使用資料周邊建立許可防護機制 - AWS Identity and Access Management
資料周邊控制身分周邊資源周邊網路周邊進一步了解資料周邊的資源

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

使用資料周邊建立許可防護機制

資料周邊護欄旨在做為永遠在線的界限,以協助在廣泛的 AWS 帳戶和資源中保護您的資料。資料周邊遵循 IAM 安全最佳實務,跨多個帳戶建立許可防護機制。這些全組織的許可防護機制不會取代您現有的精細存取控制。相反地,它們用作粗略的存取控制,透過確保使用者、角色和資源遵守一組定義的安全標準,協助改善您的安全策略。

資料周邊是 AWS 環境中的一組許可護欄,可協助確保只有您信任的身分才能從預期的網路存取信任的資源。

  • 信任的身分:您 AWS 帳戶和代表您行事 AWS 的服務中的委託人 (IAM 角色或使用者)。

  • 信任的資源: AWS 由您的帳戶或代表您的 AWS 服務所擁有的資源。

  • 預期的網路:您的內部部署資料中心和虛擬私有雲端 (VPCs),或代表您的 AWS 服務網路。

注意

在某些情況下,您可能需要擴展資料周邊,以納入信任的業務合作夥伴的存取權。當建立特定於您的公司和您使用 AWS 服務的信任的身分、信任的資源和預期的網路之定義時,應當考慮所有預期的資料存取模式。

資料周邊控制應視為資訊安全和風險管理計畫中的任何其他安全控制。這表示您應該執行威脅分析,以識別雲端環境中的潛在風險,然後根據您自己的風險接受標準,選取並實作適當的資料周邊控制。為了更清楚地了解資料周邊實作的反覆風險型方法,您需要了解資料周邊控制以及您的安全優先事項會解決哪些安全風險和威脅向量。

資料周邊控制

資料周邊粗略控制透過實作不同的政策類型條件索引鍵組合,協助您跨三個資料周邊達成六個不同的安全目標。

周邊 控制目標 使用 套用至 全域條件內容索引鍵

Identity

只有信任的身分可以存取我的資源

RCP

資源

aws:PrincipalOrgID

aws:PrincipalOrgPaths

aws:PrincipalAccount

aws:PrincipalIsAwsService

aws:SourceOrgID

aws:SourceOrgPath

aws:SourceAccount

我的網路只允許信任的身分

VPC 端點政策

網路

資源

您的身分只能存取信任的資源

SCP

身分

aws:ResourceOrgID

aws:ResourceOrgPaths

aws:ResourceAccount

從您的網路只能存取信任的資源

VPC 端點政策

網路

網路

您的身分只能從預期的網路存取資源

SCP

身分

aws:SourceIp

aws:SourceVpc

aws:SourceVpce

aws:VpceAccount

aws:VpceOrgPaths

aws:VpceOrgID

aws:ViaAWSService

aws:PrincipalIsAwsService

您的資源只能從預期的網路存取

RCP

資源

您可以將資料周邊視為在資料周圍建立堅實的界限,以防止意外存取模式。雖然資料周邊可以防止廣泛的意外存取,但您仍需要做出精細的存取控制決策。建立資料周邊並不會減少透過使用 IAM Access Analyzer 等工具作為最低權限旅程的一部分來持續微調許可的需求。

若要對 RCP 目前不支援的資源強制執行資料周邊控制,可以使用直接連接到資源的資源型政策。如需支援 RCP 和資源型政策的服務清單,請參閱 Resource control policies (RCPs)AWS 使用 IAM 的 服務

若要強制執行網路周邊控制,建議您使用 aws:VpceOrgID、 和 aws:VpceOrgPathsaws:VpceAccount只有在目前支援您想要限制存取的所有服務時。搭配不支援的服務使用這些條件金鑰可能會導致意外的授權結果。如需支援金鑰的服務清單,請參閱 AWS 全域條件內容索引鍵。如果您需要對更廣泛的服務強制執行控制項,請考慮aws:SourceVpce改用 aws:SourceVpc和 。

身分周邊

身分周邊是一組粗略的預防性存取控制,可協助確保只有信任的身分可以存取您的資源,並且只允許來自您網路的信任的身分。信任的身分通常包含您 AWS 帳戶中的委託人 (角色或使用者),以及代表您行事 AWS 的服務。除非授予明確的例外狀況,否則所有其他身分都會被視為不受信任,且會受到身分周邊的阻止。

下列全域條件金鑰有助於根據您的信任身分定義強制執行身分周邊控制。在資源控制政策中使用這些金鑰來限制對資源的存取,或在 VPC 端點政策中使用這些金鑰來限制對網路的存取。

