使用資料周邊建立許可防護機制
資料周邊防護機制旨在做為永遠在線的界限,協助保護跨各種 AWS 帳戶和資源的資料。資料周邊遵循 IAM 安全最佳實務,跨多個帳戶建立許可防護機制。這些全組織的許可防護機制不會取代您現有的精細存取控制。相反地,它們用作粗略的存取控制,透過確保使用者、角色和資源遵守一組定義的安全標準,協助改善您的安全策略。
資料周邊是 AWS 環境中的一組許可防護機制,可協助確保只有您信任的身分才能從預期的網路存取信任的資源。
-
信任的身分:AWS 帳戶和代表您行事的 AWS 服務中的主體 (IAM 角色或使用者)。
-
信任的資源:由 AWS 帳戶或代表您行事的 AWS 服務所擁有的資源。
-
預期的網路:您的內部部署資料中心和虛擬私有雲端 (VPC),或代表您行事的 AWS 服務網路。
注意
在某些情況下,您可能需要擴展資料周邊,以納入信任的業務合作夥伴的存取權。當建立特定於您的公司和您使用 AWS 服務的信任的身分、信任的資源和預期的網路之定義時,應當考慮所有預期的資料存取模式。
資料周邊控制應視為資訊安全和風險管理計畫中的任何其他安全控制。這表示您應該執行威脅分析,以識別雲端環境中的潛在風險,然後根據您自己的風險接受標準,選取並實作適當的資料周邊控制。為了更清楚地了解資料周邊實作的反覆風險型方法,您需要了解資料周邊控制以及您的安全優先事項會解決哪些安全風險和威脅向量。
資料周邊控制
資料周邊粗略控制透過實作不同的政策類型和條件索引鍵組合,協助您跨三個資料周邊達成六個不同的安全目標。
| 周邊 | 控制目標 | 使用 | 套用至 | 全域條件內容索引鍵 |
|---|---|---|---|---|
Identity |
只有信任的身分可以存取我的資源 |
RCP |
資源 |
aws:PrincipalOrgID aws:PrincipalOrgPaths aws:PrincipalAccount aws:PrincipalIsAwsService aws:SourceOrgID aws:SourceOrgPath aws:SourceAccount |
我的網路只允許信任的身分 |
VPC 端點政策 |
網路 |
||
資源 |
您的身分只能存取信任的資源 |
SCP |
身分 |
aws:ResourceOrgID aws:ResourceOrgPaths aws:ResourceAccount |
從您的網路只能存取信任的資源 |
VPC 端點政策 |
網路 |
||
網路 |
您的身分只能從預期的網路存取資源 |
SCP |
身分 |
aws:SourceIp aws:SourceVpc aws:SourceVpce aws:VpceAccount aws:VpceOrgPaths aws:VpceOrgID aws:ViaAWSService aws:PrincipalIsAwsService |
您的資源只能從預期的網路存取 |
RCP |
資源 |
您可以將資料周邊視為在資料周圍建立堅實的界限,以防止意外存取模式。雖然資料周邊可以防止廣泛的意外存取,但您仍需要做出精細的存取控制決策。建立資料周邊並不會減少透過使用 IAM Access Analyzer 等工具作為最低權限旅程的一部分來持續微調許可的需求。
若要對 RCP 目前不支援的資源強制執行資料周邊控制,可以使用直接連接到資源的資源型政策。如需支援 RCP 和資源型政策的服務清單,請參閱 Resource control policies (RCPs) 和 可搭配 IAM 運作的 AWS 服務。
若要強制執行網路周邊控制,建議您僅在要限制存取的所有服務目前都受支援的情況下才使用 aws:VpceOrgID、aws:VpceOrgPaths 和 aws:VpceAccount。將這些條件索引鍵用於不受支援的服務,可能會導致意外的授權結果。如需支援這些索引鍵的服務清單,請參閱 AWS 全域條件內容鍵。如果您需要對更廣泛的服務強制執行這些控制,請考慮改用 aws:SourceVpc 和 aws:SourceVpce。
身分周邊
身分周邊是一組粗略的預防性存取控制,可協助確保只有信任的身分可以存取您的資源,並且只允許來自您網路的信任的身分。受信任身分通常包括 AWS 帳戶中的主體 (角色或使用者),以及代表您執行動作的 AWS 服務。除非授予明確的例外狀況,否則所有其他身分都會被視為不受信任,且會受到身分周邊的阻止。
下列全域條件索引鍵有助於根據您對受信任身分的定義來強制執行身分周邊控制。在資源控制政策中使用這些索引鍵來限制對資源的存取,或在 VPC 端點政策中使用這些索引鍵來限制對網路的存取。
您擁有的身分
您可以使用下列條件索引鍵來定義您在 AWS 帳戶中建立和管理的 IAM 主體。
-
aws:PrincipalOrgID – 您可以使用此條件索引鍵,確保提出請求的 IAM 主體屬於 AWS Organizations 中指定的組織。
-
aws:PrincipalOrgPaths – 您可以使用此條件索引鍵來確保發出請求的 IAM 使用者、IAM 角色、AWS STS 聯合身分使用者主體、SAML 聯合身分主體、OIDC 聯合身分主體或 AWS 帳戶根使用者 屬於 AWS Organizations 中的指定組織單位。
-
aws:PrincipalAccount – 您可以使用此條件索引鍵,確保只有您在政策中指定的主體帳戶才能存取資源。
代表您執行動作的 AWS 服務的身分
