本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 安全
您可以針對安全類別使用下列檢查。
**注意**
如果您為 啟用 Security Hub CSPM AWS 帳戶,您可以在 Trusted Advisor 主控台中檢視問題清單。如需相關資訊,請參閱[在 中檢視 AWS Security Hub CSPM 控制項 AWS Trusted Advisor](security-hub-controls-with-trusted-advisor.md)。
您可以檢視 AWS 基礎安全最佳實務安全標準中的所有控制項,但具有**類別:復原 > 恢復能力**的控制項*除外*。如需支援的控制項清單,請參閱《AWS Security Hub CSPM 使用者指南》**中的 [AWS 基礎安全最佳實務控制項](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-standards-fsbp-controls.html)。
**Contents**
+ [Application Load Balancer 安全群組](#alb-security-group)
+ [Amazon CloudWatch 日誌群組保留期間](#cloudwatch-log-group-retention-less-than-365)
+ [Microsoft SQL 伺服器終止支援的 Amazon EC2 執行個體](#ec2-instances-with-sql-server-end-of-support)
+ [Microsoft Windows Server 終止支援的 Amazon EC2 執行個體](#ec2-instances-with-windows-server-end-of-support)
+ [具有 Ubuntu LTS 終止標準支援的 Amazon EC2 執行個體](#amazon-ec2-instances-ubuntu-lts-end-of-standard-support)
+ [未使用data-in-transit加密的 Amazon EFS 用戶端](#amazon-efs-clients-not-using-data-in-transit-encryption)
+ [Amazon EBS 公有快照](#amazon-ebs-public-snapshots)
+ [Amazon RDS Aurora 儲存加密已關閉](#amazon-rds-aurora-storage-encryption-off)
+ [需要 Amazon RDS 引擎次要版本升級](#amazon-rds-engine-minor-version-upgrade-required)
+ [Amazon RDS 公有快照](#amazon-rds-public-snapshots)
+ [Amazon RDS 安全群組存取風險](#amazon-rds-security-group-access-risk)
+ [Amazon RDS 儲存加密已關閉](#amazon-rds-storage-encryption-off)
+ [Amazon Route 53 不符合指向 S3 儲存貯體的 CNAME 記錄](#amazon-route-53-mismatching-cname-records-s3-buckets)
+ [Amazon Route 53 MX 資源記錄集和寄件者政策架構](#amazon-route-53-mx-resorc-resource-record-sets-sender-policy-framework)
+ [Amazon S3 儲存貯體許可](#amazon-s3-bucket-permissions)
+ [已停用具有 DNS 解析的 Amazon VPC 對等互連](#amazon-vpc-peering-connections-no-dns-resolution)
+ [Application Load Balancer 目標群組加密的通訊協定](#application-load-balancer-target-groups)
+ [AWS Backup 無資源型政策的保存庫,以防止刪除復原點](#backup-vault-without-resource-based-policy-prevent-delete)
+ [AWS CloudTrail 管理事件記錄](#aws-cloudtrail-man-events-log)
+ [AWS Lambda 使用已棄用執行時間的函數](#aws-lambda-functions-deprecated-runtimes)
+ [AWS Well-Architected 安全性的高風險問題](#well-architected-high-risk-issues-security)
+ [IAM 憑證存放區中的 CloudFront 自訂 SSL 憑證](#cloudfront-custom-ssl-certificates-iam-certificate-store)
