本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 使用資料周邊建立許可防護機制
資料周邊護欄旨在做為永遠在線的界限,以協助在廣泛的 AWS 帳戶和資源中保護您的資料。資料周邊遵循 IAM 安全最佳實務,[跨多個帳戶建立許可防護機制](best-practices.md#bp-permissions-guardrails)。這些全組織的許可防護機制不會取代您現有的精細存取控制。相反地,它們用作**粗略的存取控制**,透過確保使用者、角色和資源遵守一組定義的安全標準,協助改善您的安全策略。
資料周邊是 AWS 環境中的一組許可護欄,可協助確保只有您信任的身分才能從預期的網路存取信任的資源。
+ 信任的身分:您 AWS 帳戶和代表您行事 AWS 的服務中的委託人 (IAM 角色或使用者)。
+ 信任的資源: AWS 由您的帳戶或代表您的 AWS 服務所擁有的資源。
+ 預期的網路:您的內部部署資料中心和虛擬私有雲端 (VPCs),或代表您的 AWS 服務網路。
**注意**
在某些情況下,您可能需要擴展資料周邊,以納入信任的業務合作夥伴的存取權。當建立特定於您的公司和您使用 AWS 服務的信任的身分、信任的資源和預期的網路之定義時,應當考慮所有預期的資料存取模式。
資料周邊控制應視為資訊安全和風險管理計畫中的任何其他安全控制。這表示您應該執行威脅分析來識別雲端環境中的潛在風險,然後根據您自己的風險接受標準,選取並實作適當的資料周邊控制項。為了更清楚地了解資料周邊實作的反覆風險型方法,您需要了解資料周邊控制以及您的安全優先事項會解決哪些安全風險和威脅向量。
## 資料周邊控制
資料周邊粗略控制透過實作不同的[政策類型](access_policies.md#access_policy-types)和[條件索引鍵](reference_policies_condition-keys.md)組合,協助您跨三個資料周邊達成六個不同的安全目標。
- **Identity**
- **控制目標:** 只有信任的身分可以存取我的資源 / **使用:** RCP / **套用至:** Resources
- **控制目標:** 我的網路只允許信任的身分 / **使用:** VPC 端點政策 / **套用至:** 網路
- **全域條件內容索引鍵:** aws:PrincipalOrgID
aws:PrincipalOrgPaths
aws:PrincipalAccount
aws:PrincipalIsAwsService
aws:SourceOrgID
aws:SourceOrgPath
aws:SourceAccount
- **Resources**
- **控制目標:** 您的身分只能存取信任的資源 / **使用:** SCP / **套用至:** 身分
- **控制目標:** 從您的網路只能存取信任的資源 / **使用:** VPC 端點政策 / **套用至:** 網路
- **全域條件內容索引鍵:** aws:ResourceOrgID
aws:ResourceOrgPaths
aws:ResourceAccount
- **網路**
- **控制目標:** 您的身分只能從預期的網路存取資源 / **使用:** SCP / **套用至:** 身分
- **控制目標:** 您的資源只能從預期的網路存取 / **使用:** RCP / **套用至:** Resources
- **全域條件內容索引鍵:** aws:SourceIp
aws:SourceVpc
aws:SourceVpce
aws:VpceAccount
aws:VpceOrgPaths
aws:VpceOrgID
aws:ViaAWSService
aws:PrincipalIsAwsService
您可以將資料周邊視為在資料周圍建立堅實的界限,以防止意外存取模式。雖然資料周邊可以防止廣泛的意外存取,但您仍需要做出精細的存取控制決策。建立資料周邊並不會減少透過使用 [IAM Access Analyzer](what-is-access-analyzer.md) 等工具作為[最低權限](best-practices.md#grant-least-privilege)旅程的一部分來持續微調許可的需求。
若要對 RCP 目前不支援的資源強制執行資料周邊控制,可以使用直接連接到資源的資源型政策。如需支援 RCP 和資源型政策的服務清單,請參閱 [Resource control policies (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) 和 [AWS 使用 IAM 的 服務](reference_aws-services-that-work-with-iam.md)。
若要強制執行網路周邊控制,建議您僅在要限制存取的所有服務目前都受支援的情況下才使用 `aws:VpceOrgID`、`aws:VpceOrgPaths` 和 `aws:VpceAccount`。將這些條件索引鍵用於不受支援的服務,可能會導致意外的授權結果。如需支援這些索引鍵的服務清單,請參閱 [AWS 全域條件內容索引鍵](reference_policies_condition-keys.md)。如果您需要對更廣泛的服務強制執行這些控制,請考慮改用 `aws:SourceVpc` 和 `aws:SourceVpce`。
## 身分周邊
身分周邊是一組粗略的預防性存取控制,可協助確保只有信任的身分可以存取您的資源,並且只允許來自您網路的信任的身分。信任的身分通常包含您 AWS 帳戶中的委託人 (角色或使用者),以及代表您行事 AWS 的服務。除非授予明確的例外狀況,否則所有其他身分都會被視為不受信任,且會受到身分周邊的阻止。
