主题 5：建立数据边界

涵盖八大要点策略

限制管理权限

数据边界是 AWS 环境中的一组预防性护栏，可帮助确保只有可信身份才能访问来自预期网络的可信资源。这些护栏充当了永远在线的边界，有助于保护您在各种资源中的数据。 AWS 账户这些组织范围的护栏并不能取代现有的精细访问控制。相反，它们通过确保所有 AWS Identity and Access Management (IAM) 用户、角色和资源都遵守一组定义的安全标准来帮助改善您的安全策略。

您可以使用禁止从组织边界之外进行访问的策略（通常是在 AWS Organizations中创建的）来建立数据边界。用于建立数据边界的三个主要边界授权条件是：

可信身份 — 您内部的委托人（IAM 角色或用户） AWS 账户，或代表您 AWS 服务行事。
可信资源 — 属于您的资源 AWS 账户或代表您管理的资源。 AWS 服务
预期的网络 — 您的本地数据中心和虚拟私有云 (VPCs)，或者代表您 AWS 服务行事的网络。

考虑在不同数据分类（例如 OFFICIAL:SENSITIVE 或 PROTECTED）或不同风险级别（例如开发、测试或生产）的环境之间实施数据边界。有关更多信息，请参阅 AWS（AWS 白皮书）上的 “构建数据边界” 和 “建立数据边界 AWS：概述”（AWS 博客文章）。

Well-Architecte AWS d Framework 中的相关最佳实践

实现此主题

实施身份控制

仅允许可信身份访问您的资源：使用带有条件密钥 aws:PrincipalOrgID 和 aws:PrincipalIsAWSService 的基于资源的策略。这只允许您所在 AWS 组织和来自的委托 AWS 人访问您的资源。
仅允许来自您的网络的可信身份：使用带有条件键 aws:PrincipalOrgID 和 aws:PrincipalIsAWSService 的 VPC 端点策略。这只允许来自您的组织和来自您的 AWS 组织的委托人通过 VPC 终端节点访问服务。 AWS

实施资源控制

仅允许您的身份访问可信资源- 使用带有条件密钥的服务控制策略 (SCPs) aws:ResourceOrgID。这允许您的身份仅访问 AWS 组织中的资源。
允许仅从您的网络访问可信资源：使用带有条件键 aws:ResourceOrgID 的 VPC 端点策略。此设置允许您的身份仅通过属于您的 AWS 组织的 VPC 端点来访问服务。

实施网络控制

允许身份仅从预期的网络访问资源- SCPs 与条件密钥aws:SourceIp、aws:SourceVpcaws:SourceVpce、和一起使用aws:ViaAWSService。这允许您的身份仅从预期的 IP 地址、、 VPCs、VPC 终端节点以及通过访问资源 AWS 服务。
允许仅从预期的网络访问您的资源：使用带有条件键 aws:SourceIp、aws:SourceVpc、aws:SourceVpce、aws:ViaAWSService 和 aws:PrincipalIsAWSService 的基于资源的策略。这仅允许从预期的、从预期的 IPs、从预期 VPCs的 VPC 终端节点 AWS 服务、通过或当主叫身份为时访问您的资源 AWS 服务。

监控此主题

监控策略

实施审查机制 SCPs、IAM 策略和 VPC 终端节点策略

实施以下 AWS Config 规则

SERVICE_VPC_ENDPOINT_ENABLED

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

文档惯例

主题 4：身份