本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 安全性
您可以使用以下安全类别检查。
**注意**
如果您为启用了 Security Hub CSPM AWS 账户,则可以在控制台中查看您的发现。 Trusted Advisor 有关信息,请参阅[在中查看 AWS Security Hub CSPM 控件 AWS Trusted Advisor](security-hub-controls-with-trusted-advisor.md)。
您可以查看 AWS 基础安全最佳实践安全标准中的所有控件,但**类别为 “恢复” > “弹性”** 的控件*除外*。有关受支持控件的列表,请参阅*《AWS Security Hub CSPM 用户指南》*中的 [AWS 基础安全最佳实践控件](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-standards-fsbp-controls.html)。
**Contents**
+ [应用程序负载均衡器安全组](#alb-security-group)
+ [Amazon CloudWatch 日志组保留期](#cloudwatch-log-group-retention-less-than-365)
+ [使用终止支持版本的 Microsoft SQL Server 的 Amazon EC2 实例](#ec2-instances-with-sql-server-end-of-support)
+ [使用终止支持版本的 Microsoft Windows Server 的 Amazon EC2 实例](#ec2-instances-with-windows-server-end-of-support)
+ [对 Ubuntu LTS 的标准支持已结束的 Amazon EC2 实例](#amazon-ec2-instances-ubuntu-lts-end-of-standard-support)
+ [Amazon EFS 客户端未使用 data-in-transit加密](#amazon-efs-clients-not-using-data-in-transit-encryption)
+ [Amazon EBS 公有快照](#amazon-ebs-public-snapshots)
+ [Amazon RDS Aurora 存储加密已关闭](#amazon-rds-aurora-storage-encryption-off)
+ [需要升级 Amazon RDS 引擎次要版本](#amazon-rds-engine-minor-version-upgrade-required)
+ [Amazon RDS 公有快照](#amazon-rds-public-snapshots)
+ [Amazon RDS 安全组访问风险](#amazon-rds-security-group-access-risk)
+ [Amazon RDS 存储加密已关闭](#amazon-rds-storage-encryption-off)
+ [Amazon Route 53 中直接指向 S3 存储桶的不匹配 CNAME 记录](#amazon-route-53-mismatching-cname-records-s3-buckets)
+ [Amazon Route 53 MX 资源记录集和发件人策略框架](#amazon-route-53-mx-resorc-resource-record-sets-sender-policy-framework)
+ [Amazon S3 存储桶权限](#amazon-s3-bucket-permissions)
+ [禁用 DNS 解析的 Amazon VPC 对等连接](#amazon-vpc-peering-connections-no-dns-resolution)
+ [应用程序负载均衡器目标组加密协议](#application-load-balancer-target-groups)
+ [AWS Backup 没有基于资源的策略的保管库可防止删除恢复点](#backup-vault-without-resource-based-policy-prevent-delete)
+ [AWS CloudTrail 管理事件记录](#aws-cloudtrail-man-events-log)
+ [AWS Lambda 使用已弃用运行时的函数](#aws-lambda-functions-deprecated-runtimes)
+ [AWS Well-Architected 安全性高风险问题](#well-architected-high-risk-issues-security)
+ [CloudFront IAM 证书存储区中的自定义 SSL 证书](#cloudfront-custom-ssl-certificates-iam-certificate-store)
+ [CloudFront 源服务器上的 SSL 证书](#cloudfront-ssl-certificate-origin-server)
+ [ELB 侦听器安全](#elb-listener-security)
+ [经典负载均衡器安全组](#elb-security-groups)
+ [Exposed Access Keys](#exposed-access-keys)
+ [IAM 访问密钥轮换](#iam-access-key-rotation)
+ [IAM Access Analyzer 外部访问权限](#iam-access-analyzer-external-access)
+ [IAM 密码策略](#iam-password-policy)
+ [IAM SAML 2.0 身份提供者](#iam-saml-identity-provider)
+ [根账户的 MFA](#mfa-root-account)
+ [根用户访问密钥](#root-user-access-key)
+ [安全组 – 不受限制的特定端口](#security-groups-specific-ports-unrestricted)
+ [安全组 – 不受限制的访问](#security-groups-unrestricted-access)
## 应用程序负载均衡器安全组
**说明**
检查附加到应用程序负载均衡器及其 Amazon EC2 目标的安全组。应用程序负载均衡器安全组应仅允许在侦听器中配置的入站端口。目标的安全组不应在目标从负载均衡器接收流量的同一端口接受来自互联网的直接连接。
如果安全组允许访问未针对负载均衡器配置的端口或允许直接访问目标,则数据丢失或恶意攻击的风险会增加。
此检查会排除以下组:
+ 未与 IP 地址或 EC2 实例关联的目标组。
+ IPv6 流量安全组规则。
此检查的结果将每天自动刷新多次,并且不允许刷新请求。更改可能需要几个小时才能显示。
对于 B AWS usiness Support\$1、En AWS terprise Support 或 AWS Unified Operations 计划客户,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html)API 在 Trusted Advisor 结果中包含或排除一项或多项资源。
**检查 ID**
`8604e947f2`
**提醒条件**
+ 红色:Target 有一个公有 IP 和一个安全组,允许从任何地方通过目标控制端口进行入站连接 (0.0.0.0/0)。
+ 红色:目标具有公有 IP,且其安全组允许从任意地址 (0.0.0.0/0) 通过流量端口进行入站连接。
+ 红色:应用程序负载均衡器启用了身份验证,且目标允许从任意地址 (0.0.0.0/0) 通过流量端口进行入站连接。
+ 黄色:目标的安全组允许从任意地址 (0.0.0.0/0) 通过流量端口进行入站连接。
+ 黄色:Target 的安全组允许来自任何地方的目标控制端口上的入站连接 (0.0.0.0/0)。
+ 黄色:应用程序负载均衡器安全组允许在没有相应侦听器的端口上进行入站连接。
+ 黄色:目标的安全组允许未连接到 Application Load Balancer 的安全组在目标控制端口上进行入站连接。
+ 绿色:Application Load Balancer 安全组仅允许在与侦听器匹配的端口上进行入站连接。
**Recommended Action(建议的操作)**
为了提高安全性,请确保安全组仅允许必要的流量:
+ 应用程序负载均衡器的安全组应仅允许在其侦听器中配置的相同端口上进行入站连接。
+ 对负载均衡器和目标使用专属安全组。
+ 目标安全组应仅允许从与其关联的负载均衡器通过流量端口进行连接。
+ 目标安全组应仅允许与其关联的负载均衡器连接目标控制端口。
**其他资源**
+ [使用安全组控制流向 AWS 资源的流量](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-security-groups.html)
+ [应用程序负载均衡器的安全组](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/load-balancer-update-security-groups.html)
**报告列**
+ Status
+ Region
+ 目标组
+ ALB 名称
+ ALB SG ID
+ 目标 SG ID
+ 身份验证已启用
+ 上次更新时间
## Amazon CloudWatch 日志组保留期
**说明**
检查 Amazon CloudWatch 日志组保留期是否设置为 365 天或其他指定数字。
默认情况下,日志将无限期保留且永不过期。但是,您可以调整每个日志组的保留策略,使其符合特定期限的行业法规或法律要求。
您可以使用 AWS Config 规则中的和**MinRetentionTime**参数指定最短保留时间**LogGroupNames**和日志组名称。
此检查的结果将每天自动刷新多次,并且不允许刷新请求。更改可能需要几个小时才能显示。
对于 B AWS usiness Support\$1、En AWS terprise Support 或 AWS Unified Operations 计划客户,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html)API 在 Trusted Advisor 结果中包含或排除一项或多项资源。
**检查 ID**
`c18d2gz186`
**来源**
`AWS Config Managed Rule: cw-loggroup-retention-period-check`
**提醒条件**
黄色:Amazon CloudWatch 日志组的保留期少于所需的最小天数。
**Recommended Action(建议的操作)**
为存储在 Amazon CloudWatch Logs 中的日志数据配置超过 365 天的保留期,以满足合规性要求。
有关更多信息,请参阅[更改日志中的 CloudWatch 日志数据保留期](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/Working-with-log-groups-and-streams.html#SettingLogRetention)。
**其他资源**
[更改 CloudWatch 日志保留期](https://docs.aws.amazon.com/managedservices/latest/userguide/log-customize-retention.html)
**报告列**
+ Status
+ Region
+ 资源
+ AWS Config 规则
+ 输入参数
+ 上次更新时间
## 使用终止支持版本的 Microsoft SQL Server 的 Amazon EC2 实例
**说明**
检查过去 24 小时内运行的 Amazon Elastic Compute Cloud(Amazon EC2)实例的 SQL Server 版本。如果该版本的支持接近或已经终止,则此检查会提示您。每个 SQL Server 版本都提供 10 年的支持,包括 5 年主流支持和 5 年延伸支持。支持终止后,该 SQL Server 版本将不会收到定期的安全更新。使用不受支持的 SQL Server 版本运行应用程序可能会带来安全或合规风险。