+ [原始伺服器上的 CloudFront SSL 憑證](#cloudfront-ssl-certificate-origin-server)
+ [ELB 接聽程式安全性](#elb-listener-security)
+ [Classic Load Balancer 安全群組](#elb-security-groups)
+ [存取金鑰已暴露](#exposed-access-keys)
+ [IAM 存取金鑰輪換](#iam-access-key-rotation)
+ [IAM Access Analyzer 外部存取](#iam-access-analyzer-external-access)
+ [IAM 密碼政策](#iam-password-policy)
+ [IAM SAML 2.0 身分提供者](#iam-saml-identity-provider)
+ [根帳戶的 MFA](#mfa-root-account)
+ [根使用者存取金鑰](#root-user-access-key)
+ [安全群組-— 不受限制的特定連接埠](#security-groups-specific-ports-unrestricted)
+ [安全群組 - 不受限制的存取](#security-groups-unrestricted-access)
## Application Load Balancer 安全群組
**Description**
檢查連接到 Application Load Balancer 及其 Amazon EC2 目標的安全群組。Application Load Balancer 安全群組應僅允許在接聽程式中設定的傳入連接埠。在目標從負載平衡器接收流量的相同連接埠中,目標的安全群組不應接受來自網際網路的直接連線。
如果安全群組允許存取未針對負載平衡器設定的連接埠,或允許直接存取目標,則資料遺失或惡意攻擊的風險會增加。
此檢查不包括下列群組:
+ 與 IP 地址或 EC2 執行個體無關的目標群組。
+ IPv6 流量的安全群組規則。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`8604e947f2`
**警示條件**
+ 紅色:目標具有公有 IP 和安全群組,允許目標控制連接埠上來自任何地方的傳入連線 (0.0.0.0/0)。
+ 紅色:目標具有公有 IP 和安全群組,允許來自任何地方 (0.0.0.0/0) 流量連接埠上的傳入連線。
+ 紅色:Application Load Balancer 已啟用身分驗證,目標允許來自任何地方 (0.0.0.0/0) 流量連接埠上的傳入連線。
+ 黃色:目標的安全群組允許來自任何地方 (0.0.0.0/0) 流量連接埠上的傳入連線。
+ 黃色:目標的安全群組允許目標控制連接埠上來自任何地方的傳入連線 (0.0.0.0/0)。
+ 黃色:Application Load Balancer 安全群組允許沒有對應接聽程式的連接埠上的傳入連線。
+ 黃色:目標的安全群組允許來自未連接到 Application Load Balancer 之安全群組的目標控制連接埠上的傳入連線。
+ 綠色:Application Load Balancer 安全群組僅允許連接埠上與接聽程式相符的傳入連線。
**建議的動作**
為了提高安全性,請確定您的安全群組只允許必要的流量流程:
+ Application Load Balancer 的安全群組應僅允許對其接聽程式中設定的相同連接埠進行傳入連線。
+ 使用負載平衡器和目標的專屬安全群組。
+ 目標安全群組應僅允許流量連接埠中來自與其相關聯的負載平衡器 (s) 的連線。
+ 目標安全群組應僅允許目標控制連接埠中的連線來自與其相關聯的負載平衡器 (s)。
**其他資源**
+ [使用安全群組控制 AWS 資源的流量](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-security-groups.html)
+ [Application Load Balancer 的安全群組](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/load-balancer-update-security-groups.html)
**報告欄位**
+ 狀態
+ 區域
+ 目標群組
+ ALB 名稱
+ ALB SG ID
+ 目標 SG ID
+ 啟用身分驗證
+ 上次更新時間
## Amazon CloudWatch 日誌群組保留期間
**Description**
檢查 Amazon CloudWatch 日誌群組保留期間是否設定為 365 天或其他指定的天數。
根據預設,日誌將無限期保留且永遠不會過期。不過,您可以調整每個日誌群組的保留原則,以符合特定期間的產業法規或法律要求。
您可以使用 AWS Config 規則中的 **LogGroupNames** 和 **MinRetentionTime** 參數來指定最短保留時間和日誌群組名稱。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`c18d2gz186`
