 DNS 名称在对等互连资源之间进行通信。 VPCsVPC 对等连接中的 DNS 解析使应用程序开发和管理更简单，更不容易出错，同时还可确保资源始终通过 VPC 对等连接进行私密通信。

您可以使用规则中的 vPC IDs ID 参数指定 VPC。 AWS Config

有关更多信息，请参阅实现对 VPC 对等连接的 DNS 解析。

c18d2gz124

AWS Config Managed Rule: vpc-peering-dns-resolution-check

黄色：VPC 对等连接 VPCs 中的接受者和请求者均未启用 DNS 解析。

为您的 VPC 对等连接开启 DNS 解析。

检查应用程序负载均衡器目标组是否使用 HTTPS 协议，对后端目标类型的实例或 IP 传输中的通信进行加密。ALB 和后端目标之间的 HTTPS 请求有助于保障传输中数据的机密性。

c2vlfg0p1w

配置实例或 IP 的后端目标类型以支持 HTTPS 访问，并将目标组更改为使用 HTTPS 协议来加密 ALB 与实例或 IP 的后端目标类型之间的通信。

在传输过程中强制加密

应用程序负载均衡器目标类型

应用程序负载均衡器路由配置

Elastic Load Balancing 中的数据保护

检查 AWS Backup 文件库是否附加了防止删除恢复点的基于资源的策略。

资源型策略可防止意外删除恢复点，这使您能够以最低权限对备份数据实施访问控制。

你可以在规则 AWS Identity and Access Management ARNs 的principalArnList参数中指定你不想让 AWS Config 规则检查的。

c18d2gz152

AWS Config Managed Rule: backup-recovery-point-manual-deletion-disabled

黄色：有些 AWS Backup 文件库没有基于资源的策略来防止删除恢复点。

为您的 AWS Backup 文件库创建基于资源的策略，以防止恢复点意外删除。

该策略必须包含带有 backup: DeleteRecoveryPoint、backup: 和 backup: UpdateRecoveryPointLifecycle PutBackupVaultAccessPolicy 权限的 “拒绝” 语句。

有关更多信息，请参阅设置备份保管库访问策略。

检查您对的使用情况 AWS CloudTrail。 CloudTrail 提高了对您中活动的可见性 AWS 账户。它通过记录有关在账户上进行的 AWS API 调用的信息来实现此目的。例如，您可以使用这些日志来确定特定用户在指定时间段内执行了哪些操作，或者哪些用户在指定时间段内对特定资源采取操作。

由于将日志文件 CloudTrail 传送到亚马逊简单存储服务 (Amazon S3) Service 存储桶 CloudTrail ，因此必须拥有该存储桶的写入权限。如果跟踪应用于所有 AWS 区域 （创建新跟踪时的默认设置），则跟踪会多次出现在 Trusted Advisor 报告中。

c25hn9x03v

要通过控制台创建跟踪并启动日志记录，请打开 AWS CloudTrail 控制台。

要启动日志记录，请参阅停止和启动跟踪的日志记录。

如果收到日志传输错误，请确保相应存储桶存在，并且已向存储桶附加必要的策略。请参阅 Amazon S3 存储桶策略。

检查 $LATEST 版本配置为使用即将弃用或已弃用的的运行时的 Lambda 函数。我们不向已弃用的运行时提供安全更新或技术支持

已发布的 Lambda 函数版本不可改变，这意味着这些版本可以叫用，但不能更新。只有 Lambda 函数的 $LATEST 版本才能更新。有关更多信息，请参阅 Lambda 函数版本。

L4dfs2Q4C5

如果您的函数正在接近弃用的运行时运行，您应准备好迁移到受支持的运行时。有关更多信息，请参阅运行时支持策略。

我们建议您删除不再使用的较早的函数版本。

Lambda 运行时

在安全支柱中检查您的工作负载是否存在高风险问题 (HRIs)。此检查基于您的 AWS-Well Architected 审查。检查结果取决于您是否使用 AWS Well-Architected 完成了对工作负载的评估。

Wxdfp4B1L3

AWS Well-Architected 在评估工作负载时检测到了高风险问题。这些问题为降低风险和节省资金提供了机会。登录 AWS Well-Architected 工具以查看您的答案并采取措施解决活跃的问题。

