# SEC08-BP04 强制实施访问控制
为了帮助保护静态数据,请使用隔离和版本控制等机制强制实施访问控制,并应用最低权限原则。防止允许公众访问您的数据。
**期望结果:**验证只有获得授权的用户才能按照“需要知晓”的原则访问数据。通过定期备份和版本控制来保护您的数据,防止数据被有意或无意地修改或删除。将关键数据与其他数据隔离,以保护其机密性和数据完整性。
**常见反模式:**
+ 将具有不同敏感度要求或分类的数据存储在一起。
+ 解密密钥的权限过于宽松。
+ 数据分类不当。
+ 不保留重要数据的详细备份。
+ 提供对生产数据的持久访问。
+ 未审计数据访问,也未定期检查权限
**在未建立这种最佳实践的情况下暴露的风险等级:**低
## 实施指导
多项控制措施可以帮助保护静态数据,包括访问(使用最低权限)、隔离和版本控制。您应使用检测性机制(例如 AWS CloudTrail)和服务级别日志(例如 Amazon Simple Storage Service(Amazon S3)访问日志),审计对您的数据进行的访问。您应清点可公开访问的数据,并制定一份计划,以便随着时间的推移减少公开可用的数据量。
Amazon Glacier 文件库锁定和 Amazon S3 对象锁定可为 Amazon S3 中的对象提供强制访问控制 – 利用合规性选项锁定文件库策略之后,在锁定过期之前,即使根用户也无法对其进行更改。
### 实施步骤
+ **强制实施访问控制**:强制实施最低权限访问控制,包括对加密密钥的访问。
+ **根据不同分类级别隔离数据**:针对数据分类级别使用不同的 AWS 账户,并使用 [AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html) 管理这些账户。
+ **查看 AWS Key Management Service(AWS KMS)策略**:[查看 AWS KMS 策略中授予的访问级别](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html)。
+ **查看 Amazon S3 存储桶和对象权限**:定期查看 S3 存储桶策略中授予的访问级别。最佳做法是避免使用可公开读取或写入的存储桶。考虑使用 [AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/managed-rules-by-aws-config.html) 检测可公开访问的存储桶,并使用 Amazon CloudFront 提供 Amazon S3 中的内容。验证正确配置了不允许公开访问的存储桶,以防止公开访问。默认情况下,所有 S3 存储桶都是私有的,只有被明确授予访问权限的用户才可以访问。
+ **启用 [AWS IAM Access Analyzer](https://docs.aws.amazon.com//latest/UserGuide/what-is-access-analyzer.html):**IAM Access Analyzer 可对 Amazon S3 存储桶进行分析,并在 [S3 策略授予外部实体访问权限](https://docs.aws.amazon.com//latest/UserGuide/access-analyzer-resources.html#access-analyzer-s3)时生成结果。
+ **在适当情况下启用 [Amazon S3 版本控制](https://docs.aws.amazon.com/AmazonS3/latest/userguide/Versioning.html)和[对象锁定](https://docs.aws.amazon.com/AmazonS3/latest/userguide/object-lock.html)**。
+ **使用 [Amazon S3 清单](https://docs.aws.amazon.com/AmazonS3/latest/dev/storage-inventory.html)**:Amazon S3 清单可用来审计和报告 S3 对象的复制和加密状态。
+ **查看 [Amazon EBS](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ebs-modifying-snapshot-permissions.html) 和 [AMI 共享](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/sharing-amis.html)权限**:共享权限将使得镜像和卷能够与您的工作负载外部的 AWS 账户共享。
+ **查看 [AWS Resource Access Manager](https://docs.aws.amazon.com/ram/latest/userguide/what-is.html):定期共享,以确定是否应继续共享资源。** 您可以通过 Resource Access Manager 在您的 Amazon VPC 内共享资源,如 AWS Network Firewall 策略、Amazon Route 53 解析器规则和子网。定期审计共享资源,停止共享不再需要共享的资源。
## 资源
**相关最佳实践:**
+ [SEC03-BP01 定义访问要求](sec_permissions_define.md)
+ [SEC03-BP02 授予最低访问权限](sec_permissions_least_privileges.md)
**相关文档:**
+ [AWS KMS 加密详情白皮书](https://docs.aws.amazon.com/kms/latest/cryptographic-details/intro.html)
+ [管理对 Amazon S3 资源的访问权限简介](https://docs.aws.amazon.com/AmazonS3/latest/dev/intro-managing-access-s3-resources.html)
+ [管理对 AWS KMS 资源的访问权限概览](https://docs.aws.amazon.com/kms/latest/developerguide/control-access-overview.html)
+ [AWS Config 规则](https://docs.aws.amazon.com/config/latest/developerguide/managed-rules-by-aws-config.html)
+ [Amazon S3 \+ Amazon CloudFront:云中的天作之合](https://aws.amazon.com/blogs/networking-and-content-delivery/amazon-s3-amazon-cloudfront-a-match-made-in-the-cloud/)
+ [使用版本控制](https://docs.aws.amazon.com/AmazonS3/latest/dev/Versioning.html)
+ [使用 Amazon S3 对象锁定来锁定对象](https://docs.aws.amazon.com/AmazonS3/latest/dev/object-lock.html)
+ [共享 Amazon EBS 快照](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ebs-modifying-snapshot-permissions.html)
+ [已共享的 AMI](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/sharing-amis.html)
+ [在 Amazon S3 上托管单页应用程序](https://docs.aws.amazon.com/prescriptive-guidance/latest/patterns/deploy-a-react-based-single-page-application-to-amazon-s3-and-cloudfront.html)
**相关视频:**
+ [在 AWS 上保护您的数据块存储](https://youtu.be/Y1hE1Nkcxs8)