此检查的结果将每天自动刷新多次,并且不允许刷新请求。更改可能需要几个小时才能显示。
对于 B AWS usiness Support\$1、En AWS terprise Support 或 AWS Unified Operations 计划客户,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html)API 在 Trusted Advisor 结果中包含或排除一项或多项资源。
**检查 ID**
`Qsdfp3A4L3`
**提醒条件**
+ 红色:EC2 实例的 SQL Server 版本已达到停止支持。
+ 黄色:EC2 实例的 SQL Server 版本将在 12 个月内达到停止支持。
**Recommended Action(建议的操作)**
要实现 SQL Server 工作负载现代化,请考虑重构到 Amazon Aurora 等 AWS Cloud 原生数据库。有关更多信息,请参阅[使用实现 Windows 工作负载现代化 AWS](https://aws.amazon.com/windows/modernization/)。
要迁移到完全托管式数据库,请考虑更换平台到 Amazon Relational Database Service(Amazon RDS)。有关更多信息,请参阅 [Amazon RDS for SQL Server](https://aws.amazon.com/rds/sqlserver/)。
要升级 SQL Server on Amazon EC2,请考虑使用自动化运行手册简化升级。有关详情,请参阅 [AWS Systems Manager 文档](https://docs.aws.amazon.com/systems-manager-automation-runbooks/latest/userguide/automation-awsec2-CloneInstanceAndUpgradeSQLServer.html)。
如果你无法在亚马逊 EC2 上升级 SQL Server,可以考虑使用 Windows 服务器的 End-of-Support迁移计划 (EMP)。有关更多信息,请参阅 [EMP 网站](https://aws.amazon.com/emp-windows-server/)。
**其他资源**
+ [为 SQL Server 终止支持做好准备 AWS](https://aws.amazon.com/sql/sql2008-eos/)
+ [AWS上的 Microsoft SQL Server](https://aws.amazon.com/sql)
**报告列**
+ Status
+ Region
+ 实例 ID
+ SQL Server 版本
+ 支持周期
+ 停止支持
+ 上次更新时间
## 使用终止支持版本的 Microsoft Windows Server 的 Amazon EC2 实例
**说明**
如果 Microsoft Windows Server 版本的支持接近或已经终止,则此检查会提示您。每个 Windows Server 版本都提供 10 年的支持,包括 5 年主流支持和 5 年扩展支持。支持终止后,该 Windows Server 版本将不会收到定期的安全更新。使用不受支持的 Windows Server 版本运行应用程序可能会带来安全或合规风险。
此检查基于用于启动 EC2 实例的 AMI 生成结果。当前实例的操作系统有可能与其启动 AMI 有所不同。例如,如果从 Windows Server 2016 AMI 启动实例,稍后升级到 Windows Server 2019,则启动 AMI 不会发生改变。
此检查的结果将每天自动刷新多次,并且不允许刷新请求。更改可能需要几个小时才能显示。
对于 B AWS usiness Support\$1、En AWS terprise Support 或 AWS Unified Operations 计划客户,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html)API 在 Trusted Advisor 结果中包含或排除一项或多项资源。
**检查 ID**
`Qsdfp3A4L4`
**提醒条件**
+ 红色:EC2 实例运行的 Windows Server 版本(Windows Server 2003、2003 R2、2008 和 2008 R2)已终止支持。
+ 黄色:EC2 实例运行的 Windows Server 版本(Windows Server 2012 和 2012 R2)将在 18 个月内终止支持。
**推荐操作**
要对 Windows 服务器工作负载进行现代化改造,请考虑[使用现代化 Windows 工作负载](https://aws.amazon.com/windows/modernization/)中的各种选项 AWS。
要升级 Windows Server 工作负载以在更新版本的 Windows Server 上运行,您可以使用自动化运行手册。有关更多信息,请参阅 [AWS Systems Manager 文档](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/os-inplaceupgrade.html)。
完成以下步骤:
+ 升级 Windows Server 版本
+ 升级后执行强制停止和启动操作
+ 如果使用 EC2 Config,请迁移到 EC2 Launch
**报告列**
+ Status
+ Region
+ 实例 ID
+ Windows Server 版本
+ 支持周期
+ 停止支持
+ 上次更新时间
## 对 Ubuntu LTS 的标准支持已结束的 Amazon EC2 实例
**说明**
如果这些版本的标准支持接近或已经终止,则此检查会提示您。务必采取行动 — 要么迁移到下一个 LTS 版本,要么升级到 Ubuntu Pro。支持终止后,18.04 LTS 计算机将不会收到任何安全更新。订阅 Ubuntu Pro 后,Ubuntu 18.04 LTS 部署可获得扩展安全维护 (ESM),支持将持续至 2028 年。仍未修补的安全漏洞会使系统面临黑客攻击风险,可能导致重大数据泄露。
此检查的结果每天至少自动刷新一次,并且不允许刷新请求。更改可能需要几个小时才能显示。
对于 B AWS usiness Support\$1、En AWS terprise Support 或 AWS Unified Operations 计划客户,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html)API 在 Trusted Advisor 结果中包含或排除一项或多项资源。
**检查 ID**
`c1dfprch15`
**提醒条件**
红色:Amazon EC2 实例运行的 Ubuntu 版本(包括 Ubuntu 18.04 LTS、18.04.1 LTS、18.04.2 LTS、18.04.3 LTS、18.04.4 LTS、18.04.5 LTS 及 18.04.6 LTS)已终止标准支持。
黄色:Amazon EC2 实例运行的 Ubuntu 版本(包括 Ubuntu 20.04 LTS、20.04.1 LTS、20.04.2 LTS、20.04.3 LTS、20.04.4 LTS、20.04.5 LTS 及 20.04.6 LTS)将在 6 个月内终止标准支持。
绿色:所有 Amazon EC2 实例均符合合规要求。
**Recommended Action(建议的操作)**
要将 Ubuntu 18.04 LTS 实例升级到受支持的 LTS 版本,请按照[本文](https://ubuntu.com/server/docs/upgrade-introduction)中所述的步骤操作。要将 Ubuntu 18.04 LTS 实例升级到 [Ubuntu Pro](https://aws.amazon.com/about-aws/whats-new/2023/04/amazon-ec2-ubuntu-pro-subscription-model/),请访问 AWS License Manager 控制台并按照 [AWS License Manager 用户指南](https://docs.aws.amazon.com/license-manager/latest/userguide/license-conversion.html)中所述的步骤操作。您也可以参阅 [Ubuntu 博客](https://discourse.ubuntu.com/t/how-to-upgrade-ubuntu-lts-to-ubuntu-pro-on-aws-using-aws-license-manager/35449),其中展示了将 Ubuntu 实例升级到 Ubuntu Pro 的分步演示。
**其他资源**
有关定价的信息,请联系[支持](https://aws.amazon.com/support)。
**报告列**
+ Status
+ Region
+ Ubuntu Lts 版本
+ 预计支持终止日期
+ 实例 ID
+ 支持周期
+ 上次更新时间
## Amazon EFS 客户端未使用 data-in-transit加密
**说明**
检查 Amazon EFS 文件系统是否使用 data-in-transit加密方式挂载。 AWS 建议客户对所有数据流使用 data-in-transit加密,以保护数据免遭意外泄露或未经授权的访问。Amazon EFS 建议客户端通过 Amazon EFS 挂载助手,使用“-o tls”挂载设置,通过 TLS v1.2 协议对传输中数据进行加密。
**检查 ID**
` c1dfpnchv1`
**提醒条件**
黄色:您的 Amazon EFS 文件系统的一个或多个 NFS 客户端未使用提供 data-in-transit加密功能的推荐挂载设置。
绿色:您的 Amazon EFS 文件系统的所有 NFS 客户端都使用推荐的提供 data-in-transit加密功能的挂载设置。
**Recommended Action(建议的操作)**
要利用 Amazon EFS 上的 data-in-transit加密功能,我们建议您使用 Amazon EFS 挂载帮助程序和推荐的挂载设置重新挂载文件系统。
部分 Linux 发行版默认不包含支持 TLS 功能的 stunnel 版本。如果您使用的是不受支持的 Linux 发行版(请参阅《Amazon Elastic File System 用户指南》**中的[受支持的发行版](https://docs.aws.amazon.com/efs/latest/ug/using-amazon-efs-utils.html#efs-utils-supported-distros)),则最佳做法是在使用推荐的挂载设置重新挂载前,先升级该 Linux 发行版。
**其他资源**
+ [加密传输中的数据](https://docs.aws.amazon.com/efs/latest/ug/encryption-in-transit.html)
**报告列**
+ Status
+ Region
+ EFS 文件系统 ID
+ AZs 使用未加密的连接
+ 上次更新时间
## Amazon EBS 公有快照
**说明**
检查 Amazon Elastic Block Store (Amazon EBS) 卷快照的权限设置,并在任何快照可公开访问时收到提醒。
当您将快照公开时,即授予所有 AWS 账户 用户访问快照中所有数据的权限。若要仅与特定用户或账户共享快照,请将快照标记为私有。然后,指定要与之共享快照数据的用户或账户。请注意,如果您在“阻止所有共享”模式下启用了“阻止公共访问”功能,则您的公有快照将无法公开访问,也不会显示在此检查的结果中。
此检查的结果将每天自动刷新多次,并且不允许刷新请求。更改可能需要几个小时才能显示。
**检查 ID**
`ePs02jT06w`
**提醒条件**
红色:EBS 卷快照可公开访问。