在 IAM 证书存储区中检查 SSL 证书中是否有 CloudFront 备用域名。如果证书已过期、即将过期、使用过时的加密或未针对分发正确配置，则此检查会提醒您。

当备用域名的自定义证书到期时，显示您的 CloudFront 内容的浏览器可能会显示一条有关您网站安全的警告消息。使用 SHA-1 哈希算法加密的证书已被 Chrome 和 Firefox 等大多数 Web 浏览器弃用。

证书必须包含与查看器请求的主机标头中的源域名或域名匹配的域名。如果不匹配，则向用户 CloudFront 返回 502（网关错误）的 HTTP 状态码。有关更多信息，请参阅使用备用域名和 HTTPS。

N425c450f2

我们建议使用 AWS Certificate Manager 来预置、管理和部署您的服务器证书。使用 ACM，您可以申请新证书或将现有 ACM 或外部证书部署到 AWS 资源。ACM 提供的证书是免费的，并将自动续订。有关使用 ACM 的更多信息，请参阅 AWS Certificate Manager 用户指南。要验证 AWS 区域 ACM 是否支持，请参阅中的AWS Certificate Manager 端点和配额。 AWS 一般参考

续订已过期证书或即将过期的证书。有关续订证书的更多信息，请参阅 IAM 中的管理服务器证书。

将使用 SHA-1 哈希算法加密的证书替换为使用 SHA-256 哈希算法加密的证书。

将证书替换为在 Common Name（常用名称）或 Subject Alternative Domain Names（主题备用域名）字段中包含适用值的证书。

使用 HTTPS 连接访问对象

导入证书

AWS Certificate Manager 用户指南

检查源服务器是否存在已过期、即将过期、丢失或使用过时加密的 SSL 证书。如果证书存在其中一个问题，则使用 HTTP 状态代码 502，Bad Gateway 来 CloudFront 响应您对内容的请求。

使用 SHA-1 哈希算法加密的证书已被 Chrome 和 Firefox 等 Web 浏览器弃用。根据您与 CloudFront分配关联的 SSL 证书的数量，例如， AWS 如果您使用亚马逊 EC2 或 ELB 作为 CloudFront 分发来源，则此支票可能会使您每月向虚拟主机提供商的账单增加几美分。此检查不会验证您的源证书链或证书颁发机构。你可以在你的 CloudFront 配置中检查这些。

N430c450f2

续订源服务器上已过期或即将过期的证书。

如果证书不存在，请添加证书。

将使用 SHA-1 哈希算法加密的证书替换为使用 SHA-256 哈希算法加密的证书。

使用备用域名和 HTTPS

检查带有侦听器的经典负载均衡器，这些负载均衡器不使用推荐的安全配置进行加密通信。 AWS 建议您使用安全协议（HTTPS 或 SSL）、 up-to-date安全策略以及安全的密码和协议。当您为前端连接（客户端到负载均衡器）使用安全协议时，客户端与负载均衡器之间的请求会被加密。从而创建更安全的环境。Elastic Load Balancing 提供预定义的安全策略，其密码和协议符合 AWS 安全最佳实践。新配置可用时，会发布预定义策略的新版本。

a2sEc6ILx

如果传输到负载均衡器的流量必须安全无虞，请使用 HTTPS 或 SSL 协议进行前端连接。

将负载均衡器的预定义 SSL 安全策略升级到最新版本。

只使用推荐的密码和协议。

有关更多信息，请参阅 ELB 的监听器配置。

检查负载均衡器是否配置了允许访问未针对负载均衡器配置的端口的安全组。

如果安全组允许访问未针对负载均衡器配置的端口，则数据丢失或恶意攻击的风险会增加。

xSqX82fQu

配置安全组规则，以将访问限制在负载均衡器侦听器配置中定义的端口和协议，以及用于支持路径 MTU 发现的 ICMP 协议。请参阅经典负载均衡器的侦听器和 VPC 中的负载均衡器的安全组。

如果安全组缺失，请将新安全组应用到负载均衡器。创建安全组规则，将访问限制在负载均衡器侦听器配置中定义的端口和协议。请参阅 VPC 中的负载均衡器的安全组。

检查常用代码存储库中是否存在已向公众公开的访问密钥以及可能由于访问密钥泄露而导致的 Amazon Elastic Compute Cloud (Amazon EC2) 的不规则使用情况。

