本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
限制管理权限
| 八大要点控制 | 实施指导 | AWS 资源 | AWS Well-Architected 指南 |
|---|---|---|---|
| 对系统和应用程序的特权访问请求会在首次请求时进行验证。 | 主题 4:管理身份:实施身份联合验证 | 要求人类用户通过与身份提供者联合身份验证,并使用临时凭证访问 AWS | |
| 除非重新验证,否则对系统和应用程序的特权访问权限将在 12 个月后自动禁用。 | 主题 4:管理身份:实施身份联合验证 | 要求人类用户通过与身份提供者联合身份验证,并使用临时凭证访问 AWS | SEC02-BP04 依赖集中式身份提供商 |
| 主题 4:管理身份:轮换凭证 | AWS 2023 年澳新银行峰会:您的云端临时证书之旅 |
SEC02-定期BP05 审核和轮换证书 | |
| 对系统和应用程序的特权访问权限将在 45 天非活动状态后自动禁用。 | 主题 4:管理身份:实施身份联合验证 主题 4:管理身份:轮换凭证 |
AWS 2023 年澳新银行峰会:您的云端临时证书之旅 |
|
| 对系统和应用程序的特权访问权限仅限于用户和服务履行职责所需的权限。 | 主题 4:管理身份:应用最低权限许可 | 使用 IAM Access Analyzer 验证公共和跨账户对资源的访问权限 |
|
| 禁止特权账户访问互联网、电子邮件和 Web 服务。 | 请参阅技术示例:限制管理权限 |
考虑实施 SCP,以阻止还没有互联网访问权的任何 VPC 获取它 | 不适用 |
| 特权用户使用不同的特权和非特权操作环境。 | 主题 5:建立数据边界 | 建立数据边界。考虑在不同数据分类(例如 OFFICIAL:SENSITIVE 或 PROTECTED)或不同风险级别(例如开发、测试或生产)的环境之间实施数据边界。 |
SEC06-BP03 减少手动管理和交互式访问 |
| 特权操作环境不会在非特权操作环境中进行虚拟化。 | |||
| 非特权账户无法登录到特权操作环境。 | |||
| 特权账户(不包括本地管理员账户)无法登录到非特权操作环境。 | |||
| Just-in-time 管理用于管理系统和应用程序。 | 主题 4:管理身份:实施身份联合验证 | 对您的 AWS
环境实施临时提升访问权限 |
SEC02-BP04 依赖集中式身份提供商 |
| 管理活动通过跳转服务器进行。 | 主题 3:通过自动化管理可变基础设施:使用自动化而不是手动流程 |
||
| 本地管理员账户和服务账户的凭证是唯一的、不可预测的和托管的。 | 请参阅技术示例:限制管理权限 |
不适用 | 不适用 |
| Windows Defender Credential Guard 和 Windows Defender Remote Credential Guard 已启用。 | |||
| 特权访问的使用情况会集中记录并受到保护,防止未经授权的修改和删除,监控泄露迹象,并在检测到网络安全事件时采取行动。 | 主题 7:集中记录和监控:启用日志记录 主题 7:集中记录和监控:集中日志 |
使用 CloudWatch 代理将操作系统级别的日志发布到日志 CloudWatch 将 CloudWatch 日志集中到账户中以进行审计和分析 Create an organisation-wide aggregator in AWS Config(AWS 博客文章) |
|
| 对特权账户和组的更改会集中记录并受到保护,防止未经授权的修改和删除,监控泄露迹象,并在检测到网络安全事件时采取行动。 |