**來源**
`AWS Config Managed Rule: cw-loggroup-retention-period-check`
**警示條件**
黃色:Amazon CloudWatch 日誌群組的保留期間少於所需的最短天數。
**建議的動作**
為儲存在 Amazon CloudWatch Logs 中的日誌資料設定超過 365 天的保留期間,以符合法規遵循要求。
如需詳細資訊,請參閱[更改在 CloudWatch Logs 中的日誌資料保留期](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/Working-with-log-groups-and-streams.html#SettingLogRetention)。
**其他資源**
[更改 CloudWatch 日誌保留](https://docs.aws.amazon.com/managedservices/latest/userguide/log-customize-retention.html)
**報告欄位**
+ 狀態
+ 區域
+ 資源
+ AWS Config 規則
+ 輸入參數
+ 上次更新時間
## Microsoft SQL 伺服器終止支援的 Amazon EC2 執行個體
**Description**
檢查過去 24 小時內用於執行 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體的 SQL 伺服器版本。這項檢查會在版本接近或已達到終止支援時發出提醒。每個 SQL 伺服器版本都提供 10 年的支援,包括 5 年的主流支援和 5 年的延長支援。終止支援後,SQL 伺服器版本將不會收到定期的安全更新。使用不支援的 SQL 伺服器版本執行應用程式可能會帶來安全或法規遵循風險。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`Qsdfp3A4L3`
**警示條件**
+ 紅色:EC2 執行個體具有已終止支援的 SQL Server 版本。
+ 黃色:EC2 執行個體具有即將在 12 個月終止支援的 SQL Server 版本。
**建議的動作**
若要將 SQL Server 工作負載現代化,請考慮將其重構到 AWS 雲端 原生資料庫,如 Amazon Aurora。如需詳細資訊,請參閱[使用 現代化 Windows 工作負載 AWS](https://aws.amazon.com/windows/modernization/)。
若要移至全受管資料庫,請考慮將其平台轉換為 Amazon Relational Database Service (Amazon RDS)。如需詳細資訊,請參閱 [Amazon RDS for SQL Server](https://aws.amazon.com/rds/sqlserver/)。
若要在 Amazon EC2 上升級您的 SQL Server,請考慮使用自動化 Runbook 簡化您的升級。如需詳細資訊,請參閱 [AWS Systems Manager 文件](https://docs.aws.amazon.com/systems-manager-automation-runbooks/latest/userguide/automation-awsec2-CloneInstanceAndUpgradeSQLServer.html)。
如果您無法在 Amazon EC2 上升級 SQL Server,請考慮使用 Windows Server 的終止支援遷移計劃 (EMP)。如需詳細資訊,請參閱 [EMP 網站](https://aws.amazon.com/emp-windows-server/)。
**其他資源**
+ [使用 準備好 SQL Server 終止支援 AWS](https://aws.amazon.com/sql/sql2008-eos/)
+ [將 Microsoft SQL Server 遷移至 AWS](https://aws.amazon.com/sql)
**報告欄位**
+ 狀態
+ 區域
+ 執行個體 ID
+ SQL Server 版本
+ 支援週期
+ 終止支援
+ 上次更新時間
## Microsoft Windows Server 終止支援的 Amazon EC2 執行個體
**Description**
如果您的 Microsoft Windows Server 版本接近或已終止支援,此檢查會提醒您。每個 Windows Server 版本都提供 10 年的支援,包括 5 年的主流支援和 5 年的延伸支援。支援結束後,Windows Server 版本不會定期收到安全性更新。使用不支援的 Windows Server 版本執行應用程式可能會帶來安全或合規風險。
此檢查會根據用來啟動 EC2 執行個體的 AMI 產生結果。目前的執行個體作業系統可能與其啟動 AMI 不同。例如,如果您從 Windows Server 2016 AMI 啟動執行個體,並稍後升級至 Windows Server 2019,則啟動 AMI 不會變更。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`Qsdfp3A4L4`