访问密钥包含访问密钥 ID 和相应的秘密访问密钥。访问密钥被暴露对您的账户和其他用户构成安全风险，可能导致未经授权的活动或滥用行为造成费用过高，并违反 AWS 客户协议。

如果您的访问密钥暴露，请立即采取措施保护您的账户。为了保护您的账户免受过高的费用，请 AWS 暂时限制您创建某些 AWS 资源的能力。这并不能使您的账户安全。它仅部分限制了您可能需要付费的未经授权的使用。

如果显示了访问密钥的截止日期， AWS 账户 则如果未在该日期之前停止未经授权的使用，则 AWS 可能会暂停您的访问密钥。如果您认为收到了错误的提醒，请联系 AWS 支持。

中显示的信息 Trusted Advisor 可能无法反映您账户的最新状态。除非账户中所有泄露的访问密钥都已得到解决，否则任何已泄露的访问密钥均不会标记为已解决。此类数据同步最多可能需要一周时间。

12Fnkpl8Y5

尽快删除受影响的访问密钥。如果此密钥与 IAM 用户关联，请参阅管理对 IAM 用户的访问密钥。

检查您的账户是否存在未授权使用情况。登录到 AWS 管理控制台，检查每个服务控制台是否存在可疑资源。请特别注意正在运行的 Amazon EC2 实例、竞价型实例请求、访问密钥和 IAM 用户。您也可以在账单与成本管理控制台上检查总体使用情况。

检查过去 90 天内未轮换的活动 IAM 访问密钥。

定期轮换访问密钥时，您可以减少在您不知情的情况下使用泄漏的密钥访问资源的可能性。出于此检查的目的，上次轮换日期和时间是创建或最近激活访问密钥的时间。访问密钥编号和日期来自最新 IAM 凭证报告中的 access_key_1_last_rotated 和 access_key_2_last_rotated 信息。

由于凭证报告的重新生成频率受到限制，刷新此检查可能不会反映最近的变化。有关详细信息，请参阅获取您 AWS 账户的凭证报告。

为了创建和轮换访问密钥，用户必须具有相应的权限。有关更多信息，请参阅允许用户管理自己的密码、访问密钥和 SSH 密钥。

DqdJqYeRm5

定期轮换访问密钥。请参阅轮换访问密钥和管理 IAM 用户的访问密钥。

检查是否存在账户级别的 IAM Access Analyzer 外部访问。

IAM Access Analyzer 外部访问分析器可帮助您识别账户中与外部实体共享的资源。然后，分析器会创建一个集中式仪表板以显示检查结果。在 IAM 控制台中激活新的分析器后，安全团队可根据过度权限情况，确定需要优先审查的账户。外部访问分析器会创建资源的公共访问和跨账户访问结果，无需额外付费。

07602fcad6

为每个账户创建一个外部访问分析器，有助于安全团队根据过度权限情况，确定需要优先审查的账户。有关更多信息，请参阅AWS Identity and Access Management Access Analyzer 结果入门。

此外，最佳做法是使用未使用访问权限分析器，这是一项付费功能，可简化对未使用访问权限的检查，帮助您实现最低权限原则。有关更多信息，请参阅识别授予 IAM 用户和角色的未使用访问权限。

检查账户的密码策略，并在未启用密码策略或未启用密码内容要求时发出警告。

密码内容要求通过强制创建强用户密码提高了 AWS 环境的整体安全性。若您创建或更改密码策略，将会立即对新用户强制执行更改，但不会要求现有用户更改其密码。

Yw2K9puPzl

如果部分内容要求未启用，请考虑进行启用。如果未启用任何密码策略，请创建并配置策略。请参阅为 IAM 用户设置账户密码策略。

要访问 AWS 管理控制台，IAM 用户需要密码。作为最佳实践， AWS 强烈建议您使用联合身份验证，而不是创建 IAM 用户。联合身份验证允许用户使用其现有的公司凭证登录 AWS 管理控制台。使用 IAM Identity Center 创建用户或联合用户，然后在账户中承担 IAM 角色。

要了解有关身份提供者和联合身份验证的更多信息，请参阅《IAM 用户指南》中的身份提供者和联合身份验证。要了解有关 IAM Identity Center 的更多信息，请参阅 IAM Identity Center 用户指南。