您擁有的身分

您可以使用下列條件索引鍵來定義您在 中建立和管理的 IAM 主體 AWS 帳戶。

  • aws:PrincipalOrgID – 您可以使用此條件索引鍵,確保提出請求的 IAM 主體屬於 AWS Organizations中指定的組織。

  • aws:PrincipalOrgPaths – 您可以使用此條件金鑰,以確保 IAM 使用者 、IAM 角色、 AWS STS 聯合身分使用者主體、SAML 聯合身分主體、OIDC 聯合身分主體,或 AWS 帳戶根使用者 提出請求屬於指定的組織單位 (OU) AWS Organizations。

  • aws:PrincipalAccount – 您可以使用此條件索引鍵,確保只有您在政策中指定的主體帳戶才能存取資源。

代表您執行的服務 AWS 身分

您可以使用下列條件金鑰,允許 AWS 服務在代表您時,使用自己的身分來存取您的 資源。

如需詳細資訊,請參閱在 上建立資料周邊 AWS:僅允許信任的身分存取公司資料

資源周邊

資源周邊是一組粗略的預防性存取控制,可協助確保您的身分只能存取信任的資源,而且只能從您的網路存取信任的資源。信任的資源通常包含您 AWS 帳戶或代表您的 AWS 服務所擁有的資源。

下列全域條件金鑰有助於根據您的信任資源定義強制執行資源周邊控制。在服務控制政策 (SCPs) 中使用這些金鑰來限制您的身分可以存取哪些資源,或在 VPC 端點政策中限制可以從網路存取哪些資源。

您擁有的資源

您可以使用下列條件索引鍵來定義您在 中建立和管理 AWS 的資源 AWS 帳戶。

  • aws:ResourceOrgID – 您可以使用此條件索引鍵,確保所存取的資源屬於 AWS Organizations中指定的組織。

  • aws:ResourceOrgPaths – 您可以使用此條件索引鍵,確保所存取的資源屬於 AWS Organizations中指定的組織單位 (OU)。

  • aws:ResourceAccount – 您可以使用此條件金鑰,以確保正在存取的資源屬於指定的 AWS 帳戶。

代表您行事的服務 AWS 資源

在某些情況下,您可能需要允許存取 AWS 擁有的資源、不屬於您組織的資源,以及委託人或代表您的 AWS 服務所存取的資源。如需這些案例的詳細資訊,請參閱在 上建立資料周邊 AWS:僅允許來自組織的信任資源

網路周邊

網路周邊是一組粗略的預防性存取控制,可協助確保您的身分只能從預期的網路存取資源,而且只能從預期的網路存取您的資源。預期的網路通常包括您的內部部署資料中心和虛擬私有雲端 (VPCs),以及代表您行事的服務 AWS 網路。

下列全域條件金鑰有助於根據您對預期網路的定義強制執行網路周邊控制。在服務控制政策 (SCP) 中使用這些索引鍵來限制您的身分可以通訊的網路,或在資源控制政策 (RCP) 中使用這些索引鍵來限制對預期網路的資源存取。

您擁有的網路

您可以使用下列條件金鑰來定義員工和應用程式預期用來存取資源的網路,例如您的公司 IP CIDR 範圍和 VPCs。

  • aws:SourceIp – 您可以使用此條件索引鍵,確保請求者的 IP 位址位於指定的 IP 範圍內。

  • aws:SourceVpc – 您可以使用此條件索引鍵,確保請求通過的 VPC 端點屬於指定的 VPC。

  • aws:SourceVpce – 您可以使用此條件索引鍵,確保請求通過指定的 VPC 端點。

  • aws:VpceAccount – 您可以使用此條件金鑰,以確保請求透過指定 AWS 帳戶擁有的 VPC 端點。

  • aws:VpceOrgPaths – 您可以使用此條件金鑰,確保提出請求的 IAM 主體屬於其中指定的組織單位 (OU) AWS Organizations。

  • aws:VpceOrgID – 您可以使用此條件金鑰,以確保請求是透過指定組織中帳戶擁有的 VPC 端點 AWS Organizations。

aws:VpceAccountaws:VpceOrgPathsaws:VpceOrgID 特別適用於實作隨著 VPC 端點使用量自動擴展的網路周邊控制,而無需在建立新端點時更新政策。如需支援這些金鑰的 AWS 全域條件內容索引鍵清單 AWS 服務 ,請參閱 。

代表您行事的服務 AWS 網路

您可以使用下列條件金鑰,允許 AWS 服務在代表您時從其網路存取您的資源。

在另外一些案例中,您需要允許存取 AWS 服務 ,這些服務從您的網路外部存取您的資源。如需詳細資訊,請參閱在 上建立資料周邊 AWS:僅允許從預期的網路存取公司資料

進一步了解資料周邊的資源

下列資源可協助您進一步了解跨 AWS的資料周邊。