下列全域條件索引鍵有助於根據您對受信任身分的定義來強制執行身分周邊控制。在資源控制政策中使用這些索引鍵來限制對資源的存取,或在 [VPC 端點政策](https://docs.aws.amazon.com//vpc/latest/privatelink/vpc-endpoints-access.html)中使用這些索引鍵來限制對網路的存取。
### 您擁有的身分
您可以使用下列條件索引鍵來定義您在 中建立和管理的 IAM 主體 AWS 帳戶。
+ [aws:PrincipalOrgID](reference_policies_condition-keys.md#condition-keys-principalorgid) – 您可以使用此條件索引鍵,確保提出請求的 IAM 主體屬於 AWS Organizations中指定的組織。
+ [aws:PrincipalOrgPaths](reference_policies_condition-keys.md#condition-keys-principalorgpaths) – 您可以使用此條件金鑰,以確保 IAM 使用者 、IAM 角色、 AWS STS 聯合身分使用者主體、SAML 聯合身分主體、OIDC 聯合身分主體,或 AWS 帳戶根使用者 提出請求屬於指定的組織單位 (OU) AWS Organizations。
+ [aws:PrincipalAccount](reference_policies_condition-keys.md#condition-keys-principalaccount) – 您可以使用此條件索引鍵,確保只有您在政策中指定的主體帳戶才能存取資源。
### 代表您行事 AWS 的服務身分
您可以使用下列條件金鑰,允許 AWS 服務在代表您時,使用自己的身分來存取您的 資源。
+ [aws:PrincipalIsAWSService](reference_policies_condition-keys.md#condition-keys-principalisawsservice) 和 [aws:SourceOrgID](reference_policies_condition-keys.md#condition-keys-sourceorgid) (或 [aws:SourceOrgPaths](reference_policies_condition-keys.md#condition-keys-sourceorgpaths) 和 [aws:SourceAccount](reference_policies_condition-keys.md#condition-keys-sourceaccount)) – 您可以使用這些條件索引鍵來確保當 [AWS 服務 主體](reference_policies_elements_principal.md#principal-services)存取您的資源時,它們只能代表指定組織、組織單位或 AWS Organizations中帳戶的資源來執行此操作。
如需詳細資訊,請參閱[在 上建立資料周邊 AWS:僅允許信任的身分存取公司資料](https://aws.amazon.com/blogs/security/establishing-a-data-perimeter-on-aws-allow-only-trusted-identities-to-access-company-data/)。
## 資源周邊
資源周邊是一組粗略的預防性存取控制,可協助確保您的身分只能存取信任的資源,而且只能從您的網路存取信任的資源。信任的資源通常包含您 AWS 帳戶或代表您的 AWS 服務所擁有的資源。
下列全域條件索引鍵有助於根據您對受信任資源的定義來強制執行資源周邊控制。在[服務控制政策 (SCP)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) 中使用這些索引鍵來限制您的身分可以存取的資源,或在 [VPC 端點政策](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html)中使用這些索引鍵來限制可以從您的網路存取的資源。
### 您擁有的資源
您可以使用下列條件索引鍵來定義您在 中建立和管理 AWS 的資源 AWS 帳戶。
+ [aws:ResourceOrgID](reference_policies_condition-keys.md#condition-keys-resourceorgid) – 您可以使用此條件索引鍵,確保所存取的資源屬於 AWS Organizations中指定的組織。
+ [aws:ResourceOrgPaths](reference_policies_condition-keys.md#condition-keys-resourceorgpaths) – 您可以使用此條件索引鍵,確保所存取的資源屬於 AWS Organizations中指定的組織單位 (OU)。
+ [aws:ResourceAccount](reference_policies_condition-keys.md#condition-keys-resourceaccount) – 您可以使用此條件索引鍵來確保所存取的資源屬於指定 AWS 帳戶中的資源。
### 代表您行事 AWS 的服務資源
在某些情況下,您可能需要允許存取 AWS 擁有的資源、不屬於您組織的資源,以及委託人或代表您的 AWS 服務存取的資源。如需這些案例的詳細資訊,請參閱[在 上建立資料周邊 AWS:僅允許來自組織的信任資源](https://aws.amazon.com/blogs/security/establishing-a-data-perimeter-on-aws-allow-only-trusted-resources-from-my-organization/)。
## 網路周邊
網路周邊是一組粗略的預防性存取控制,可協助確保您的身分只能從預期的網路存取資源,而且只能從預期的網路存取您的資源。預期網路通常包括您內部部署的資料中心和虛擬私有雲端 (VPC),以及代表您執行動作的 AWS 服務的網路。