管理密码

检查 AWS 账户 是否配置为可通过支持 SAML 2.0 的身份提供者（IdP）进行访问。在外部身份提供商或 AWS IAM Identity Center 中集中管理身份和配置用户时，请务必遵循最佳实践。

c2vlfg0p86

为 AWS 账户激活 IAM Identity Center。有关更多信息，请参阅启用 IAM Identity Center。启用 IAM Identity Center 后，您可以执行常见任务，例如创建权限集以及为 Identity Center 组分配访问权限。有关更多信息，请参阅常见任务。

最佳做法是在 IAM Identity Center 中管理人类用户。但在小规模部署场景下，短期内您也可以通过 IAM 为人工用户激活联合用户访问权限。有关更多信息，请参阅 SAML 2.0 联合身份验证。

什么是 IAM Identity Center？

什么是 IAM？

检查账户的根用户凭证，如果未启用多重身份验证（MFA），则发出警告。

为了提高安全性，我们建议您使用 MFA 来保护您的账户，MFA 要求用户在与网站和关联网站互动时输入来自其 MFA 硬件或虚拟设备的唯一身份验证码。 AWS 管理控制台

7DAFEmoDos

如果这是中的成员账户 AWS Organizations：登录您的管理账户，在 IAM 中启用根访问管理功能，然后从该成员账户中移除您的根用户证书。请参阅集中成员账户的根访问。

如果这是独立账户或管理账户，请登录您的根账户并激活 MFA 设备。 AWS Organizations有关更多信息，请参阅检查 MFA 状态和 IAM 中的AWS 多重身份验证

检查是否存在根用户访问密钥。强烈建议您不要为根用户创建访问密钥对。由于只有少数任务需要根用户，而且您通常不经常执行这些任务，因此最佳做法是登录到 AWS 管理控制台 来执行根用户任务。在创建访问密钥之前，请认真阅读长期访问密钥的替代方法。

c2vlfg0f4h

删除根用户的访问密钥。请参阅删除根用户的访问密钥。此任务必须由根用户执行。您无法以 IAM 用户或角色身份执行这些步骤。

检查安全组是否有允许对特定端口进行不受限制访问 (0.0.0.0/0) 的规则。

不受限制的访问增加了恶意活动（黑客 denial-of-service攻击、攻击、数据丢失）的机会。风险最高的端口标记为红色，风险较小的端口将标记为黄色。标记为绿色的端口通常由需要不受限制访问的应用程序使用，例如 HTTP 和 SMTP。

如果您故意通过这种方式配置了安全组，我们建议您使用其他安全措施来保护您的基础设施（如 IP 表）。

HCP4007jGY

只有具有此需求的 IP 地址才能访问。要只允许特定 IP 地址进行访问，请将后缀设置为 /32（例如，192.0.2.10/32）。在创建更加严格的规则后，请务必删除过于宽松的规则。

检查并删除未使用的安全组。您可以使用 AWS Firewall Manager 大规模集中配置和管理安全组。有关更多信息 AWS 账户，请参阅AWS Firewall Manager 文档。

考虑使用 Systems Manager 会话管理器对 SSH（端口 22）和 RDP（端口 3389）访问实例。 EC2 使用会话管理器，您无需在安全组中启用端口 22 和 3389 即可访问您的 EC2 实例。

检查安全组是否存在允许不受限制地访问资源的规则。

不受限制的访问增加了恶意活动（黑客 denial-of-service攻击、攻击、数据丢失）的机会。

1iG5NDGVre

只有具有此需求的 IP 地址才能访问。要只允许特定 IP 地址进行访问，请将后缀设置为 /32（例如，192.0.2.10/32）。在创建更加严格的规则后，请务必删除过于宽松的规则。

检查并删除未使用的安全组。您可以使用 AWS Firewall Manager 大规模集中配置和管理安全组。有关更多信息 AWS 账户，请参阅AWS Firewall Manager 文档。

考虑使用 Systems Manager 会话管理器对 SSH（端口 22）和 RDP（端口 3389）访问实例。 EC2 使用会话管理器，您无需在安全组中启用端口 22 和 3389 即可访问您的 EC2 实例。