在您的环境中引入高或非常高的安全风险的更改

High_risk-iam-001：为根账户创建访问密钥

High_risk-iam-002：修改 SCP 策略以允许其他访问权限

High_risk-iam-003：SCP 政策修改可能会破坏 AMS 基础设施

High_risk-iam-004：在客户账户中创建 role/user 基础架构变更权限（写入、权限管理或标记）

High_risk-iam-005：AMS 账户和第三方账户（不归客户所有）之间的 IAM 角色信任策略

High_risk-iam-006：跨账户政策，允许第三方账户从 AMS 账户访问任何 KMS 密钥）

High_risk-iam-007：来自第三方账户的跨账户政策，用于访问 AMS 客户 S3 存储桶或可以存储数据的资源（例如 Amazon RDS、Amazon DynamoDB 或 Amazon Redshift）

High_risk-iam-008：为客户账户中的任何基础设施变更权限分配 IAM 权限

High_risk-iam-009：允许列出和读取账户中的所有 S3 存储桶

High_risk-iam-010：带权限的自动化 IAM 预配置 read/write

High_risk-net-001：从互联网上打开操作系统管理端口 SSH/22 或 SSH/2222（不是 SFTP/2222）、TELNET/23、RDP/3389、winrm/5985-5986、VNC/ 5900-5901 TS/CITRIX/1494 或 1604、LDAP/389 或 636 和 NETBIOS/137-139

High_risk-net-002：打开数据库管理端口 mysql/3306、PostgreSQL/5432、Oracle/1521、MSSQL/1433 或互联网上的任何管理客户端口

High_risk-net-003：直接在任何计算资源上打开应用程序端口 HTTP/80、HTTPS/8443 和 HTTPS/443。例如，来自互联网的 EC2 实例、ECS/EKS/Fargate容器等

High_risk-net-004：对控制 AMS 基础设施访问权限的安全组所做的任何更改

High_risk-net-006：与第三方账户（不归客户所有）的 VPC 对等

High_risk-net-007：添加客户防火墙作为所有 AMS 流量的出口点

High_risk-net-008：不允许与第三方账户连接 Transit Gateway

High_Risk-S3-001：在 S3 存储桶中配置或启用公共访问权限

High_risk-log-001：禁用。 CloudTrail（需要运营现场经理批准）

High_risk-log-002：禁用 VPC 流日志。（需要运营现场经理批准）

High_risk-log-003：通过任何方法（S3 事件通知、SIEM 代理提取、SIEM 代理推送等）将日志从 AMS 托管账户转发到第三方账户（不归客户所有）

high_risk-log-004：使用非 AMS 跟踪进行 CloudTrail

High_risk-host-001：出于任何原因在账户中禁用端点安全。 （需要运营现场经理批准）

high_risk-host-002：在资源或账户级别禁用修补。

high_risk-host-003：在账户中部署非托管实例。 EC2

High_risk-host-004：运行客户提供的自定义脚本。

High_risk-host-005：在实例上创建本地管理员帐户。

High_risk-host-006：趋势科技 EPS 文件类型/扩展名扫描排除项或在端点上禁用恶意软件防护。

high_risk-host-007：为 KeyPair EC2

High_risk-host-008：在中禁用端点安全 EC2

High_risk-host-009：使用生命周期终止 (EOL) 操作系统的账户

High_risk-enc-001：如果启用了任何资源的加密，则将其禁用

High_risk-ad-001：为活跃的导演用户或组提供管理员权限

High_risk-ad-002：能够降低账户安全状况的 GPO 策略