本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 给您的环境带来高或非常高的安全风险的更改
<a name="acc-sec-high-risk-con"></a>

以下更改会给您的环境带来高或非常高的安全风险：

**AWS Identity and Access Management**
+ High\_risk-iam-001：为根账户创建访问密钥
+ High\_risk-iam-002：修改 SCP 策略以允许其他访问权限
+ High\_risk-iam-003：SCP 政策修改可能会破坏 AMS 基础设施
+ High\_risk-iam-004：在客户账户中创建 role/user 基础架构变更权限（写入、权限管理或标记）
+ High\_risk-iam-005：AMS 账户和第三方账户（不归客户所有）之间的 IAM 角色信任策略
+ High\_risk-iam-006：跨账户政策，允许第三方账户从 AMS 账户访问任何 KMS 密钥）
+ High\_risk-iam-007：来自第三方账户的跨账户政策，用于访问 AMS 客户 S3 存储桶或可以存储数据的资源（例如 Amazon RDS、Amazon DynamoDB 或 Amazon Redshift）
+ High\_risk-iam-008：为客户账户中的任何基础设施变更权限分配 IAM 权限
+ High\_risk-iam-009：允许列出和读取账户中的所有 S3 存储桶

**网络安全**
+ High\_risk-net-001：从互联网上打开操作系统管理端口 SSH/22 或 SSH/2222（不是 SFTP/2222）、TELNET/23、RDP/3389、winrm/5985-5986、VNC/ 5900-5901 TS/CITRIX/1494 或 1604、LDAP/389 或 636 和 NETBIOS/137-139
+ High\_risk-net-002：打开数据库管理端口 mysql/3306、PostgreSQL/5432、Oracle/1521、MSSQL/1433 或互联网上的任何管理客户端口
+ High\_risk-net-003：直接在任何计算资源上打开应用程序端口 HTTP/80、HTTPS/8443 和 HTTPS/443。例如，来自互联网的 EC2 实例、ECS/EKS/Fargate容器等
+ High\_risk-net-004：对控制 AMS 基础设施访问权限的安全组进行的任何更改
+ High\_risk-net-006：与第三方账户（不归客户所有）的 VPC 对等
+ High\_risk-net-007：添加客户防火墙作为所有 AMS 流量的出口点
+ High\_risk-net-008：不允许与第三方账户连接 Transit Gateway
+ High\_Risk-S3-001：在 S3 存储桶中配置或启用公共访问权限

**日志系统**
+ High\_risk-log-001：禁用。 CloudTrail
+ High\_risk-log-002：禁用 VPC 流日志。
+ High\_risk-log-003：通过任何方法（S3 事件通知、SIEM 代理提取、SIEM 代理推送等）将日志从 AMS 托管账户转发到第三方账户（不归客户所有）
+ high\_risk-log-004：使用非 AMS 跟踪进行 CloudTrail

**其他**
+ High\_risk-enc-001：如果启用了任何资源的加密，则将其禁用