**Recommended Action(建议的操作)**
除非您确定要与所有 AWS 账户 人和用户共享快照中的所有数据,否则请修改权限:将快照标记为私有,然后指定要向其授予权限的帐户。有关更多信息,请参阅[共享 Amazon EBS 快照](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ebs-modifying-snapshot-permissions.html)。针对 EBS 快照使用“阻止公共访问”来控制允许对您的数据进行公共访问的设置。无法将此支票排除在 Trusted Advisor 控制台的视图之外。
要直接修改快照的权限,请在 AWS Systems Manager 控制台中使用运行手册。有关更多信息,请参阅 [https://docs.aws.amazon.com/systems-manager-automation-runbooks/latest/userguide/automation-awssupport-modifyebssnapshotpermission.html](https://docs.aws.amazon.com/systems-manager-automation-runbooks/latest/userguide/automation-awssupport-modifyebssnapshotpermission.html)。
**其他资源**
[Amazon EBS 快照](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSSnapshots.html)
**报告列**
+ Status
+ Region
+ 卷 ID
+ 快照 ID
+ 说明
## Amazon RDS Aurora 存储加密已关闭
**说明**
Amazon RDS 支持使用您在 AWS Key Management Service中管理的密钥对所有数据库引擎进行静态加密。在采用 Amazon RDS 加密的活动数据库实例上,静态存储在存储中的数据会加密,类似于自动备份、只读副本和快照。
如果在创建 Aurora 数据库集群时未开启加密,则必须将解密后的快照还原到加密的数据库集群。
此检查的结果将每天自动刷新多次,并且不允许刷新请求。更改可能需要几个小时才能显示。
对于 B AWS usiness Support\$1、En AWS terprise Support 或 AWS Unified Operations 计划客户,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html)API 在 Trusted Advisor 结果中包含或排除一项或多项资源。
当数据库实例或数据库集群停止时,您可以在 Trusted Advisor 3 到 5 天内查看 Amazon RDS 建议。五天后,这些建议在中不可用 Trusted Advisor。要查看建议,请打开 Amazon RDS 控制台,然后选择**建议**。
如果您删除数据库实例或数据库集群,则在 Amazon RDS 管理控制台中将不提供与这些实例 Trusted Advisor 或集群相关的建议。
**检查 ID**
`c1qf5bt005`
**提醒条件**
红色:Amazon RDS Aurora 资源未启用加密。
**Recommended Action(建议的操作)**
为数据库集群开启静态数据加密。
**其他资源**
您可以在创建数据库实例时开启加密,也可以使用变通方法为处于活动状态的数据库实例开启加密。您无法将已解密的数据库集群修改为加密的数据库集群。但是,您可以将未加密的快照还原为加密的数据库集群。从解密的快照还原时,必须指定密钥。 AWS KMS
有关更多信息,请参阅[加密 Amazon Aurora 资源](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/Overview.Encryption.html)。
**报告列**
+ Status
+ Region
+ 资源
+ 引擎名称
+ 上次更新时间
## 需要升级 Amazon RDS 引擎次要版本
**说明**
您的数据库资源未运行最新次要数据库引擎版本。最新的次要版本包含最新的安全修复和其它改进。
此检查的结果将每天自动刷新多次,并且不允许刷新请求。更改可能需要几个小时才能显示。
对于 B AWS usiness Support\$1、En AWS terprise Support 或 AWS Unified Operations 计划客户,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html)API 在 Trusted Advisor 结果中包含或排除一项或多项资源。
当数据库实例或数据库集群停止时,您可以在 Trusted Advisor 3 到 5 天内查看 Amazon RDS 建议。五天后,这些建议在中不可用 Trusted Advisor。要查看建议,请打开 Amazon RDS 控制台,然后选择**建议**。
如果您删除数据库实例或数据库集群,则在 Amazon RDS 管理控制台中将不提供与这些实例 Trusted Advisor 或集群相关的建议。
**检查 ID**
`c1qf5bt003`
**提醒条件**
黄色:Amazon RDS 资源未运行最新次要数据库引擎版本。
**Recommended Action(建议的操作)**
升级到最新的引擎版本。
**其他资源**
建议您使用最新的数据库引擎次要版本维护数据库,因为此版本包含最新的安全修复和功能修复。数据库引擎次要版本升级仅包含与该数据库引擎同一主要版本的早期次要版本向后兼容的更改。
有关更多信息,请参阅[升级数据库实例引擎版本](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_UpgradeDBInstance.Upgrading.html)。
**报告列**
+ Status
+ Region
+ 资源
+ 引擎名称
+ 当前引擎版本
+ 建议值
+ 上次更新时间
## Amazon RDS 公有快照
**说明**
检查 Amazon Relational Database Service (Amazon RDS) 数据库快照的权限设置,并在任何快照被标记为公有时发出提醒。
当您将快照公开时,即授予所有 AWS 账户 用户访问快照中所有数据的权限。如果要仅与特定用户或账户共享快照,请将快照标记为私有。然后,指定要与之共享快照数据的用户或账户。
此检查的结果将每天自动刷新多次,并且不允许刷新请求。更改可能需要几个小时才能显示。
**检查 ID**
`rSs93HQwa1`
**提醒条件**
红色:Amazon RDS 快照标记为公有。
**Recommended Action(建议的操作)**
除非您确定要与所有 AWS 账户 人和用户共享快照中的所有数据,否则请修改权限:将快照标记为私有,然后指定要向其授予权限的帐户。有关更多信息,请参阅[共享数据库快照或数据库集群快照](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_ShareSnapshot.html)。无法将此支票排除在 Trusted Advisor 控制台的视图之外。
要直接修改快照的权限,可以在 AWS Systems Manager 控制台中使用运行手册。有关更多信息,请参阅 [https://docs.aws.amazon.com/systems-manager-automation-runbooks/latest/userguide/automation-awssupport-modifyrdssnapshotpermission.html](https://docs.aws.amazon.com/systems-manager-automation-runbooks/latest/userguide/automation-awssupport-modifyrdssnapshotpermission.html)。
**其他资源**
[备份和还原 Amazon RDS 数据库实例](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/CHAP_CommonTasks.BackupRestore.html)
**报告列**
+ Status
+ Region
+ 数据库实例或集群 ID
+ 快照 ID
## Amazon RDS 安全组访问风险
**说明**
检查 Amazon Relational Database Service (Amazon RDS) 的安全组配置,并在安全组规则授予对您的数据库的过度权限时发出警告。安全组规则的建议配置是仅允许从特定的 Amazon Elastic Compute Cloud (Amazon EC2) 安全组或特定 IP 地址进行访问。
此检查仅评估附加到在 [Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html) 外部运行的 Amazon RDS 实例的安全组。
**检查 ID**
`nNauJisYIT`
**提醒条件**
+ 黄色:数据库安全组规则引用了向以下某个端口授予全局访问权限的 Amazon EC2 安全组:20、21、22、1433、1434、3306、3389、4333、5432 和 5500。
+ 红色:数据库安全组规则授予了全局访问权限(CIDR 规则后缀为 /0)。
+ 绿色:数据库安全组不包含过于宽松的规则。
**Recommended Action(建议的操作)**
EC2-Classic 已于 2022 年 8 月 15 日停用。建议将您的 Amazon RDS 实例迁移到 VPC,并使用 Amazon EC2 安全组。有关将数据库实例迁移到 VPC 的更多信息,请参阅[将不在 VPC 中的数据库实例迁移到 VPC](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_VPC.Non-VPC2VPC.html)。
如果您无法将 Amazon RDS 实例迁移到 VPC,请检查您的安全组规则,将访问权限限制为授权的 IP 地址或 IP 范围。要编辑安全组,请使用[授权 DBSecurity GroupIngress](https://docs.aws.amazon.com/AmazonRDS/latest/APIReference/API_AuthorizeDBSecurityGroupIngress.html) API 或 AWS 管理控制台。有关更多信息,请参阅[使用数据库安全组](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_WorkingWithSecurityGroups.html)。
**其他资源**
+ [Amazon RDS 安全组](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Overview.RDSSecurityGroups.html)
+ [无类域间路由](https://en.wikipedia.org/wiki/Classless_Inter-Domain_Routing)
+ [TCP 和 UDP 端口号列表](https://en.wikipedia.org/wiki/List_of_TCP_and_UDP_port_numbers)
**报告列**
+ Status
+ Region
+ RDS 安全组名称
+ 入口规则
+ Reason
## Amazon RDS 存储加密已关闭
**说明**
Amazon RDS 支持使用您在 AWS Key Management Service中管理的密钥对所有数据库引擎进行静态加密。在采用 Amazon RDS 加密的活动数据库实例上,静态存储在存储中的数据会加密,类似于自动备份、只读副本和快照。
如果在创建数据库实例时未开启加密,则必须先还原未加密快照的加密副本,然后再开启加密。
此检查的结果将每天自动刷新多次,并且不允许刷新请求。更改可能需要几个小时才能显示。
