本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 安全性和合规性
<a name="dcm-security-n-compliance"></a>

安全与合规是 AMS Advanced 和您作为我们的客户的共同责任。AMS Advanced Direct Change 模式不会更改此项共同责任。

## 直接更改模式下的安全性
<a name="dcm-security"></a>

AMS Advanced 通过规范性的着陆区、变更管理系统和访问管理提供了额外的价值。使用 “直接变更” 模式时，此责任模型不会改变。但是，您应该注意其他风险。

直接更改模式 “更新” 角色（参见[直接更改模式 IAM 角色和策略](dcm-get-started.md#dcm-gs-iam-roles-and-policies)）提供了提升的权限，允许有权访问该角色的实体更改您账户中由 AMS 支持的服务的基础设施资源。权限提升后，会存在不同的风险，具体取决于资源、服务和操作，尤其是在由于疏忽、错误或缺乏对内部流程和控制框架的遵守而导致错误更改的情况下。

根据AMS技术标准，已经确定了以下风险并提出了以下建议。有关 AMS 技术标准的详细信息可通过以下网址获取 AWS Artifact。要进行访问 AWS Artifact，请联系您的 CSDM 获取说明或前往[入门](https://aws.amazon.com/artifact/getting-started)。 AWS Artifact

**AMS-STD-001：标记**

<a name="AMS-STD-001"></a>
<table>
<thead>
  <tr><th>标准</th><th>它坏了吗</th><th>风险</th><th>建议</th></tr>
</thead>
<tbody>
  <tr><td>所有 AMS 拥有的资源都必须具有以下键值对</td><td rowspan="2">是。中断了 CloudFormation、CloudTrail、EFS、 OpenSearch、L CloudWatch ogs、SQS、SSM、Tagging api，因为这些服务不支持限制 AMS 命名空间标记的`aws:TagsKey`条件。<br />下表 **AMS-STD-003** 中给出的标准说明您可以更改环境和 AppId AppName，但不能更改 AMS 拥有的资源。无法通过 IAM 权限实现。</td><td rowspan="4">在 AMS 方面，对 AMS 资源进行错误标记可能会对您的资源的报告、警报和修补操作产生不利影响。</td><td rowspan="4">必须限制访问权限，才能对 AMS 团队以外的任何人的 AMS 默认标签要求进行任何更改。</td></tr>
  <tr><td>除上面列出的标签外，所有 AMS 拥有的标签都必须具有类似AMS\*或MC\*大小写的前缀。upper/lower/mix</td></tr>
  <tr><td>不得根据您的更改请求删除 AMS 拥有的堆栈上的任何标签。</td><td>是的。 CloudFormation 不支持限制 AMS 命名空间标签的aws:TagsKey条件。</td></tr>
  <tr><td>不允许您在基础设施中使用 AMS 标签命名约定，如下表 AMS-STD-002 所述。</td><td>是。breaks f CloudWatch or CloudFormation CloudTrail、、Amazon Elastic File System (EFS) OpenSearch、、Logs、Amazon Systems Queue S EC2 ervice (SQS)、Amazon Systems Manager (SSM)、标记 API；这些服务不支持aws:TagsKey限制 AMS 命名空间标记的条件。</td></tr>
</tbody>
</table>


**AMS-STD-002：身份和访问管理 (IAM) Access Management**


| 标准 | 它坏了吗 | 风险 | 建议 | 
| --- | --- | --- | --- | 
| 4.7 不得允许绕过变更管理流程 (RFC) 的操作，例如启动或停止实例、创建 S3 存储桶或 RDS 实例等。只要在分配的角色范围内执行操作，开发者模式账户和自助服务预置模式服务 (SSP) 就可以获得豁免。 | 是。自助操作的目的允许您绕过 AMS RFC 系统执行操作。 | 安全访问模式是 AMS 的核心技术方面，用于控制台或编程访问的 IAM 用户可以规避这种访问控制。AMS 变更管理不监控 IAM 用户的访问权限。访问权限 CloudTrail 仅限登录。 | IAM 用户应有时间限制，并根据最低权限向其授予权限。 need-to-know | 

**AMS-STD-003：网络安全**

<a name="AMS-STD-003"></a>
<table>
<thead>
  <tr><th>标准</th><th>它坏了吗</th><th>风险</th><th>建议</th></tr>
</thead>
<tbody>
  <tr><td>S2。 EC2 实例上的弹性 IP 只能与正式的风险接受协议或内部团队的有效用例一起使用。</td><td>是。自助操作允许您关联和取消关联弹性 IP 地址 (EIP)。</td><td>向实例添加弹性 IP 会使其暴露在互联网上。这增加了信息泄露和未经授权活动的风险。</td><td>通过安全组阻止任何不必要的流量进入该实例，并验证您的安全组是否与该实例相连，以确保该实例仅在出于业务原因需要时才允许流量。</td></tr>
  <tr><td>S14。可以允许属于同一客户的账户之间的 VPC 对等连接和终端节点连接。</td><td rowspan="2">是。无法通过 IAM 策略实现。</td><td>离开您的 AMS 账户的流量一旦超出账户边界，就不会受到监控。</td><td>我们建议仅与您拥有的 AMS 账户建立对等关系。如果您的用例需要这样做，请使用安全组和路由表来限制可以通过相关连接输出的流量范围、资源和类型。</td></tr>
  <tr><td>AMS 基础 AMIs 可以在 AMS 管理的账户和非托管账户之间共享，前提是我们可以验证它们归同一个组织所有。 AWS </td><td>AMIs 可能包含敏感数据，并且可能会泄露给非预期的帐户。</td><td>仅 AMIs 与您的组织拥有的账户共享，或者在组织外部共享之前验证用例和账户信息。</td></tr>
</tbody>
</table>


**AMS-STD-007：日志记录**

<a name="AMS-STD-007"></a>
<table>
<thead>
  <tr><th>标准</th><th>它坏了吗</th><th>风险</th><th>建议</th></tr>
</thead>
<tbody>
  <tr><td>19. 任何日志都可以从一个 AMS 账户转发到同一客户的另一个 AMS 账户。</td><td rowspan="2">是。由于无法通过 IAM 策略验证客户账户属于同一个组织，因此客户日志可能不安全。</td><td rowspan="2">日志可能包含敏感数据，并且可能会泄露给非预期的帐户。</td><td rowspan="2">仅与组织管理的账户共享日志，或者在 AWS 组织外部共享之前验证用例和账户信息。我们可以通过多种方式进行验证，请咨询您的云服务交付经理 (CSDM)。</td></tr>
  <tr><td>20。只有当非 AMS 账户归同一 AMS 客户所有（通过确认他们属于同一账户，或者将电子邮件域名与客户的公司名称和 PAYER 关联 AWS Organizations 账户进行匹配）时，才能使用内部工具将任何日志从 AMS 转发到非 AMS 账户。</td></tr>
</tbody>
</table>


与您的内部授权和身份验证团队合作，相应地控制直接更改模式角色的权限。

## 直接更改模式下的合规性
<a name="dcm-compliance"></a>

直接更改模式与生产和非生产工作负载兼容。您有责任确保遵守任何合规标准（例如 PHI、HIPAA、PCI），并确保直接变更模式的使用符合您的内部控制框架和标准。