本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
查看完善分阶段的使用案例示例
以下是完善分阶段的示例。这些示例在实践层面上更深入地探讨了不同业务目标的模型、工具和流程。
完善:威胁检测示例
侦测性控制的业务成果:提高云事件的可见性和检测速度,以降低风险并加快云资源的使用与开发。
工具:Assisted Log Enabler for AWS
示例使用案例:考虑下图所示的单账户使用案例。有些事件需要进一步调查。您不确定是否启用了日志记录。在这种情况下,最好的操作方法是使用进行试运行,Assisted Log Enabler以查看哪些服务已启用或禁用。 Assisted Log Enabler检查 AWS CloudTrail 跟踪、DNS 查询日志、VPC 流日志和其他日志。如果未启用,则将其Assisted Log Enabler启用。 Assisted Log Enabler可以检查所有内容并开启日志记录 AWS 区域。
您还可以根据需要提升或降低 Assisted Log Enabler 的限制。完成试运行、关闭活动并解决问题后,您发现不再需要此级别的日志记录。您可以快速清理部署以停止日志记录。此功能允许您使用 Assisted Log Enabler 作为分类工具。
以下是 Assisted Log Enabler for AWS 的主要功能:
-
您可以在单账户或多账户环境中运行它。
-
您可以使用它来建立登录环境的基准。
-
您可以使用试运行功能来检查当前状态并确定哪些服务启用了日志记录。
-
您可以选择要为哪些服务启用日志记录。
-
您可以根据自己的使用案例提升或降低 Assisted Log Enabler 的限制。
完善:IAM 示例
IAM 业务成果:自动实现可视性并根据最佳实践进行衡量,以持续降低风险、实现安全的外部连接,并快速预调配新用户和环境
工具:AWS Identity and Access Management Access Analyzer (IAM Access Analyzer)可帮助您识别与外部实体共享的资源,根据策略语法和最佳实践验证 IAM 策略,并根据历史访问活动生成 IAM 策略。我们强烈建议您在账户和组织级别启用 IAM Access Analyzer。
服务优点:IAM Access Analyzer 提供丰富的洞察调查发现。其可识别与外部实体共享的组织资源和帐户。它可以检测诸如公有 S3 存储桶、与其他账户 AWS KMS key 共享的存储桶或与外部账户共享的角色之类的资源,从而使您能够很好地识别不受组织控制的资源。其不仅可以验证 IAM 策略,还可以为您生成这些策略。
