本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
查看成熟阶段的用例示例
以下是成熟阶段的示例。这些示例在实践层面上更深入地探讨了不同业务目标的模型、工具和流程。
成熟:威胁检测示例
侦探控制的业务成果:提高云事件的可见性和检测速度,以降低风险并加快云资源的使用和开发。
Tool: Assisted Log Enabler for AWS
示例用例:考虑下图中描述的单一账户用例。有些事件需要进一步调查。您不确定是否启用了日志记录。在这种情况下,最好的操作方法是使用进行试运行,Assisted Log Enabler以查看哪些服务已启用或禁用。 Assisted Log Enabler检查 AWS CloudTrail 跟踪、DNS 查询日志、VPC 流日志和其他日志。如果未启用,则将其Assisted Log Enabler启用。 Assisted Log Enabler可以检查所有内容并开启日志记录 AWS 区域。
你也可以向Assisted Log Enabler上或向下油门。完成试运行、关闭活动并解决问题后,您意识到不再需要此级别的日志记录。您可以快速清理部署以停止日志记录。此功能允许您Assisted Log Enabler用作分类工具。
以下是以下的主要特点Assisted Log Enabler for AWS:
-
您可以在单账户或多账户环境中运行它。
-
您可以使用它来建立登录环境的基准。
-
您可以使用试运行功能来检查当前状态并确定哪些服务启用了日志记录。
-
您可以选择要为哪些服务启用日志记录。
-
您可以根据自己的用例向Assisted Log Enabler上或向下调节。
成熟:IAM 示例
IAM 业务成果:自动实现可视性并根据最佳实践进行衡量,以持续降低风险,实现安全的外部连接,并快速配置新用户和环境
工具:AWS Identity and Access Management Access Analyzer (IAM Access Analyzer)可帮助您识别与外部实体共享的资源,根据策略语法和最佳实践验证 IAM 策略,并根据历史访问活动生成 IAM 策略。我们强烈建议您在账户和组织级别启用 IAM Access Analyzer。
服务优势:IAM Access Analyzer 提供了大量有见地的发现。它可以识别与外部实体共享的组织资源和帐户。它可以检测诸如公有 S3 存储桶、与其他账户 AWS KMS key 共享的存储桶或与外部账户共享的角色之类的资源,从而使您能够很好地识别不受组织控制的资源。它不仅可以验证 IAM 策略,还可以为您生成这些策略。