您可以使用下列條件索引鍵允許 AWS 服務在代表您執行動作時,使用自己的身分來存取您的資源。
-
aws:PrincipalIsAWSService 和 aws:SourceOrgID (或 aws:SourceOrgPaths 和 aws:SourceAccount) – 您可以使用這些條件索引鍵來確保當 AWS 服務主體存取您的資源時,它們只能代表指定組織、組織單位或 AWS Organizations 中帳戶的資源來執行此操作。
如需詳細資訊,請參閱在 AWS 上建立資料周邊:僅允許可信身分存取公司資料
資源周邊
資源周邊是一組粗略的預防性存取控制,可協助確保您的身分只能存取信任的資源,而且只能從您的網路存取信任的資源。受信任資源通常包括由 AWS 帳戶或代表您執行動作的 AWS 服務擁有的資源。
下列全域條件索引鍵有助於根據您對受信任資源的定義來強制執行資源周邊控制。在服務控制政策 (SCP) 中使用這些索引鍵來限制您的身分可以存取的資源,或在 VPC 端點政策中使用這些索引鍵來限制可以從您的網路存取的資源。
您擁有的資源
您可以使用下列條件索引鍵來定義您在 AWS 帳戶中建立和管理的 AWS 資源。
-
aws:ResourceOrgID – 您可以使用此條件索引鍵,確保所存取的資源屬於 AWS Organizations 中指定的組織。
-
aws:ResourceOrgPaths – 您可以使用此條件索引鍵,確保所存取的資源屬於 AWS Organizations 中指定的組織單位 (OU)。
-
aws:ResourceAccount – 您可以使用此條件索引鍵來確保所存取的資源屬於指定 AWS 帳戶中的資源。
代表您執行動作的 AWS 服務的資源
在某些情況下,您可能需要允許存取 AWS 擁有的資源、不屬於您組織的資源,以及您的主體或代表您行事的 AWS 服務所存取的資源。如需這些案例的詳細資訊,請參閱 Establishing a data perimeter on AWS: Allow only trusted resources from my organization
網路周邊
網路周邊是一組粗略的預防性存取控制,可協助確保您的身分只能從預期的網路存取資源,而且只能從預期的網路存取您的資源。預期網路通常包括您內部部署的資料中心和虛擬私有雲端 (VPC),以及代表您執行動作的 AWS 服務的網路。
下列全域條件索引鍵有助於根據您對預期網路的定義來強制執行網路周邊控制。在服務控制政策 (SCP) 中使用這些索引鍵來限制您的身分可以通訊的網路,或在資源控制政策 (RCP) 中使用這些索引鍵來限制對預期網路的資源存取。
您擁有的網路
您可以使用下列條件索引鍵來定義員工和應用程式預期用來存取資源的網路,例如您的公司 IP CIDR 範圍和 VPC。
-
aws:SourceIp – 您可以使用此條件索引鍵,確保請求者的 IP 位址位於指定的 IP 範圍內。
-
aws:SourceVpc – 您可以使用此條件索引鍵,確保請求通過的 VPC 端點屬於指定的 VPC。
-
aws:SourceVpce – 您可以使用此條件索引鍵,確保請求通過指定的 VPC 端點。
-
aws:VpceAccount – 您可以使用此條件索引鍵來確保請求是透過指定 AWS 帳戶擁有的 VPC 端點發出。
-
aws:VpceOrgPaths – 您可以使用此條件索引鍵來確保發出請求的 IAM 主體屬於 AWS Organizations 中指定的組織單位。
-
aws:VpceOrgID – 您可以使用此條件索引鍵來確保請求是透過 AWS Organizations 中指定組織中帳戶擁有的 VPC 端點發出。
aws:VpceAccount、aws:VpceOrgPaths 和 aws:VpceOrgID 尤其適用於實作隨著 VPC 端點用量自動擴展的網路周邊控制,而無需在建立新端點時更新政策。如需支援這些索引鍵的 AWS 服務清單,請參閱 AWS 全域條件內容鍵。
代表您執行動作的 AWS 服務的網路
您可以使用下列條件索引鍵允許 AWS 服務在代表您執行動作時從其網路存取您的資源。
-
aws:ViaAWSService – 您可以使用此條件索引鍵,確保 AWS 服務可以使用轉送存取工作階段 (FAS) 代表您的主體提出請求。
-
aws:PrincipalIsAWSService – 您可以使用此條件索引鍵,確保 AWS 服務可以使用 AWS 服務主體存取您的資源。
在另外一些案例中,您需要允許存取 AWS 服務,這些服務從您的網路外部存取您的資源。如需詳細資訊,請參閱 Establishing a data perimeter on AWS: Allow access to company data only from expected networks
進一步了解資料周邊的資源
下列資源可協助您進一步了解跨 AWS 的資料周邊。
-
AWS 上的資料周邊
– 了解資料周邊及其優點和使用案例。 -
部落格文章系列:在 AWS 上建立資料周邊
– 這些部落格文章涵蓋了有關大規模建立資料周邊的方案指引,包括關鍵的安全和實作考量。 -
資料周邊政策範例
– 此 GitHub 儲存庫包含的範例政策涵蓋了一些常見模式,可協助您在 AWS 上實作資料周邊。 -
資料周邊協助程式
– 此工具可協助您透過分析 AWS CloudTrail 日誌中的存取活動,來設計和預測資料周邊控制的影響。