对于 B AWS usiness Support\$1、En AWS terprise Support 或 AWS Unified Operations 计划客户,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html)API 在 Trusted Advisor 结果中包含或排除一项或多项资源。
当数据库实例或数据库集群停止时,您可以在 Trusted Advisor 3 到 5 天内查看 Amazon RDS 建议。五天后,这些建议在中不可用 Trusted Advisor。要查看建议,请打开 Amazon RDS 控制台,然后选择**建议**。
如果您删除数据库实例或数据库集群,则在 Amazon RDS 管理控制台中将不提供与这些实例 Trusted Advisor 或集群相关的建议。
**检查 ID**
`c1qf5bt006`
**提醒条件**
红色:Amazon RDS 资源未启用加密。
**Recommended Action(建议的操作)**
为您的数据库实例开启静态数据加密。
**其他资源**
您只能在创建数据库实例时加密该数据库实例。要加密现有的活动数据库实例,请执行以下操作:
**创建原始数据库实例的加密副本**
1. 创建数据库实例的快照。
1. 创建在步骤 1 中创建的快照的加密副本。
1. 从加密快照还原数据库实例。
有关更多信息,请参阅以下资源:
+ [加密 Amazon RDS 资源](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Overview.Encryption.html)
+ [复制数据库快照](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_CopySnapshot.html)
**报告列**
+ Status
+ Region
+ 资源
+ 引擎名称
+ 上次更新时间
## Amazon Route 53 中直接指向 S3 存储桶的不匹配 CNAME 记录
**说明**
检查 Amazon Route 53 托管区中直接指向 Amazon S3 存储桶主机名的 CNAME 记录,如果 CNAME 记录与 S3 存储桶名称不匹配,则会收到提醒。
**检查 ID**
`c1ng44jvbm`
**提醒条件**
红色:Amazon Route 53 托管区域中存在指向不匹配的 S3 存储桶主机名的 CNAME 记录。
绿色:在 Amazon Route 53 托管区域中未找到不匹配的 CNAME 记录。
**Recommended Action(建议的操作)**
将 CNAME 记录指向 S3 存储桶主机名时,必须确保对于您配置的任何 CNAME 记录或别名记录,都存在一个匹配的存储桶。这样做可避免 CNAME 记录被伪造的风险。您还可以防止任何未经授权的 AWS 用户使用您的域名托管错误或恶意的网络内容。
为避免将别名记录直接指向 S3 存储桶主机名,请考虑使用源访问控制 (OAC) 通过 Amazon 访问您的 S3 存储桶网络资产。 CloudFront
有关将别名记录与 Amazon S3 存储桶主机名关联的更多信息,请参阅使用别名记录[自定义 Amazon URLs S3](https://docs.aws.amazon.com/AmazonS3/latest/userguide/VirtualHosting.html#VirtualHostingCustomURLs)。
**其他资源**
+ [如何将主机名与 Amazon S3 存储桶相关联](https://docs.aws.amazon.com/AmazonS3/latest/userguide/VirtualHosting.html#VirtualHostingCustomURLsHowTo)
+ [使用以下命令限制对 Amazon S3 来源的访问 CloudFront](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/private-content-restricting-access-to-s3.html)
**报告列**
+ Status
+ 托管区域 ID
+ 托管区 ARN
+ 匹配 CNAME 记录
+ 不匹配 CNAME 记录
+ 上次更新时间
## Amazon Route 53 MX 资源记录集和发件人策略框架
**说明**
对于每个 MX 记录,检查是否存在包含有效 SPF 值的关联 TXT 记录。TXT 记录值必须以“v=spf1”开头。SPF 记录类型已被互联网工程任务组 (IETF) 弃用。对于 Route 53,最佳做法是使用 TXT 记录而不是 SPF 记录。 Trusted Advisor 当 MX 记录至少有一条关联的 TXT 记录具有有效 SPF 值时,会将此检查报告为绿色。
此检查会报告按标准标记的所有资源以及评估的资源总数,包括 `OK` 资源。资源表仅列出已标记的资源。
**检查 ID**
`c9D319e7sG`
**提醒条件**
+ 绿色:MX 资源记录集存在包含有效 SPF 值的 TXT 资源记录。
+ 黄色:MX 资源记录集存在包含有效 SPF 值的 TXT 或 SPF 资源记录。
+ 红色:MX 资源记录集没有包含有效 SPF 值的 TXT 或 SPF 资源记录。
**Recommended Action(建议的操作)**
对于每个 MX 资源记录集,创建包含有效 SPF 值的 TXT 资源记录集。有关更多信息,请参阅[发件人策略框架:SPF 记录语法](http://www.open-spf.org/SPF_Record_Syntax)和[使用 Amazon Route 53 控制台创建资源记录集](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/RRSchanges_console.html)。
**其他资源**
+ [MX 记录类型](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/ResourceRecordTypes.html#MXFormat)
+ [SPF 记录类型](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/ResourceRecordTypes.html#SPFFormat)
+ [re:Post 指南](https://repost.aws/knowledge-center/route53-spf-record)
+ [RFC 7208](https://tools.ietf.org/html/rfc7208#section-14.1)
**报告列**
+ 托管区域名称
+ 托管区域 ID
+ 资源记录集名称
+ Status
## Amazon S3 存储桶权限
**说明**
检查 Amazon Simple Storage Service (Amazon S3) 中具有开放访问权限或允许任何经过身份验证的用户访问的存储桶。 AWS
此检查将检查显式存储桶权限以及可能覆盖这些权限的存储桶策略。建议不要向 Amazon S3 存储桶的所有用户授予列表访问权限。这些权限可能导致非预期的用户频繁地列出存储桶中的对象,从而导致费用高于预期。向每个人授予上载和删除访问权限的权限可能会导致存储桶中出现安全漏洞。
**检查 ID**
`Pfx0RwqBli`
**提醒条件**
+ 红色:存储桶 ACL 允许**所有人**或**任何经过身份验证的 AWS 用户进行**列表 Upload/Delete 访问或访问权限,并且未启用 “**阻止公共访问**” 设置。
+ 红色:存储桶策略允许公共访问,但未启用 “**阻止公共访问**” 设置。
+ 红色: Trusted Advisor 无权查看政策,或者由于其他原因无法评估策略。
+ 黄色:存储桶策略允许公开访问,但是 “**限制公共存储桶**” 设置已开启,仅允许该账户的授权用户进行访问。
+ 黄色:存储桶合规,但未启用完整的**阻止公共访问**保护。
+ 绿色:存储桶合规且已启用完全**屏蔽公共访问**保护。
启用 “阻止公共访问**忽略公共访问” 后,不会评估公共 ACLs** ACL 授权。
**推荐操作**
如果存储桶允许开放访问,请确定是否确实需要开放访问。例如,要托管静态网站,您可以使用 Amazon CloudFront 来提供托管在 Amazon S3 上的内容。请参阅《[亚马逊 CloudFront 开发者指南》中的限制对 Amazon S3 来源的访问](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/private-content-restricting-access-to-s3.html)。如有可能,请更新存储桶权限,以只允许拥有者或特定用户访问。使用“Amazon S3 阻止公有访问”来控制允许对您的数据进行公有访问的设置。请参阅[设置存储桶和对象访问权限](https://docs.aws.amazon.com/AmazonS3/latest/user-guide/set-permissions.html)。
**其他资源**
[管理对 Amazon S3 资源的访问权限](https://docs.aws.amazon.com/AmazonS3/latest/dev/s3-access-control.html)
[为 Amazon S3 存储桶配置阻止公共访问设置](https://docs.aws.amazon.com/AmazonS3/latest/userguide/configuring-block-public-access-bucket.html)
**报告列**
+ Status
+ 区域名称
+ 区域 API 参数
+ 存储桶名称
+ ACL 允许列表
+ ACL 允许上载/删除
+ 策略允许访问
## 禁用 DNS 解析的 Amazon VPC 对等连接
**说明**
检查您的 VPC 对等连接是否为接受者和请求者都开启了 DNS 解析。 VPCs
VPC 对等连接的 DNS 解析允许从您的 VPC 查询时将公有 DNS 主机名解析为私有 IPv4 地址。这允许使用 DNS 名称在对等互连资源之间进行通信。 VPCsVPC 对等连接中的 DNS 解析使应用程序开发和管理更简单,更不容易出错,同时还可确保资源始终通过 VPC 对等连接进行私密通信。
您可以使用规则中的 **vPC IDs ID** 参数指定 VPC。 AWS Config
有关更多信息,请参阅[实现对 VPC 对等连接的 DNS 解析](https://docs.aws.amazon.com/vpc/latest/peering/modify-peering-connections.html#vpc-peering-dns)。
此检查的结果将每天自动刷新多次,并且不允许刷新请求。更改可能需要几个小时才能显示。
对于 B AWS usiness Support\$1、En AWS terprise Support 或 AWS Unified Operations 计划客户,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html)API 在 Trusted Advisor 结果中包含或排除一项或多项资源。
**检查 ID**
`c18d2gz124`
**来源**
`AWS Config Managed Rule: vpc-peering-dns-resolution-check`
**提醒条件**
黄色:VPC 对等连接 VPCs 中的接受者和请求者均未启用 DNS 解析。
**Recommended Action(建议的操作)**
为您的 VPC 对等连接开启 DNS 解析。
**其他资源**
+ [修改 VPC 对等连接选项](https://docs.aws.amazon.com/vpc/latest/peering/modify-peering-connections.html#vpc-peering-dns)
+ [VPC 中的 DNS 属性](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html#vpc-dns-support)
**报告列**
+ Status
+ Region
+ 资源
