本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
多重身份验证
| 八大要点控制 | 实施指导 | AWS 资源 | AWS Well-Architected 指南 |
|---|---|---|---|
| 如果组织的用户向其组织面向互联网的服务进行身份验证,则使用多重身份验证。 | 主题 4:管理身份:实施身份联合验证 | Implement temporary elevated access to your AWS
environments |
SEC02-BP04 依赖集中式身份提供商 |
| 主题 4:管理身份:强制执行 MFA | SEC02-BP01 使用强大的登录机制 | ||
| 如果组织的用户向处理、存储或传输其组织敏感数据的面向互联网的第三方服务进行身份验证,则他们将使用多重身份验证。 | 请参阅实现多重身份验证 |
不适用 | 不适用 |
| 如果组织的用户向处理、存储或传输其组织非敏感数据的面向互联网的第三方服务进行身份验证,则他们将使用多重身份验证(可用时)。 | |||
| 如果非组织用户向组织面向互联网的服务进行身份验证,则默认情况下会启用多重身份验证(但用户可以选择退出)。 | |||
| 多重身份验证用于对系统的特权用户进行身份验证。 | 主题 4:管理身份:实施身份联合验证 | Implement temporary elevated access to your AWS
environments |
SEC02-BP04 依赖集中式身份提供商 |
| 主题 4:管理身份:强制执行 MFA | SEC02-BP01 使用强大的登录机制 | ||
| 多重身份验证用于对访问重要数据存储库的用户进行身份验证。 | 主题 4:管理身份:强制执行 MFA | 考虑要求对特定于服务的 API 操作进行 MFA | SEC02-BP01 使用强大的登录机制 |
| 多重身份验证可以抵抗验证者冒充攻击,它使用以下两种方式之一:一种是用户拥有的东西与用户知晓的信息相结合,或者是一种用户拥有的、但需要通过用户知晓的信息或用户固有的生物特征来解锁的东西 | 请参阅实现多重身份验证 |
不适用 | 不适用 |
| 成功和失败的多重身份验证会集中记录,防止未经授权的修改和删除,监控泄露迹象,并在检测到网络安全事件时采取行动。 | 主题 7:集中记录和监控:启用日志记录 主题 7:集中记录和监控:集中日志 |
将 CloudWatch 日志集中到账户中以进行审计和分析 Create an organisation-wide aggregator in AWS Config(AWS 博客文章) |