**警示條件**
+ 紅色:EC2 執行個體會在終止支援的 Windows Server 版本 (Windows Server 2003、2003 R2、2008 和 2008 R2) 上執行。
+ 黃色:EC2 執行個體會在不到 18 個月 (Windows Server 2012 和 2012 R2) 內終止支援的 Windows Server 版本上執行。
**建議的動作**
若要現代化 Windows Server 工作負載,請考慮[使用現代化 Windows 工作負載 AWS](https://aws.amazon.com/windows/modernization/)上可用的各種選項。
若要升級您的 Windows Server 工作負載,以便在更新版本的 Windows Server 上執行,您可以使用自動化 Runbook。如需詳細資訊,請參閱 [AWS Systems Manager 文件](https://docs.aws.amazon.com/AWSEC2/latest/WindowsGuide/os-inplaceupgrade.html)。
請完成下列步驟:
+ 升級 Windows Server 版本
+ 硬停止並在升級時啟動
+ 如果使用 EC2Config,請遷移至 EC2Launch
**報告欄位**
+ 狀態
+ 區域
+ 執行個體 ID
+ Windows Server 版本
+ 支援週期
+ 終止支援
+ 上次更新時間
## 具有 Ubuntu LTS 終止標準支援的 Amazon EC2 執行個體
**Description**
此檢查會在版本接近或已達到標準支援結束時提醒您。請務必採取動作 – 遷移至下一個 LTS 或升級至 Ubuntu Pro。支援結束後,您的 18.04 LTS 機器將不會收到任何安全性更新。透過 Ubuntu Pro 訂閱,您的 Ubuntu 18.04 LTS 部署可以接收擴充安全維護 (ESM),直到 2028 年為止。保持未修補的安全漏洞會將您的系統開放給駭客,以及重大違規的可能性。
此檢查的結果至少每天自動重新整理一次,不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`c1dfprch15`
**警示條件**
紅色:Amazon EC2 執行個體的 Ubuntu 版本已達到標準支援結束 (Ubuntu 18.04 LTS、18.04.1 LTS、18.04.2 LTS、18.04.3 LTS、18.04.4 LTS、18.04.5 LTS 和 18.04.6 LTS)。
黃色:Amazon EC2 執行個體的 Ubuntu 版本將在不到 6 個月內達到標準支援結束 (Ubuntu 20.04 LTS、20.04.1 LTS、20.04.2 LTS、20.04.3 LTS、20.04.4 LTS、 LTS、20.04.5 LTS 和 20.04.6 LTS)。
綠色:所有 Amazon EC2 執行個體都合規。
**建議的動作**
若要將 Ubuntu 18.04 LTS 執行個體升級至支援的 LTS 版本,請遵循[本文](https://ubuntu.com/server/docs/upgrade-introduction)所述的步驟。若要將 Ubuntu 18.04 LTS 執行個體升級至 [Ubuntu Pro](https://aws.amazon.com/about-aws/whats-new/2023/04/amazon-ec2-ubuntu-pro-subscription-model/),請造訪 AWS License Manager 主控台並遵循[AWS License Manager 使用者指南](https://docs.aws.amazon.com/license-manager/latest/userguide/license-conversion.html)中所述的步驟。您也可以參考 [Ubuntu 部落格](https://discourse.ubuntu.com/t/how-to-upgrade-ubuntu-lts-to-ubuntu-pro-on-aws-using-aws-license-manager/35449),其中顯示將 Ubuntu 執行個體升級至 Ubuntu Pro 的逐步示範。
**其他資源**
如需定價的相關資訊,請聯絡 [支援](https://aws.amazon.com/support)。
**報告欄位**
+ 狀態
+ 區域
+ Ubuntu Lts 版本
+ 預期的支援結束日期
+ 執行個體 ID
+ 支援週期
+ 上次更新時間
## 未使用data-in-transit加密的 Amazon EFS 用戶端
**Description**
檢查 Amazon EFS 檔案系統是否使用data-in-transit加密進行掛載。 AWS 建議客戶對所有資料流程使用data-in-transit資料加密,以防止資料意外暴露或未經授權的存取。Amazon EFS 建議用戶端使用 Amazon EFS 掛載協助程式來使用 TLS v1.2 加密傳輸中的資料。