+ AWS Config 规则
+ 输入参数
+ 上次更新时间
## 应用程序负载均衡器目标组加密协议
**说明**
检查应用程序负载均衡器目标组是否使用 HTTPS 协议,对后端目标类型的实例或 IP 传输中的通信进行加密。ALB 和后端目标之间的 HTTPS 请求有助于保障传输中数据的机密性。
**检查 ID**
`c2vlfg0p1w`
**提醒条件**
+ 黄色:应用程序负载均衡器目标组使用 HTTP。
+ 绿色:应用程序负载均衡器目标组使用 HTTPS。
**Recommended Action(建议的操作)**
配置实例或 IP 的后端目标类型以支持 HTTPS 访问,并将目标组更改为使用 HTTPS 协议来加密 ALB 与实例或 IP 的后端目标类型之间的通信。
**其他资源**
[在传输过程中强制加密](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_protect_data_transit_encrypt.html)
[应用程序负载均衡器目标类型](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/load-balancer-target-groups.html#target-type)
[应用程序负载均衡器路由配置](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/load-balancer-target-groups.html#target-group-routing-configuration)
[Elastic Load Balancing 中的数据保护](https://docs.aws.amazon.com/elasticloadbalancing/latest/userguide/data-protection.html)
**报告列**
+ Status
+ Region
+ ALB Arn
+ ALB 名称
+ ALB VPC ID
+ 目标组 Arn
+ 目标组名称
+ 目标组协议
+ 上次更新时间
## AWS Backup 没有基于资源的策略的保管库可防止删除恢复点
**说明**
检查 AWS Backup 文件库是否附加了防止删除恢复点的基于资源的策略。
资源型策略可防止意外删除恢复点,这使您能够以最低权限对备份数据实施访问控制。
你可以在规则 AWS Identity and Access Management ARNs 的**principalArnList**参数中指定你不想让 AWS Config 规则检查的。
此检查的结果将每天自动刷新多次,并且不允许刷新请求。更改可能需要几个小时才能显示。
对于 B AWS usiness Support\$1、En AWS terprise Support 或 AWS Unified Operations 计划客户,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html)API 在 Trusted Advisor 结果中包含或排除一项或多项资源。
**检查 ID**
`c18d2gz152`
**来源**
`AWS Config Managed Rule: backup-recovery-point-manual-deletion-disabled`
**提醒条件**
黄色:有些 AWS Backup 文件库没有基于资源的策略来防止删除恢复点。
**Recommended Action(建议的操作)**
为您的 AWS Backup 文件库创建基于资源的策略,以防止恢复点意外删除。
该策略必须包含带有 backup: DeleteRecoveryPoint、backup: 和 backup: UpdateRecoveryPointLifecycle PutBackupVaultAccessPolicy 权限的 “拒绝” 语句。
有关更多信息,请参阅[设置备份保管库访问策略](https://docs.aws.amazon.com/aws-backup/latest/devguide/create-a-vault-access-policy.html)。
**报告列**
+ Status
+ Region
+ 资源
+ AWS Config 规则
+ 输入参数
+ 上次更新时间
## AWS CloudTrail 管理事件记录
**说明**
检查您的使用情况 AWS CloudTrail。 CloudTrail 提高了您中活动的可见性 AWS 账户。它通过记录有关在账户上进行的 AWS API 调用的信息来实现此目的。例如,您可以使用这些日志来确定特定用户在指定时间段内执行了哪些操作,或者哪些用户在指定时间段内对特定资源采取操作。
由于将日志文件 CloudTrail 传输到亚马逊简单存储服务 (Amazon S3) Service 存储桶 CloudTrail ,因此必须拥有该存储桶的写入权限。如果跟踪应用于所有 AWS 区域 (创建新跟踪时的默认设置),则跟踪会多次出现在 Trusted Advisor 报告中。
此检查的结果将每天自动刷新多次,并且不允许刷新请求。更改可能需要几个小时才能显示。
对于 B AWS usiness Support\$1、En AWS terprise Support 或 AWS Unified Operations 计划客户,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html)API 在 Trusted Advisor 结果中包含或排除一项或多项资源。
**检查 ID**
`c25hn9x03v`
**提醒条件**
+ 红色:未为任何跟踪创建任何跟踪 AWS 区域,或者未为任何跟踪启用日志记录。
+ 黄色:已启 CloudTrail 用,但所有跟踪都会报告日志传输错误。
+ 绿色: CloudTrail 已启用,未报告任何日志传送错误。
**Recommended Action(建议的操作)**
要通过控制台创建跟踪并启动日志记录,请打开 [AWS CloudTrail 控制台](https://console.aws.amazon.com/cloudtrail/home)。
要启动日志记录,请参阅[停止和启动跟踪的日志记录](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/create_trail_using_cli.html#stopstartclil)。
如果收到日志传输错误,请确保相应存储桶存在,并且已向存储桶附加必要的策略。请参阅 [Amazon S3 存储桶策略](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/create_trail_bucket_policy.html)。
**其他资源**
+ [AWS CloudTrail 用户指南](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/)
+ [支持的区域](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/what_is_cloud_trail_supported_regions.html)
+ [支持的服务](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/what_is_cloud_trail_supported_services.html)
+ [为组织创建跟踪](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/creating-trail-organization.html)
**报告列**
+ Status
+ Region
+ 日志记录已启用
+ 已报告传输错误
+ 上次更新时间
## AWS Lambda 使用已弃用运行时的函数
**说明**
检查 \$1LATEST 版本配置为使用即将弃用或已弃用的的运行时的 Lambda 函数。我们不向已弃用的运行时提供安全更新或技术支持
此检查的结果将每天自动刷新多次,并且不允许刷新请求。更改可能需要几个小时才能显示。
对于 B AWS usiness Support\$1、En AWS terprise Support 或 AWS Unified Operations 计划客户,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html)API 在 Trusted Advisor 结果中包含或排除一项或多项资源。
已发布的 Lambda 函数版本不可改变,这意味着这些版本可以叫用,但不能更新。只有 Lambda 函数的 `$LATEST` 版本才能更新。有关更多信息,请参阅 [Lambda 函数版本](https://docs.aws.amazon.com/lambda/latest/dg/configuration-versions.html)。
**检查 ID**
`L4dfs2Q4C5`
**提醒条件**
+ 红色:该函数的 \$1LATEST 版本配置为使用已弃用的运行时。
+ 黄色:该函数的 \$1LATEST 版本在即将弃用的运行时上运行。在运行时弃用日期前至少 180 天包含相关函数。
**Recommended Action(建议的操作)**
如果您的函数正在接近弃用的运行时运行,您应准备好迁移到受支持的运行时。有关更多信息,请参阅[运行时支持策略](https://docs.aws.amazon.com/lambda/latest/dg/runtime-support-policy.html)。
我们建议您删除不再使用的较早的函数版本。
**其他资源**
[Lambda 运行时](https://docs.aws.amazon.com/lambda/latest/dg/lambda-runtimes.html)
**报告列**
+ Status
+ Region
+ 函数 ARN
+ 运行时
+ 弃用的天数
+ 弃用日期
+ 平均每日调用次数
+ 上次更新时间
## AWS Well-Architected 安全性高风险问题
**说明**
在安全支柱中检查您的工作负载是否存在高风险问题 (HRIs)。此检查基于您的 AWS-Well Architected 审查。检查结果取决于您是否使用 AWS Well-Architected 完成了对工作负载的评估。
此检查的结果将每天自动刷新多次,并且不允许刷新请求。更改可能需要几个小时才能显示。
对于 B AWS usiness Support\$1、En AWS terprise Support 或 AWS Unified Operations 计划客户,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html)API 在 Trusted Advisor 结果中包含或排除一项或多项资源。
**检查 ID**
`Wxdfp4B1L3`
**提醒条件**
+ 红色:在Well-Architect AWS ed的安全支柱中至少发现了一个活跃的高风险问题。
+ 绿色:在 Well-Architecte AWS d 的安全支柱中未检测到活跃的高风险问题。
**Recommended Action(建议的操作)**
AWS Well-Architected 在评估工作负载时检测到了高风险问题。这些问题为降低风险和节省资金提供了机会。登录 [AWS Well-Architected](https://console.aws.amazon.com/wellarchitected) 工具以查看您的答案并采取措施解决活跃的问题。
**报告列**
+ Status
+ Region
+ 工作负载 ARN
+ 工作负载名称
+ 审核人姓名
+ 工作负载类型
+ 工作负载开始日期
+ 工作负载上次修改日期
+ 已识别 HRIs 为安全人员的人数
+ HRIs 已解决安全问题的数量
+ 安全问题数量
+ 安全支柱中的问题总数
+ 上次更新时间
## CloudFront IAM 证书存储区中的自定义 SSL 证书
**说明**
此支票适用于传统的 Amazon CloudFront 分配。