下列全域條件索引鍵有助於根據您對預期網路的定義來強制執行網路周邊控制。在[服務控制政策 (SCP)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) 中使用這些索引鍵來限制您的身分可以通訊的網路,或在[資源控制政策 (RCP)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) 中使用這些索引鍵來限制對預期網路的資源存取。
### 您擁有的網路
您可以使用下列條件索引鍵來定義員工和應用程式預期用來存取資源的網路,例如您的公司 IP CIDR 範圍和 VPC。
+ [aws:SourceIp](reference_policies_condition-keys.md#condition-keys-sourceip) – 您可以使用此條件索引鍵,確保請求者的 IP 位址位於指定的 IP 範圍內。
+ [aws:SourceVpc](reference_policies_condition-keys.md#condition-keys-sourcevpc) – 您可以使用此條件索引鍵,確保請求通過的 VPC 端點屬於指定的 VPC。
+ [aws:SourceVpce](reference_policies_condition-keys.md#condition-keys-sourcevpce) – 您可以使用此條件索引鍵,確保請求通過指定的 VPC 端點。
+ [aws:VpceAccount](reference_policies_condition-keys.md#condition-keys-vpceaccount) – 您可以使用此條件金鑰,以確保請求透過指定 AWS 帳戶擁有的 VPC 端點。
+ [aws:VpceOrgPaths](reference_policies_condition-keys.md#condition-keys-vpceorgpaths) – 您可以使用此條件索引鍵來確保請求是透過屬於 中指定組織單位 (OU) 的帳戶所擁有的 VPC 端點 AWS Organizations。
+ [aws:VpceOrgID](reference_policies_condition-keys.md#condition-keys-vpceorgid) – 您可以使用此條件索引鍵來確保請求是透過 AWS Organizations中指定組織中帳戶擁有的 VPC 端點發出。
`aws:VpceAccount`、`aws:VpceOrgPaths` 和 `aws:VpceOrgID` 尤其適用於實作隨著 VPC 端點用量自動擴展的網路周邊控制,而無需在建立新端點時更新政策。如需支援這些索引鍵的 AWS 服務 清單,請參閱 [AWS 全域條件內容索引鍵](reference_policies_condition-keys.md)。
### 代表您行事 AWS 的服務網路
您可以使用下列條件金鑰,允許 AWS 服務在代表您時從其網路存取您的資源。
+ [aws:ViaAWSService](reference_policies_condition-keys.md#condition-keys-viaawsservice) – 您可以使用此條件金鑰,以確保 AWS 服務 可以使用 [轉送存取工作階段](access_forward_access_sessions.md)(FAS) 代表您的委託人提出請求。
+ [aws:PrincipalIsAWSService](reference_policies_condition-keys.md#condition-keys-principalisawsservice) – 您可以使用此條件金鑰,以確保 AWS 服務 可以使用 存取您的 資源[AWS 服務主體](reference_policies_elements_principal.md#principal-services)。
在另外一些案例中,您需要允許存取 AWS 服務 ,這些服務從您的網路外部存取您的資源。如需詳細資訊,請參閱[在 上建立資料周邊 AWS:僅允許從預期的網路存取公司資料](https://aws.amazon.com/blogs/security/establishing-a-data-perimeter-on-aws-allow-access-to-company-data-only-from-expected-networks/)。
## 進一步了解資料周邊的資源
下列資源可協助您進一步了解跨 AWS的資料周邊。
+ [上的資料周邊 AWS](https://aws.amazon.com/identity/data-perimeters-on-aws/) – 了解資料周邊及其優點和使用案例。
+ [部落格文章系列:在 上建立資料周邊 AWS](https://aws.amazon.com/identity/data-perimeters-blog-post-series/) – 這些部落格文章涵蓋了有關大規模建立資料周邊的規範性指導,包括關鍵安全和實作考量。
+ [資料周邊政策範例](https://github.com/aws-samples/data-perimeter-policy-examples/tree/ce06665ca8b2f07debee7bed5153c3be0f31c73c) – 此 GitHub 儲存庫包含的範例政策涵蓋了一些常見模式,可協助您在 AWS上實作資料周邊。
+ [資料周邊協助程式](https://github.com/aws-samples/data-perimeter-helper/tree/main?tab=readme-ov-file) – 此工具可協助您透過分析 [AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html) 日誌中的存取活動,來設計和預測資料周邊控制的影響。