**檢查 ID**
` c1dfpnchv1`
**警示條件**
黃色:Amazon EFS 檔案系統的一或多個 NFS 用戶端未使用提供data-in-transit加密的建議掛載設定。
綠色:Amazon EFS 檔案系統的所有 NFS 用戶端都使用提供data-in-transit加密的建議掛載設定。
**建議的動作**
若要利用 Amazon EFS data-in-transit加密功能,建議您使用 Amazon EFS 掛載協助程式和建議的掛載設定來重新掛載檔案系統。
根據預設,某些 Linux 發行版本不包含支援 TLS 功能的 stunnel 版本。如果您使用的是不支援的 Linux 發行版本 (請參閱《*Amazon Elastic File System 使用者指南*》中的[支援的發行](https://docs.aws.amazon.com/efs/latest/ug/using-amazon-efs-utils.html#efs-utils-supported-distros)版本),則最佳實務是在使用建議的掛載設定重新掛載之前進行升級。
**其他資源**
+ [加密傳輸中的資料](https://docs.aws.amazon.com/efs/latest/ug/encryption-in-transit.html)
**報告欄位**
+ 狀態
+ 區域
+ EFS 檔案系統 ID
+ 具有未加密連線的 AZs
+ 上次更新時間
## Amazon EBS 公有快照
**Description**
檢查 Amazon Elastic Block Store (Amazon EBS) 磁碟區快照的許可設定,並在任何快照可公開存取時提醒您。
當您公開快照時,可以讓所有 AWS 帳戶 和 使用者存取快照上的所有資料。若要僅與特定使用者或帳戶共用快照,請將快照標記為私有。然後,指定您要與其共用快照資料的使用者或帳戶。請注意,如果您已在「封鎖所有共用」模式中啟用封鎖公開存取,則您的公有快照將無法公開存取,也不會出現在此檢查的結果中。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會出現。
**檢查 ID**
`ePs02jT06w`
**警示條件**
紅色:EBS 磁碟區快照可公開存取。
**建議的動作**
除非您確定要與所有 AWS 帳戶 和使用者共用快照中的所有資料,否則請修改許可:將快照標記為私有,然後指定您要授予許可的帳戶。如需詳細資訊,請參閱[共用 Amazon EBS 快照](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ebs-modifying-snapshot-permissions.html)。使用 EBS 快照的封鎖公開存取來控制允許公開存取您的資料的設定。此檢查無法從 Trusted Advisor 主控台的檢視中排除。
若要直接修改快照的許可,請在 AWS Systems Manager 主控台中使用 Runbook。如需詳細資訊,請參閱[https://docs.aws.amazon.com/systems-manager-automation-runbooks/latest/userguide/automation-awssupport-modifyebssnapshotpermission.html](https://docs.aws.amazon.com/systems-manager-automation-runbooks/latest/userguide/automation-awssupport-modifyebssnapshotpermission.html)。
**其他資源**
[Amazon EBS 快照](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/EBSSnapshots.html)
**報告欄位**
+ 狀態
+ 區域
+ 磁碟區 ID
+ 快照 ID
+ Description
## Amazon RDS Aurora 儲存加密已關閉
**Description**
Amazon RDS 使用您管理的金鑰,支援所有資料庫引擎的靜態加密 AWS Key Management Service。在具有 Amazon RDS 加密的作用中資料庫執行個體上,儲存體中存放的靜態資料會加密,類似於自動備份、僅供讀取複本和快照。
如果在建立 Aurora 資料庫叢集時未開啟加密,則必須將解密的快照還原至加密的資料庫叢集。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
當資料庫執行個體或資料庫叢集停止時,您可以在 中檢視 3 Trusted Advisor 到 5 天的 Amazon RDS 建議。五天後,建議將無法在 中使用 Trusted Advisor。若要檢視建議,請開啟 Amazon RDS 主控台,然後選擇**建議**。
如果您刪除資料庫執行個體或資料庫叢集,則與這些執行個體或叢集相關聯的建議無法在 Trusted Advisor 或 Amazon RDS 管理主控台中使用。
