View a markdown version of this page

限制管理权限 - AWS 规范性指导

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

限制管理权限

八大要点控制 实施指导 AWS 资源 AWS Well-Architected 指南
对系统和应用程序的特权访问请求会在首次请求时进行验证。 主题 4:管理身份:实施身份联合验证 要求人类用户通过与身份提供者联合身份验证,并使用临时凭证访问 AWS

SEC02-BP04 依赖集中式身份提供商

SEC03-BP01 定义访问要求

除非重新验证,否则对系统和应用程序的特权访问权限将在 12 个月后自动禁用。 主题 4:管理身份:实施身份联合验证 要求人类用户通过与身份提供者联合身份验证,并使用临时凭证访问 AWS SEC02-BP04 依赖集中式身份提供商
主题 4:管理身份:轮换凭证

要求工作负载使用 IAM 角色进行访问 AWS

自动删除未使用的 IAM 角色

对于需要长期凭证的用例,定期轮换访问密钥

AWS 2023 年澳新银行峰会:您的云端临时证书之旅(YouTube视频)

SEC02-定期BP05 审核和轮换证书
对系统和应用程序的特权访问权限将在 45 天非活动状态后自动禁用。

主题 4:管理身份:实施身份联合验证

主题 4:管理身份:轮换凭证

要求人类用户与身份提供商联合使用临时 AWS 证书进行访问

要求工作负载使用 IAM 角色进行访问 AWS

自动删除未使用的 IAM 角色

对于需要长期凭证的用例,定期轮换访问密钥

AWS 2023 年澳新银行峰会:您的云端临时证书之旅(YouTube视频)

SEC02-BP04 依赖集中式身份提供商

SEC02-定期BP05 审核和轮换证书

对系统和应用程序的特权访问权限仅限于用户和服务履行职责所需的权限。 主题 4:管理身份:应用最低权限许可

保护您的 root 用户凭证,不要将其用于日常任务

使用 IAM 访问分析器根据访问活动生成最低权限策略

使用 IAM Access Analyzer 验证公共和跨账户对资源的访问权限

使用 IAM 访问权限分析器验证您的 IAM 策略,以确保权限的安全性和功能性

跨多个账户建立权限防护栏

使用权限边界设置基于身份的策略可以授予的最大权限

使用 IAM 策略中的条件进一步限制访问权限

定期审查并删除未使用的用户、角色、权限、策略和证书

开始使用 AWS 托管策略,转向最低权限权限

使用 IAM Identity Center 中的权限集功能

SEC01-BP02 安全账户 root 用户和属性

SEC03-BP02 授予最低权限访问权限

禁止特权账户访问互联网、电子邮件和 Web 服务。 请参阅技术示例:限制管理权限(ACSC 网站) 考虑实施 SCP,以阻止还没有互联网访问权的任何 VPC 获取它 不适用
特权用户使用不同的特权和非特权操作环境。 主题 5:建立数据边界 建立数据边界。考虑在不同数据分类(例如 OFFICIAL:SENSITIVEPROTECTED)或不同风险级别(例如开发、测试或生产)的环境之间实施数据边界。 SEC06-BP03 减少手动管理和交互式访问
特权操作环境不会在非特权操作环境中进行虚拟化。
非特权账户无法登录到特权操作环境。
特权账户(不包括本地管理员账户)无法登录到非特权操作环境。
Just-in-time 管理用于管理系统和应用程序。 主题 4:管理身份:实施身份联合验证

要求人类用户与身份提供商联合使用临时 AWS 证书进行访问

对您的 AWS 环境实施临时提升访问权限(AWS 博客文章)

SEC02-BP04 依赖集中式身份提供商
管理活动通过跳转服务器进行。

主题 1:使用托管服务

主题 3:通过自动化管理可变基础设施:使用自动化而不是手动流程

使用会话管理器运行命令而不是直接访问 SSH 或 RDP

SEC01-BP05 缩小安全管理范围

SEC06-BP03 减少手动管理和交互式访问

本地管理员账户和服务账户的凭证是唯一的、不可预测的和托管的。 请参阅技术示例:限制管理权限(ACSC 网站) 不适用 不适用
Windows Defender Credential Guard 和 Windows Defender Remote Credential Guard 已启用。
特权访问的使用情况会集中记录并受到保护,防止未经授权的修改和删除,监控泄露迹象,并在检测到网络安全事件时采取行动。

主题 7:集中记录和监控:启用日志记录

主题 7:集中记录和监控:集中日志

使用 CloudWatch 代理将操作系统级别的日志发布到日志 CloudWatch

CloudTrail 为您的组织启用

将 CloudWatch 日志集中到账户中以进行审计和分析(AWS 博客文章)

集中管理 Amazon Inspector

集中管理 Security Hub CSPM

Create an organisation-wide aggregator in AWS Config(AWS 博客文章)

集中管理 GuardDuty

考虑使用 Amazon Security Lake

接收来自多个账户的 CloudTrail 日志

向日志归档账户发送日志

SEC04-BP01 配置服务和应用程序日志

SEC04-在标准化位置BP02 捕获日志、发现结果和指标

对特权账户和组的更改会集中记录并受到保护,防止未经授权的修改和删除,监控泄露迹象,并在检测到网络安全事件时采取行动。