本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 主题 1：使用托管服务
<a name="theme-1"></a>

**涵盖八大要点策略**  
修补应用程序、限制管理权限、修补操作系统

托管服务允许 AWS 您管理一些安全任务，例如修补和漏洞管理，从而帮助您减少合规义务。

如[AWS 分担责任模型](australian-sec-compliance.md#shared-model)本节所述，您与您共同 AWS 负责云安全与合规性。这可以减轻您的运营负担，因为可以 AWS 操作、管理和控制组件，从主机操作系统和虚拟化层到服务运行设施的物理安全。

您的职责可能包括管理托管服务（例如亚马逊关系数据库服务 (Amazon RDS) 或 Amazon Redshift）的维护窗口，以及扫描 AWS Lambda 代码或容器映像中的漏洞。与本指南中的所有主题一样，您也保留监控和合规报告的责任。您可以使用 [Amazon Inspector](https://docs.aws.amazon.com/inspector/latest/user/what-is-inspector.html) 报告您的所有 AWS 账户中的漏洞。您可以使用中的规则 AWS Config 来确保诸如 Amazon RDS 和 Amazon Redshift 之类的服务已启用次要更新和维护窗口。

例如，如果您运行 Amazon EC2 实例，则您的责任包括：
+ 应用程序控制
+ 修补应用程序
+ 将管理权限限制在 Amazon EC2 控制面板和操作系统（OS）
+ 修补操作系统
+ 强制执行多因素身份验证 (MFA) 以访问控制平面 AWS 和操作系统
+ 备份数据和配置

而如果您运行 Lambda 函数，则您的责任就会减少，包括：
+ 应用程序控制
+ 确认图书馆是 up-to-date
+ 将管理权限限制为 Lambda 控制面板
+ 强制 MFA 访问控制平面 AWS 
+ 备份 Lambda 函数代码和配置

## Well-Architecte AWS d Framework 中的相关最佳实践
<a name="theme-1-best-practices"></a>
+ [SEC01-BP05 缩小安全管理范围](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_securely_operate_reduce_management_scope.html)

## 实现此主题
<a name="theme-1-implementation"></a>

### 启用修补
<a name="t1-enable-patching"></a>
+ [应用 Amazon RDS 更新](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_UpgradeDBInstance.Maintenance.html)
+ [在中启用托管更新 AWS Elastic Beanstalk](https://docs.aws.amazon.com/elasticbeanstalk/latest/dg/environment-platform-update-managed.html)
+ [注意 Amazon Redshift 集群维护时段](https://docs.aws.amazon.com/redshift/latest/mgmt/working-with-clusters.html#rs-cluster-maintenance)

### 扫描漏洞
<a name="t1-scan-vulnerabilities"></a>
+ [使用 Amazon Inspector 扫描 Amazon Elastic Container Registry（Amazon ECR）容器映像](https://docs.aws.amazon.com/inspector/latest/user/scanning-ecr.html)
+ [使用 Amazon Inspector 扫描 Lambda 函数](https://docs.aws.amazon.com/inspector/latest/user/scanning-lambda.html)

## 监控此主题
<a name="theme-1-monitoring"></a>

### 实施治理检查
<a name="t1-gov-checks"></a>
+ 在 [ACSC Essential 8 一致性包中启用《运营最佳实践](https://docs.aws.amazon.com/config/latest/developerguide/operational-best-practices-for-acsc_essential_8.html)》 AWS Config

### 监控 Amazon Inspector
<a name="t1-inspector"></a>
+ [评测账户级别的覆盖率](https://docs.aws.amazon.com/inspector/latest/user/assessing-coverage.html#viewing-coverage-accounts)
+ [管理多个账户](https://docs.aws.amazon.com/inspector/latest/user/managing-multiple-accounts.html)

### 实施以下 AWS Config 规则
<a name="t1-config"></a>
+ `RDS_AUTOMATIC_MINOR_VERSION_UPGRADE_ENABLED`
+ `ELASTIC_BEANSTALK_MANAGED_UPDATES_ENABLED`
+ `REDSHIFT_CLUSTER_MAINTENANCESETTINGS_CHECK`
+ `EC2_MANAGEDINSTANCE_PATCH_COMPLIANCE_STATUS_CHECK`
+ `EKS_CLUSTER_SUPPORTED_VERSION`