**檢查 ID**
`c1qf5bt005`
**警示條件**
紅色:Amazon RDS Aurora 資源未啟用加密。
**建議的動作**
為您的資料庫叢集開啟靜態資料加密。
**其他資源**
您可以在建立資料庫執行個體時開啟加密,或使用解決方法在作用中資料庫執行個體上開啟加密。您無法將解密的資料庫叢集修改為加密的資料庫叢集。不過,您可以將解密的快照還原至加密的資料庫叢集。從解密的快照還原時,您必須指定 AWS KMS 金鑰。
如需詳細資訊,請參閱[加密 Amazon Aurora 資源](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/Overview.Encryption.html)。
**報告欄位**
+ 狀態
+ 區域
+ 解析
+ 引擎名稱
+ 上次更新時間
## 需要 Amazon RDS 引擎次要版本升級
**Description**
您的資料庫資源未執行最新的次要資料庫引擎版本。最新的次要版本包含最新的安全性修正和其他改進。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
當資料庫執行個體或資料庫叢集停止時,您可以在 中檢視 3 Trusted Advisor 到 5 天的 Amazon RDS 建議。五天後,建議將無法用於 Trusted Advisor。若要檢視建議,請開啟 Amazon RDS 主控台,然後選擇**建議**。
如果您刪除資料庫執行個體或資料庫叢集,則與這些執行個體或叢集相關聯的建議無法在 Trusted Advisor 或 Amazon RDS 管理主控台中使用。
**檢查 ID**
`c1qf5bt003`
**警示條件**
黃色:Amazon RDS 資源未執行最新的次要資料庫引擎版本。
**建議的動作**
升級至最新的引擎版本。
**其他資源**
我們建議您使用最新的資料庫引擎次要版本來維護資料庫,因為此版本包含最新的安全性和功能修正。資料庫引擎次要版本升級僅包含與資料庫引擎相同主要版本之較早次要版本回溯相容的變更。
如需詳細資訊,請參閱[升級資料庫執行個體引擎版本](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_UpgradeDBInstance.Upgrading.html)。
**報告欄位**
+ 狀態
+ 區域
+ 解析
+ 引擎名稱
+ 引擎版本目前
+ 建議值
+ 上次更新時間
## Amazon RDS 公有快照
**Description**
檢查 Amazon Relational Database Service (Amazon RDS) 資料庫快照的許可設定,並在任何快照標示為公有時發出提醒。
當您公開快照時,可以讓所有 AWS 帳戶 和 使用者存取快照上的所有資料。如果您只想與特定使用者或帳戶共用快照,請將快照標示為私有。然後指定您要共用快照資料的使用者或帳戶。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會出現。
**檢查 ID**
`rSs93HQwa1`
**警示條件**
紅色:Amazon RDS 快照標記為公有。
**建議的動作**
除非您確定要與所有 AWS 帳戶 和使用者共用快照中的所有資料,否則請修改許可:將快照標記為私有,然後指定您要授予許可的帳戶。如需詳細資訊,請參閱[共用資料庫快照或資料庫叢集快照](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_ShareSnapshot.html)。此檢查無法從 Trusted Advisor 主控台的檢視中排除。
若要直接修改快照的許可,您可以在 AWS Systems Manager 主控台中使用 Runbook。如需詳細資訊,請參閱[https://docs.aws.amazon.com/systems-manager-automation-runbooks/latest/userguide/automation-awssupport-modifyrdssnapshotpermission.html](https://docs.aws.amazon.com/systems-manager-automation-runbooks/latest/userguide/automation-awssupport-modifyrdssnapshotpermission.html)。
**其他資源**
[備份與還原 Amazon RDS 資料庫執行個體](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/CHAP_CommonTasks.BackupRestore.html)
**報告欄位**
+ 狀態
+ 區域
+ 資料庫執行個體或叢集 ID
+ 快照 ID
## Amazon RDS 安全群組存取風險
**Description**
檢查 Amazon Relational Database Service (Amazon RDS) 的安全群組組態,並在安全群組規則授予過度寬鬆的資料庫許可存取權時發出警告。建議的安全群組規則組態是僅允許從特定的 Amazon Elastic Compute Cloud (Amazon EC2) 安全群組或特定 IP 地址存取。