在 IAM 证书存储区中检查 SSL 证书中是否有 CloudFront 备用域名。如果证书已过期、即将过期、使用过时的加密或未针对分发正确配置,则此检查会提醒您。
当备用域名的自定义证书到期时,显示您的 CloudFront 内容的浏览器可能会显示一条有关您网站安全的警告消息。使用 SHA-1 哈希算法加密的证书已被 Chrome 和 Firefox 等大多数 Web 浏览器弃用。
证书必须包含与查看器请求的主机标头中的源域名或域名匹配的域名。如果不匹配,则向用户 CloudFront 返回 502(网关错误)的 HTTP 状态码。有关更多信息,请参阅[使用备用域名和 HTTPS](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/SecureConnections.html#CNAMEsAndHTTPS)。
此检查会报告按标准标记的所有资源以及评估的资源总数,包括 `OK` 资源。资源表仅列出已标记的资源。
**检查 ID**
`N425c450f2`
**提醒条件**
+ 红色:自定义 SSL 证书已过期。
+ 黄色:自定义 SSL 证书将在七天后过期。
+ 黄色:自定义 SSL 证书是使用 SHA-1 哈希算法加密的。
+ 黄色:分配中的一个或多个备用域名未出现在自定义 SSL 证书的 Common Name(常用名称)或 Subject Alternative Names(主题备用名称)字段中。
**Recommended Action(建议的操作)**
我们建议使用 AWS Certificate Manager 来预置、管理和部署您的服务器证书。使用 ACM,您可以申请新证书或将现有 ACM 或外部证书部署到 AWS 资源。ACM 提供的证书是免费的,并将自动续订。有关使用 ACM 的更多信息,请参阅 [AWS Certificate Manager 用户指南](https://docs.aws.amazon.com/acm/latest/userguide/acm-overview.html)。要验证 AWS 区域 ACM 是否支持,请参阅中的[AWS Certificate Manager 端点](https://docs.aws.amazon.com/general/latest/gr/acm.html)和配额。 AWS 一般参考
续订已过期证书或即将过期的证书。有关续订证书的更多信息,请参阅 IAM 中的[管理服务器证书](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_server-certs.html)。
将使用 SHA-1 哈希算法加密的证书替换为使用 SHA-256 哈希算法加密的证书。
将证书替换为在 Common Name(常用名称)或 Subject Alternative Domain Names(主题备用域名)字段中包含适用值的证书。
**其他资源**
[使用 HTTPS 连接访问对象](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/SecureConnections.html)
[导入证书](https://docs.aws.amazon.com/acm/latest/userguide/import-certificate.html)
[AWS Certificate Manager 用户指南](https://docs.aws.amazon.com/acm/latest/userguide/acm-overview.html)
**报告列**
+ Status
+ 分配 ID
+ 分配域名
+ 证书名称
+ Reason
## CloudFront 源服务器上的 SSL 证书
**说明**
检查源服务器是否存在已过期、即将过期、丢失或使用过时加密的 SSL 证书。如果证书存在其中一个问题,则使用 HTTP 状态代码 502,Bad Gateway 来 CloudFront 响应您对内容的请求。
使用 SHA-1 哈希算法加密的证书已被 Chrome 和 Firefox 等 Web 浏览器弃用。根据您与 CloudFront分配关联的 SSL 证书的数量,例如,如果您使用的是 Amazon EC2 或 Elastic Load Balancing 作为 CloudFront 分发来源, AWS 则此支票可能会使您每月向虚拟主机提供商的账单增加几美分。此检查不会验证您的源证书链或证书颁发机构。你可以在你的 CloudFront 配置中检查这些。
此检查会报告按标准标记的所有资源以及评估的资源总数,包括 `OK` 资源。资源表仅列出已标记的资源。
**检查 ID**
`N430c450f2`
**提醒条件**
+ 红色:源服务器上的 SSL 证书已过期或缺失。
+ 黄色:源服务器上的 SSL 证书将在 30 天后过期。
+ 黄色:源服务器上的 SSL 证书是使用 SHA-1 哈希算法加密的。
+ 黄色:无法找到源服务器上的 SSL 证书。连接失败,可能是因为超时或其他 HTTPS 连接问题。
**Recommended Action(建议的操作)**
续订源服务器上已过期或即将过期的证书。
如果证书不存在,请添加证书。
将使用 SHA-1 哈希算法加密的证书替换为使用 SHA-256 哈希算法加密的证书。
**其他资源**
[使用备用域名和 HTTPS](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/SecureConnections.html#CNAMEsAndHTTPS)
**报告列**
+ Status
+ 分配 ID
+ 分配域名
+ Origin
+ Reason
## ELB 侦听器安全
**说明**
检查带有侦听器的经典负载均衡器,这些负载均衡器不使用推荐的安全配置进行加密通信。 AWS 建议您使用安全协议(HTTPS 或 SSL)、 up-to-date安全策略以及安全的密码和协议。当您为前端连接(客户端到负载均衡器)使用安全协议时,客户端与负载均衡器之间的请求会被加密。从而创建更安全的环境。Elastic Load Balancing 提供预定义的安全策略,其密码和协议符合 AWS 安全最佳实践。新配置可用时,会发布预定义策略的新版本。
**检查 ID**
`a2sEc6ILx`
**提醒条件**
+ 红色:负载均衡器的任何侦听器均未配置安全协议 (HTTPS)。
+ 黄色:负载均衡器 HTTPS 侦听器配置了包含弱加密算法的安全策略。
+ 黄色:负载均衡器 HTTPS 侦听器未配置推荐的安全策略。
+ 绿色:负载均衡器至少有一个 HTTPS 侦听器,并且所有 HTTPS 侦听器都配置了推荐的策略。
**Recommended Action(建议的操作)**
如果传输到负载均衡器的流量必须安全无虞,请使用 HTTPS 或 SSL 协议进行前端连接。
将负载均衡器的预定义 SSL 安全策略升级到最新版本。
只使用推荐的密码和协议。
有关更多信息,请参阅 [Elastic Load Balancing 的侦听器配置](https://docs.aws.amazon.com/ElasticLoadBalancing/latest/DeveloperGuide/elb-listener-config.html)。
**其他资源**
+ [侦听器配置快速参考](https://docs.aws.amazon.com/ElasticLoadBalancing/latest/DeveloperGuide/using-elb-listenerconfig-quickref.html)
+ [更新负载均衡器的 SSL 协商配置](https://docs.aws.amazon.com/ElasticLoadBalancing/latest/DeveloperGuide/ssl-config-update.html)
+ [Elastic Load Balancing 的 SSL 协商配置](https://docs.aws.amazon.com/ElasticLoadBalancing/latest/DeveloperGuide/elb-ssl-security-policy.html)
+ [SSL 安全策略表](https://docs.aws.amazon.com/ElasticLoadBalancing/latest/DeveloperGuide/elb-security-policy-table.html)
**报告列**
+ Status
+ Region
+ 负载均衡器名称
+ 负载均衡器端口
+ Reason
## 经典负载均衡器安全组
**说明**
检查负载均衡器是否配置了允许访问未针对负载均衡器配置的端口的安全组。
如果安全组允许访问未针对负载均衡器配置的端口,则数据丢失或恶意攻击的风险会增加。
**检查 ID**
`xSqX82fQu`
**提醒条件**
+ 黄色:与负载均衡器关联的 Amazon VPC 安全组的入站规则允许访问未在负载均衡器的侦听器配置中定义的端口。
+ 绿色:与负载均衡器关联的 Amazon VPC 安全组的入站规则不允许访问未在负载均衡器的侦听器配置中定义的端口。
**Recommended Action(建议的操作)**
配置安全组规则,以将访问限制在负载均衡器侦听器配置中定义的端口和协议,以及用于支持路径 MTU 发现的 ICMP 协议。请参阅[经典负载均衡器的侦听器](https://docs.aws.amazon.com/elasticloadbalancing/latest/classic/elb-listener-config.html)和 [VPC 中的负载均衡器的安全组](https://docs.aws.amazon.com/elasticloadbalancing/latest/classic/elb-security-groups.html#elb-vpc-security-groups)。
如果安全组缺失,请将新安全组应用到负载均衡器。创建安全组规则,将访问限制在负载均衡器侦听器配置中定义的端口和协议。请参阅 [VPC 中的负载均衡器的安全组](https://docs.aws.amazon.com/elasticloadbalancing/latest/classic/elb-security-groups.html#elb-vpc-security-groups)。
**其他资源**
+ [Elastic Load Balancing 用户指南](https://docs.aws.amazon.com/elasticloadbalancing/latest/userguide/)
+ [迁移 Classic Load Balancer](https://docs.aws.amazon.com/elasticloadbalancing/latest/userguide/migrate-classic-load-balancer.html)
+ [配置经典负载均衡器](https://docs.aws.amazon.com/elasticloadbalancing/latest/classic/elb-configure-load-balancer.html)
**报告列**
+ Status
+ Region
+ 负载均衡器名称
+ 安全组 IDs
+ Reason
## Exposed Access Keys
**说明**
检查常用代码存储库是否存在已向公共暴露的访问密钥,以及可能由于访问密钥泄露而导致的不规则 Amazon Elastic Compute Cloud (Amazon EC2) 使用。
访问密钥包含访问密钥 ID 和相应的秘密访问密钥。访问密钥被暴露对您的账户和其他用户构成安全风险,可能导致未经授权的活动或滥用行为造成费用过高,并违反 [AWS 客户协议](https://aws.amazon.com/agreement)。
如果您的访问密钥暴露,请立即采取措施保护您的账户。为了保护您的账户免受过高的费用,请 AWS 暂时限制您创建某些 AWS 资源的能力。这并不能使您的账户安全。它仅部分限制了您可能需要付费的未经授权的使用。
此检查并不保证能识别暴露的访问密钥或被泄露的 EC2 实例。您对访问密钥和 AWS 资源的安全和保障负有最终责任。
此检查的结果将每天自动刷新多次,并且不允许刷新请求。更改可能需要几个小时才能显示。
