本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
安全性和合规性
安全与合规是 AMS Advanced 和您作为我们的客户的共同责任。AMS Advanced Direct Change 模式不会更改此项共同责任。
直接更改模式下的安全性
AMS Advanced 通过规范性的着陆区、变更管理系统和访问管理提供了额外的价值。使用 “直接变更” 模式时,此责任模型不会改变。但是,您应该注意其他风险。
直接更改模式 “更新” 角色(参见直接更改模式 IAM 角色和策略)提供了提升的权限,允许有权访问该角色的实体更改您账户中由 AMS 支持的服务的基础设施资源。权限提升后,会存在不同的风险,具体取决于资源、服务和操作,尤其是在由于疏忽、错误或缺乏对内部流程和控制框架的遵守而导致错误更改的情况下。
根据AMS技术标准,已经确定了以下风险并提出了以下建议。有关 AMS 技术标准的详细信息可通过以下网址获取 AWS Artifact。要进行访问 AWS Artifact,请联系您的 CSDM 获取说明或前往入门
AMS-STD-001:标记
| 标准 | 它坏了吗 | 风险 | 建议 |
|---|---|---|---|
| 所有 AMS 拥有的资源都必须具有以下键值对 | 是。中断了 CloudFormation、CloudTrail、EFS、 OpenSearch、L CloudWatch ogs、SQS、SSM、Tagging api,因为这些服务不支持限制 AMS 命名空间标记的 下表 AMS-STD-003 中给出的标准说明您可以更改环境和 AppId AppName,但不能更改 AMS 拥有的资源。无法通过 IAM 权限实现。 |
在 AMS 方面,对 AMS 资源进行错误标记可能会对您的资源的报告、警报和修补操作产生不利影响。 | 必须限制访问权限,才能对 AMS 团队以外的任何人的 AMS 默认标签要求进行任何更改。 |
除上面列出的标签外,所有 AMS 拥有的标签都必须具有类似AMS*或MC*大小写的前缀。upper/lower/mix | |||
| 不得根据您的更改请求删除 AMS 拥有的堆栈上的任何标签。 | 是的。 CloudFormation 不支持限制 AMS 命名空间标签的aws:TagsKey条件。 | ||
| 不允许您在基础设施中使用 AMS 标签命名约定,如下表 AMS-STD-002 所述。 | 是。breaks f CloudWatch or CloudFormation CloudTrail、、Amazon Elastic File System (EFS) OpenSearch、、Logs、Amazon Systems Queue S EC2 ervice (SQS)、Amazon Systems Manager (SSM)、标记 API;这些服务不支持aws:TagsKey限制 AMS 命名空间标记的条件。 |
AMS-STD-002:身份和访问管理 (IAM) Access Management
| 标准 | 它坏了吗 | 风险 | 建议 |
|---|---|---|---|
| 4.7 不得允许绕过变更管理流程 (RFC) 的操作,例如启动或停止实例、创建 S3 存储桶或 RDS 实例等。只要在分配的角色范围内执行操作,开发者模式账户和自助服务预置模式服务 (SSP) 就可以获得豁免。 | 是。自助操作的目的允许您绕过 AMS RFC 系统执行操作。 |
安全访问模式是 AMS 的核心技术方面,用于控制台或编程访问的 IAM 用户可以规避这种访问控制。AMS 变更管理不监控 IAM 用户的访问权限。访问权限 CloudTrail 仅限登录。 | IAM 用户应有时间限制,并根据最低权限向其授予权限。 need-to-know |
AMS-STD-003:网络安全
| 标准 | 它坏了吗 | 风险 | 建议 |
|---|---|---|---|
| S2。 EC2 实例上的弹性 IP 只能与正式的风险接受协议或内部团队的有效用例一起使用。 | 是。自助操作允许您关联和取消关联弹性 IP 地址 (EIP)。 |
向实例添加弹性 IP 会使其暴露在互联网上。这增加了信息泄露和未经授权活动的风险。 | 通过安全组阻止任何不必要的流量进入该实例,并验证您的安全组是否与该实例相连,以确保该实例仅在出于业务原因需要时才允许流量。 |
| S14。可以允许属于同一客户的账户之间的 VPC 对等连接和终端节点连接。 | 是。无法通过 IAM 策略实现。 |
离开您的 AMS 账户的流量一旦超出账户边界,就不会受到监控。 | 我们建议仅与您拥有的 AMS 账户建立对等关系。如果您的用例需要这样做,请使用安全组和路由表来限制可以通过相关连接输出的流量范围、资源和类型。 |
| AMS 基础 AMIs 可以在 AMS 管理的账户和非托管账户之间共享,前提是我们可以验证它们归同一个组织所有。 AWS | AMIs 可能包含敏感数据,并且可能会泄露给非预期的帐户。 | 仅 AMIs 与您的组织拥有的账户共享,或者在组织外部共享之前验证用例和账户信息。 |
AMS-STD-007:日志记录
| 标准 | 它坏了吗 | 风险 | 建议 |
|---|---|---|---|
| 19. 任何日志都可以从一个 AMS 账户转发到同一客户的另一个 AMS 账户。 | 是。由于无法通过 IAM 策略验证客户账户属于同一个组织,因此客户日志可能不安全。 |
日志可能包含敏感数据,并且可能会泄露给非预期的帐户。 | 仅与组织管理的账户共享日志,或者在 AWS 组织外部共享之前验证用例和账户信息。我们可以通过多种方式进行验证,请咨询您的云服务交付经理 (CSDM)。 |
| 20。只有当非 AMS 账户归同一 AMS 客户所有(通过确认他们属于同一账户,或者将电子邮件域名与客户的公司名称和 PAYER 关联 AWS Organizations 账户进行匹配)时,才能使用内部工具将任何日志从 AMS 转发到非 AMS 账户。 |
与您的内部授权和身份验证团队合作,相应地控制直接更改模式角色的权限。
直接更改模式下的合规性
直接更改模式与生产和非生产工作负载兼容。您有责任确保遵守任何合规标准(例如 PHI、HIPAA、PCI),并确保直接变更模式的使用符合您的内部控制框架和标准。
