身份和访问管理 - AMS 高级用户指南
多账户登录区 (MALZ) IAM 保护措施亚马逊 Inspector 安全AMS 多账号 landing zone EPS 非默认设置AMS 护栏MALZ 服务控制策略

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

身份和访问管理

AWS Identity and Access Management (IAM) 是一项 Web 服务,可帮助您安全地控制对 AWS 资源的访问。可以使用 IAM 来控制谁通过了身份验证(准许登录)并获得授权(具有相应权限)来使用资源。在 AMS 入职期间,您负责在每个托管账户中创建跨账户 IAM 管理员角色。

多账户登录区 (MALZ) IAM 保护措施

AMS 多账户登陆区 (MALZ) 要求将 Active Directory (AD) 信任作为AMS访问管理的主要设计目标,以允许每个组织(包括AMS和客户)管理自己的身份的生命周期。这样就无需在彼此的目录中拥有凭证。配置了单向信任,以便其中的托管 Active Directory AWS 账户 信任客户拥有或托管 AD 来对用户进行身份验证。由于信任只是一种方式,因此并不意味着客户活动目录信任托管 AD。

在此配置中,管理用户身份的客户目录称为用户林,Amazon EC2 实例所连接的托管 AD 称为资源林。这是 Microsoft 常用的用于 Windows 身份验证的设计模式;有关更多信息,请参阅森林设计模型。

这种模式允许两个组织自动执行各自的生命周期,并允许 AMS 和您在员工离开组织时快速撤消访问权限。如果没有这种模式,如果两个组织都使用公共目录(或 users/groups 在彼此的目录中创建),那么两个组织都必须投入额外的工作流程和用户同步,以考虑员工的起步和离职情况。这会带来风险,因为该过程存在延迟并且容易出错。

MALZ 访问权限的先决条件

MALZ 身份提供商集成,用于访问 AWS/AMS 控制台、CLI、SDK。

身份提供商与 AWS IAM、和 AMS 之间的关系变更管理。 AWS Management Console

对您的 AMS 账户中的 Amazon EC2 实例进行单向信任。

信任的方向是单向的:从您的Amazon EC2 实例到您组织的Active Directory域。

亚马逊 Inspector 安全

Amazon Inspector 服务监控 AMS 管理的堆栈的安全。Amazon Inspector 是一项自动安全评估服务,可帮助识别部署在其上的基础设施在安全与合规方面的差距 AWS。Amazon Inspector 安全评估使您能够通过检查您的亚马逊实例中是否存在意想不到的网络可访问性和漏洞,自动评估堆栈的漏洞、漏洞以及与最佳实践的偏差。 EC2 执行评估后,Amazon Inspector 将生成按严重性级别优先排序的安全调查发现详细列表。Amazon Inspector 评估以预定义规则包的形式提供,这些规则包与常见的安全最佳实践和定义相对应。这些规则由 AWS 安全研究人员定期更新。有关 Amazon Inspector 的更多信息,请访问亚马逊 Inspector

AMS 亚马逊 Inspector FAQs

  • 我的 AMS 账户是否默认安装了 Amazon Inspector?

    不是。 Amazon Inspector 不是默认 AMI 版本或工作负载摄取的一部分。

  • 如何访问和安装 Amazon Inspector?

    向 Inspector 提交 RFC(管理 | 其他 | 其他 | 创建)以申请账户访问和安装,AMS 运营团队将修改 Customer_ ReadOnly _Role 以提供 Amazon Inspector 控制台访问权限(没有 SSM 访问权限)。

  • 我想要评估的所有亚马逊 EC2 实例上都必须安装 Amazon Inspector 代理吗?

    不需要,使用网络可访问性规则包的 Amazon Inspector 评估可以在没有代理的情况下运行任何亚马逊 EC2 实例。主机评估规则包需要代理。有关代理安装的更多信息,请参阅安装 Amazon Inspector 代理

  • 这项服务需要额外费用吗?

    是。Amazon Inspector 的定价可以在亚马逊 Inspector 定价网站上找到。

  • Amazon Inspector 的发现是什么?

    调查结果是指在 Amazon Inspector 对所选评估目标进行评估期间发现的潜在安全问题。调查结果显示在 Amazon Inspector 控制台或 API 中,其中包含对安全问题的详细描述和解决这些问题的建议。

  • Amazon Inspector 评估报告是否可用?

    是。评估报告是一种文档,用于详细介绍评估运行的测试内容和评估结果。评估结果采用标准报告格式,可用于在团队内部分享实施修正措施的结果,丰富合规性审计数据,或存储以供将来参考。成功完成评估后,可以为评估运行生成 Amazon Inspector 评估报告。

  • 我能否使用标签来识别我要针对哪些堆栈运行 Amazon Inspector 报告?

    是。

  • AMS 运营团队能否获得 Amazon Inspector 的评估结果?

    是。任何有权访问 AWS 中的 Amazon Inspector 控制台的人都可以查看调查结果和评估报告。

  • AMS 运营团队会根据亚马逊 Inspector 报告的调查结果提出建议或采取行动吗?

    不是。 如果您想根据 Amazon Inspector 报告的调查结果进行更改,则必须通过 RFC(管理 | 其他 | 其他 | 其他 | 更新)申请更改。

  • 当我运行 Amazon Inspector 报告时,AMS 会收到通知吗?

    当您申请 Amazon Inspector 访问权限时,运行 RFC 的 AMS 操作员会将请求通知您的 CSDM。

有关更多信息,请参阅 Amazon Inspector FAQs

AMS 多账号 landing zone EPS 非默认设置

此部分已被删除,因为它包含与 AMS 安全相关的敏感信息。此信息可通过 AMS 控制台文档获得。要访问 AWS Artifact,您可以联系您的 CSDM 获取说明或前往 AWS Artifact 入门

AMS 护栏

护栏是一项高级规则,可为您的整个 AMS 环境提供持续治理。

此部分已被删除,因为它包含与 AMS 安全相关的敏感信息。此信息可通过 AMS 控制台文档获得。要访问 AWS Artifact,您可以联系您的 CSDM 获取说明或前往 AWS Artifact 入门

MALZ 服务控制策略

此部分已被删除,因为它包含与 AMS 安全相关的敏感信息。此信息可通过 AMS 控制台文档获得。要访问 AWS Artifact,您可以联系您的 CSDM 获取说明或前往 AWS Artifact 入门