对于 B AWS usiness Support\$1、En AWS terprise Support 或 AWS Unified Operations 计划客户,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html)API 在 Trusted Advisor 结果中包含或排除一项或多项资源。
如果显示了访问密钥的截止日期, AWS 账户 则如果未在该日期之前停止未经授权的使用,则 AWS 可能会暂停您的访问密钥。如果您认为收到了错误的提醒,请[联系 AWS 支持](https://console.aws.amazon.com/support/home?#/case/create?issueType=customer-service&serviceCode=customer-account&categoryCode=security)。
中显示的信息 Trusted Advisor 可能无法反映您账户的最新状态。除非账户中所有泄露的访问密钥都已得到解决,否则任何已泄露的访问密钥均不会标记为已解决。此类数据同步最多可能需要一周时间。
**检查 ID**
`12Fnkpl8Y5`
**提醒条件**
+ 红色:可能已泄露- AWS 已识别访问密钥 ID 和相应的私有访问密钥,这些密钥已在 Internet 上暴露并可能已被泄露(使用)。
+ 红色:已暴露 — AWS 已识别出已在互联网上公开的访问密钥 ID 和相应的私有访问密钥。
+ 红色:疑似盗用 – Amazon EC2 出现异常使用情况,访问密钥可能已遭盗用,但尚未确定已在互联网上泄露。
**Recommended Action(建议的操作)**
尽快删除受影响的访问密钥。如果此密钥与 IAM 用户关联,请参阅[管理对 IAM 用户的访问密钥](https://docs.aws.amazon.com/IAM/latest/UserGuide/ManagingCredentials.html)。
检查您的账户是否存在未授权使用情况。登录到 [AWS 管理控制台](https://console.aws.amazon.com/),检查每个服务控制台是否存在可疑资源。请特别注意运行中的 Amazon EC2 实例、竞价型实例请求、访问密钥和 IAM 用户。您也可以在[账单与成本管理控制台](https://console.aws.amazon.com/billing/home#/)上检查总体使用情况。
**其他资源**
+ [管理 AWS 访问密钥的最佳实践](https://docs.aws.amazon.com/general/latest/gr/aws-access-keys-best-practices.html)
+ [AWS 安全审计指南](https://docs.aws.amazon.com/general/latest/gr/aws-security-audit-guide.html)
**报告列**
+ 访问密钥 ID
+ 用户名(IAM 或根用户)
+ 欺诈类型
+ 案例 ID
+ 更新时间
+ 位置
+ 截止日期
+ 使用量(美元/天)
## IAM 访问密钥轮换
**说明**
检查过去 90 天内未轮换的活动 IAM 访问密钥。
定期轮换访问密钥时,您可以减少在您不知情的情况下使用泄漏的密钥访问资源的可能性。出于此检查的目的,上次轮换日期和时间是创建或最近激活访问密钥的时间。访问密钥编号和日期来自最新 IAM 凭证报告中的 `access_key_1_last_rotated` 和 `access_key_2_last_rotated` 信息。
由于凭证报告的重新生成频率受到限制,刷新此检查可能不会反映最近的变化。有关详细信息,请参阅[获取您 AWS 账户的凭证报告](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_getting-report.html)。
为了创建和轮换访问密钥,用户必须具有相应的权限。有关更多信息,请参阅[允许用户管理自己的密码、访问密钥和 SSH 密钥](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_delegate-permissions_examples.html#creds-policies-credentials)。
**检查 ID**
`DqdJqYeRm5`
**提醒条件**
+ 绿色:访问密钥处于活跃状态且已在过去 90 天内轮换。
+ 黄色:访问密钥处于活跃状态且已在过去 2 年内轮换,但距今已超过 90 天。
+ 红色:访问密钥处于活跃状态,但在过去 2 年内未进行轮换。
**Recommended Action(建议的操作)**
定期轮换访问密钥。请参阅[轮换访问密钥](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_access-keys.html#Using_RotateAccessKey)和[管理 IAM 用户的访问密钥](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_access-keys.html)。
**其他资源**
+ [IAM 最佳实践](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)
+ [如何轮换 IAM 用户的访问密钥](https://aws.amazon.com/blogs/security/how-to-rotate-access-keys-for-iam-users/)
**报告列**
+ Status
+ IAM 用户
+ 访问密钥
+ 上次轮换的密钥
+ Reason
## IAM Access Analyzer 外部访问权限
**说明**
检查是否存在账户级别的 IAM Access Analyzer 外部访问。
IAM Access Analyzer 外部访问分析器可帮助您识别账户中与外部实体共享的资源。然后,分析器会创建一个集中式仪表板以显示检查结果。在 IAM 控制台中激活新的分析器后,安全团队可根据过度权限情况,确定需要优先审查的账户。外部访问分析器会创建资源的公共访问和跨账户访问结果,无需额外付费。
**检查 ID**
`07602fcad6`
**提醒条件**
+ 红色:未在账户级别激活分析器的外部访问。
+ 绿色:已在账户级别激活分析器的外部访问。
**Recommended Action(建议的操作)**
为每个账户创建一个外部访问分析器,有助于安全团队根据过度权限情况,确定需要优先审查的账户。有关更多信息,请参阅[AWS Identity and Access Management Access Analyzer 结果入门](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-getting-started.html)。
此外,最佳做法是使用未使用访问权限分析器,这是一项付费功能,可简化对未使用访问权限的检查,帮助您实现最低权限原则。有关更多信息,请参阅[识别授予 IAM 用户和角色的未使用访问权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html#what-is-access-analyzer-unused-access-analysis)。
**其他资源**
+ [使用 AWS Identity and Access Management Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html#what-is-access-analyzer-resource-identification)
+ [IAM Access Analyzer 更新:查找未使用的访问权限,在部署前检查策略](https://aws.amazon.com/blogs/aws/iam-access-analyzer-updates-find-unused-access-check-policies-before-deployment)
**报告列**
+ Status
+ Region
+ 账户外部访问分析器 Arn
+ 组织级外部访问分析器 Arn
+ 上次更新时间
## IAM 密码策略
**说明**
检查账户的密码策略,并在未启用密码策略或未启用密码内容要求时发出警告。
密码内容要求通过强制创建强用户密码提高了 AWS 环境的整体安全性。若您创建或更改密码策略,将会立即对新用户强制执行更改,但不会要求现有用户更改其密码。
**检查 ID**
`Yw2K9puPzl`
**提醒条件**
+ 绿色:密码策略已启用,推荐内容要求已启用。
+ 黄色:密码策略已启用,但至少有一项内容要求未启用。
**Recommended Action(建议的操作)**
如果部分内容要求未启用,请考虑进行启用。如果未启用任何密码策略,请创建并配置策略。请参阅[为 IAM 用户设置账户密码策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/Using_ManagingPasswordPolicies.html)。
要访问 AWS 管理控制台,IAM 用户需要密码。作为最佳实践, AWS 强烈建议您使用联合身份验证,而不是创建 IAM 用户。联合身份验证允许用户使用其现有的公司凭证登录 AWS 管理控制台。使用 IAM Identity Center 创建用户或联合用户,然后在账户中承担 IAM 角色。
要了解有关身份提供者和联合身份验证的更多信息,请参阅《IAM 用户指南》中的[身份提供者和联合身份验证](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_providers.html)。要了解有关 IAM Identity Center 的更多信息,请参阅 [IAM Identity Center 用户指南](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html)。
**其他资源**
[管理密码](https://docs.aws.amazon.com/IAM/latest/UserGuide/Credentials-ManagingPasswords.html)
**报告列**
+ 密码策略
+ 大写
+ 小写
+ 数字
+ 非字母数字
## IAM SAML 2.0 身份提供者
**说明**
检查 AWS 账户 是否配置为可通过支持 SAML 2.0 的身份提供者(IdP)进行访问。在[外部身份提供商](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers.html)或 [AWS IAM Identity Center](https://aws.amazon.com/single-sign-on/) 中集中管理身份和配置用户时,请务必遵循最佳实践。
**检查 ID**
`c2vlfg0p86`
**提醒条件**
+ 黄色:此账户未配置为可通过支持 SAML 2.0 的身份提供者(IdP)进行访问。
+ 绿色:此账户已配置为可通过支持 SAML 2.0 的身份提供者(IdP)进行访问。
**Recommended Action(建议的操作)**
为 AWS 账户激活 IAM Identity Center。有关更多信息,请参阅[启用 IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/get-set-up-for-idc.html)。启用 IAM Identity Center 后,您可以执行常见任务,例如创建权限集以及为 Identity Center 组分配访问权限。有关更多信息,请参阅[常见任务](https://docs.aws.amazon.com/singlesignon/latest/userguide/getting-started.html)。
最佳做法是在 IAM Identity Center 中管理人类用户。但在小规模部署场景下,短期内您也可以通过 IAM 为人工用户激活联合用户访问权限。有关更多信息,请参阅 [SAML 2.0 联合身份验证](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_saml.html)。
