本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 主题 5：建立数据边界
<a name="theme-5"></a>

**涵盖八大要点策略**  
限制管理权限

*数据边界*是 AWS 环境中的一组预防性护栏，可帮助确保只有可信身份才能访问来自预期网络的可信资源。这些护栏充当了永远在线的边界，有助于保护您在各种资源中的数据。 AWS 账户 这些组织范围的护栏并不能取代现有的精细访问控制。相反，它们通过确保所有 AWS Identity and Access Management (IAM) 用户、角色和资源都遵守一组定义的安全标准来帮助改善您的安全策略。

您可以使用禁止从组织边界之外进行访问的策略（通常是在 AWS Organizations中创建的）来建立数据边界。用于建立数据边界的三个主要边界授权条件是：
+ **可信身份** — 您内部的委托人（IAM 角色或用户） AWS 账户，或代表您 AWS 服务 行事。
+ **可信资源** — 属于您的资源 AWS 账户 或代表您管理的资源。 AWS 服务 
+ **预期的网络 —** 您的本地数据中心和虚拟私有云 (VPCs)，或者代表您 AWS 服务 行事的网络。

考虑在不同数据分类（例如 `OFFICIAL:SENSITIVE` 或 `PROTECTED`）或不同风险级别（例如开发、测试或生产）的环境之间实施数据边界。有关更多信息，请参阅 AWS（AWS 白皮书）[上的 “构建数据边界](https://docs.aws.amazon.com/whitepapers/latest/building-a-data-perimeter-on-aws/building-a-data-perimeter-on-aws.html)” 和 “[建立数据边界 AWS：概述](https://aws.amazon.com/blogs/security/establishing-a-data-perimeter-on-aws/)”（AWS 博客文章）。

## Well-Architecte AWS d Framework 中的相关最佳实践
<a name="theme-5-best-practices"></a>
+ [SEC03-BP05 为您的组织定义权限护栏](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_permissions_define_guardrails.html)
+ [SEC07-根据数据敏感度BP02 应用数据保护控制](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_data_classification_define_protection.html)

## 实现此主题
<a name="theme-5-implementation"></a>

### 实施身份控制
<a name="t5-identity-controls"></a>
+ **仅允许可信身份访问您的资源**：使用带有条件密钥 `aws:PrincipalOrgID` 和 `aws:PrincipalIsAWSService` 的[基于资源的策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_resource-based)。这只允许您所在 AWS 组织和来自的委托 AWS 人访问您的资源。
+ **仅允许来自您的网络的可信身份**：使用带有条件键 `aws:PrincipalOrgID` 和 `aws:PrincipalIsAWSService` 的 [VPC 端点策略](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html)。这只允许来自您的组织和来自您的 AWS 组织的委托人通过 VPC 终端节点访问服务。 AWS 

### 实施资源控制
<a name="t5-resource-controls"></a>
+ **仅允许您的身份访问可信资源-** 使用带有条件密钥的[服务控制策略 (SCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) `aws:ResourceOrgID`。这允许您的身份仅访问 AWS 组织中的资源。
+ **允许仅从您的网络访问可信资源**：使用带有条件键 `aws:ResourceOrgID` 的 VPC 端点策略。此设置允许您的身份仅通过属于您的 AWS 组织的 VPC 端点来访问服务。

### 实施网络控制
<a name="t5-network-controls"></a>
+ **允许身份仅从预期的网络访问资源**- SCPs 与条件密钥`aws:SourceIp`、`aws:SourceVpc``aws:SourceVpce`、和一起使用`aws:ViaAWSService`。这允许您的身份仅从预期的 IP 地址、、 VPCs、VPC 终端节点以及通过访问资源 AWS 服务。
+ **允许仅从预期的网络访问您的资源**：使用带有条件键 `aws:SourceIp`、`aws:SourceVpc`、`aws:SourceVpce`、`aws:ViaAWSService` 和 `aws:PrincipalIsAWSService` 的基于资源的策略。这仅允许从预期的、从预期的 IPs、从预期 VPCs的 VPC 终端节点 AWS 服务、通过或当主叫身份为时访问您的资源 AWS 服务。

## 监控此主题
<a name="theme-5-monitoring"></a>

### 监控策略
<a name="t5-monitor-policies"></a>
+ 实施审查机制 SCPs、IAM 策略和 VPC 终端节点策略

### 实施以下 AWS Config 规则
<a name="t5-cc-rules"></a>
+ `SERVICE_VPC_ENDPOINT_ENABLED`