**其他资源**
[什么是 IAM Identity Center?](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html)
[什么是 IAM?](https://docs.aws.amazon.com/IAM/latest/UserGuide/IAM_Introduction.html)
**报告列**
+ Status
+ AWS 账户 Id
+ 上次更新时间
## 根账户的 MFA
**说明**
检查账户的根用户凭证,如果未启用多重身份验证(MFA),则发出警告。
为了提高安全性,我们建议您使用 MFA 来保护您的账户,MFA 要求用户在与网站和关联网站互动时输入来自其 MFA 硬件或虚拟设备的唯一身份验证码。 AWS 管理控制台
对于您的 AWS Organizations 管理账户, AWS 需要根用户在访问时进行多重身份验证 (MFA)。 AWS 管理控制台
对于您的 AWS Organizations 成员账户,我们建议您使用集中管理根证书 AWS Identity and Access Management。可以集中删除成员账户的根用户凭证,无需管理根用户凭证的 MFA。有关更多信息,请参阅《AWS Organizations 参考指南》**中的[成员账户的最佳实践](https://docs.aws.amazon.com/organizations/latest/userguide/best-practices_member-acct.html)。
**检查 ID**
`7DAFEmoDos`
**提醒条件**
+ 红色:未在根账户上启用 MFA。
+ 绿色:不存在根用户凭证(根密码),或者该账户已启用 MFA。
**推荐操作**
**如果这是中的成员账户 AWS Organizations:**登录您的管理账户,在 IAM 中启用根访问管理功能,然后从该成员账户中移除您的根用户证书。请参阅[集中成员账户的根访问](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_root-enable-root-access.html)。
**如果这是独立账户或管理账户 AWS Organizations:登录**您的根账户并激活 MFA 设备。有关更多信息,请参阅[检查 MFA 状态](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_checking-status.html)和[ IAM 中的AWS 多重身份验证](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa.html)
**其他资源**
+ [集中管理成员账户的根访问权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#id_root-user-access-management)
+ [AWS IAM 中的多因素身份验证](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa.html)
+ [AWS 账户 root 用户的多因素身份验证](https://docs.aws.amazon.com/IAM/latest/UserGuide/enable-mfa-for-root.html)
## 根用户访问密钥
**说明**
检查是否存在根用户访问密钥。强烈建议您不要为根用户创建访问密钥对。由于[只有少数任务需要根用户](https://docs.aws.amazon.com/IAM/latest/UserGuide/root-user-tasks.html),而且您通常不经常执行这些任务,因此最佳做法是登录到 AWS 管理控制台 来执行根用户任务。在创建访问密钥之前,请认真阅读[长期访问密钥的替代方法](https://docs.aws.amazon.com/IAM/latest/UserGuide/security-creds.html#sec-alternatives-to-long-term-access-keys)。
**检查 ID**
`c2vlfg0f4h`
**提醒条件**
+ 红色:存在根用户访问密钥
+ 绿色:不存在根用户访问密钥
**Recommended Action(建议的操作)**
删除根用户的访问密钥。请参阅[删除根用户的访问密钥](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user_manage_delete-key.html)。此任务必须由根用户执行。您无法以 IAM 用户或角色身份执行这些步骤。
**其他资源**
+ [需要 root 用户凭证的任务](https://docs.aws.amazon.com/IAM/latest/UserGuide/root-user-tasks.html)
+ [重置丢失或忘记的 root 用户密码](https://docs.aws.amazon.com/IAM/latest/UserGuide/reset-root-password.html)
报告列
+ Status
+ 账户 ID
+ 上次更新时间
## 安全组 – 不受限制的特定端口
**说明**
检查安全组是否有允许对特定端口进行不受限制访问 (0.0.0.0/0) 的规则。
不受限制的访问增加了恶意活动(黑客 denial-of-service攻击、攻击、数据丢失)的机会。风险最高的端口标记为红色,风险较小的端口将标记为黄色。标记为绿色的端口通常由需要不受限制访问的应用程序使用,例如 HTTP 和 SMTP。
如果您故意通过这种方式配置了安全组,我们建议您使用其他安全措施来保护您的基础设施(如 IP 表)。
此检查仅评估您创建的安全组及其 IPv4 地址入站规则。 AWS Directory Service 创建的安全组标记为红色或黄色,但它们不会构成安全风险,并且可以被排除。有关更多信息,请参阅 [Trusted Advisor 常见问题](https://aws.amazon.com/premiumsupport/faqs/#AWS_Trusted_Advisor)。
此检查会报告按标准标记的所有资源以及评估的资源总数,包括 `OK` 资源。资源表仅列出已标记的资源。
**检查 ID**
`HCP4007jGY`
**提醒条件**
+ 绿色:安全组对端口 80、25、443 或 465 提供不受限制的访问。
+ 红色:安全组附加到资源,对端口 20、21、22、1433、1434、3306、3389、4333、5432 或 5500 提供不受限制的访问。
+ 黄色:安全组对任何其他端口提供不受限制的访问。
+ 黄色:安全组未附加到任何资源,并且提供不受限制的访问。
**Recommended Action(建议的操作)**
只有具有此需求的 IP 地址才能访问。要只允许特定 IP 地址进行访问,请将后缀设置为 /32(例如,192.0.2.10/32)。在创建更加严格的规则后,请务必删除过于宽松的规则。
检查并删除未使用的安全组。您可以使用 AWS Firewall Manager 大规模集中配置和管理安全组。有关更多信息 AWS 账户,请参阅[AWS Firewall Manager 文档](https://docs.aws.amazon.com/waf/latest/developerguide/fms-chapter.html)。
对于通过 SSH(端口 22)和 RDP(端口 3389)访问 EC2 实例的场景,建议使用 Systems Manager Sessions Manager。使用会话管理器,您无需在安全组中启用端口 22 和端口 3389 即可访问 EC2 实例。
**其他资源**
+ [Amazon EC2 安全组](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-network-security.html)
[TCP 和 UDP 端口号列表](http://en.wikipedia.org/wiki/List_of_TCP_and_UDP_port_numbers)
+ [无类域间路由](http://en.wikipedia.org/wiki/Classless_Inter-Domain_Routing)
+ [使用会话管理器](https://docs.aws.amazon.com/systems-manager/latest/userguide/session-manager-working-with.html)
+ [AWS Firewall Manager](https://docs.aws.amazon.com/waf/latest/developerguide/fms-chapter.html)
**报告列**
+ Status
+ Region
+ 安全组名称
+ 安全组 ID
+ 协议
+ 起始端口
+ 终止端口
+ 关联
## 安全组 – 不受限制的访问
**说明**
检查安全组是否存在允许不受限制地访问资源的规则。
不受限制的访问增加了恶意活动(黑客 denial-of-service攻击、攻击、数据丢失)的机会。
此检查仅评估您创建的安全组及其 IPv4 地址入站规则。由创建的安全组 AWS Directory Service 会被标记为红色或黄色,但它们不构成安全风险,可以排除在外。有关更多信息,请参阅 [Trusted Advisor 常见问题](https://aws.amazon.com/premiumsupport/faqs/#AWS_Trusted_Advisor)。
此检查会报告按标准标记的所有资源以及评估的资源总数,包括 `OK` 资源。资源表仅列出已标记的资源。
**检查 ID**
`1iG5NDGVre`
**提醒条件**
+ 绿色:安全组规则有一个后缀为 /0 的源 IP 地址,该规则适用于端口 25、80 或 443。
+ 黄色:安全组规则有一个后缀为 /0 的源 IP 地址,用于 25、80 或 443 以外的端口,且安全组已附加到资源。
+ 红色:安全组规则有一个后缀为 /0 的源 IP 地址,且该规则针对 25、80 或 443 以外的端口,同时安全组未附加到资源。
**Recommended Action(建议的操作)**
只有具有此需求的 IP 地址才能访问。要只允许特定 IP 地址进行访问,请将后缀设置为 /32(例如,192.0.2.10/32)。在创建更加严格的规则后,请务必删除过于宽松的规则。
检查并删除未使用的安全组。您可以使用 AWS Firewall Manager 大规模集中配置和管理安全组。有关更多信息 AWS 账户,请参阅[AWS Firewall Manager 文档](https://docs.aws.amazon.com/waf/latest/developerguide/fms-chapter.html)。
对于通过 SSH(端口 22)和 RDP(端口 3389)访问 EC2 实例的场景,建议使用 Systems Manager Sessions Manager。使用会话管理器,您无需在安全组中启用端口 22 和端口 3389 即可访问 EC2 实例。
**其他资源**
+ [Amazon EC2 安全组](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-network-security.html)
+ [无类域间路由](http://en.wikipedia.org/wiki/Classless_Inter-Domain_Routing)
+ [使用会话管理器](https://docs.aws.amazon.com/systems-manager/latest/userguide/session-manager-working-with.html)
+ [AWS Firewall Manager](https://docs.aws.amazon.com/waf/latest/developerguide/fms-chapter.html)
**报告列**
+ Status
+ Region
+ 安全组名称
+ 安全组 ID
+ 协议
+ 起始端口
+ 终止端口
+ IP 范围
+ 关联