此檢查只會評估連接到toAmazon [VPC](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html) 外部執行之 Amazon RDS 執行個體的安全群組。
**檢查 ID**
`nNauJisYIT`
**警示條件**
+ 黃色:資料庫安全群組規則參考的 Amazon EC2 安全群組會授予對下列其中一個連接埠的全域存取權:20、21、22、1433、1434、3306、3389、4333、5432、5500。
+ 紅色:資料庫安全群組規則會授予全域存取權 (CIDR 規則尾碼為 /0)。
+ 綠色:資料庫安全群組不包含允許規則。
**建議的動作**
EC2-Classic 在 2022 年 8 月 15 日淘汰。建議您將 Amazon RDS 執行個體移至 VPC,並使用 Amazon EC2 安全群組。如需將資料庫執行個體移至 VPC 的詳細資訊,請參閱[將不在 VPC 中的資料庫執行個體移至 VPC](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_VPC.Non-VPC2VPC.html)。
如果您無法將 Amazon RDS 執行個體遷移至 VPC,請檢閱您的安全群組規則,並限制對授權 IP 地址或 IP 範圍的存取。若要編輯安全群組,請使用 [AuthorizeDBSecurityGroupIngress](https://docs.aws.amazon.com/AmazonRDS/latest/APIReference/API_AuthorizeDBSecurityGroupIngress.html) API 或 AWS 管理主控台。如需詳細資訊,請參閱[使用資料庫安全群組](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_WorkingWithSecurityGroups.html)。
**其他資源**
+ [Amazon RDS 安全群組](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Overview.RDSSecurityGroups.html)
+ [無類別網域間路由](https://en.wikipedia.org/wiki/Classless_Inter-Domain_Routing)
+ [TCP 和 UDP 連接埠號碼清單](https://en.wikipedia.org/wiki/List_of_TCP_and_UDP_port_numbers)
**報告欄位**
+ 狀態
+ 區域
+ RDS 安全群組名稱
+ 輸入規則
+ Reason
## Amazon RDS 儲存加密已關閉
**Description**
Amazon RDS 使用您管理的金鑰,支援所有資料庫引擎的靜態加密 AWS Key Management Service。在具有 Amazon RDS 加密的作用中資料庫執行個體上,儲存體中存放的靜態資料會加密,類似於自動備份、僅供讀取複本和快照。
如果在建立資料庫執行個體時未開啟加密,則必須先還原解密快照的加密複本,才能開啟加密。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
當資料庫執行個體或資料庫叢集停止時,您可以在 中檢視 3 Trusted Advisor 到 5 天的 Amazon RDS 建議。五天後,建議將無法用於 Trusted Advisor。若要檢視建議,請開啟 Amazon RDS 主控台,然後選擇**建議**。
如果您刪除資料庫執行個體或資料庫叢集,則與這些執行個體或叢集相關聯的建議無法在 Trusted Advisor 或 Amazon RDS 管理主控台中使用。
**檢查 ID**
`c1qf5bt006`
**警示條件**
紅色:Amazon RDS 資源未啟用加密。
**建議的動作**
為您的資料庫執行個體開啟靜態資料加密。
**其他資源**
您只能在建立資料庫執行個體時加密資料庫執行個體。若要加密現有的作用中資料庫執行個體:
**建立原始資料庫執行個體的加密複本**
1. 建立資料庫執行個體的快照。
1. 建立步驟 1 中建立之快照的加密副本。
1. 從加密快照還原資料庫執行個體。
如需詳細資訊,請參閱下列資源:
+ [加密 Amazon RDS 資源](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/Overview.Encryption.html)
+ [複製資料庫快照](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_CopySnapshot.html)
**報告欄位**
+ 狀態
+ 區域
+ 解析
+ 引擎名稱
+ 上次更新時間
## Amazon Route 53 不符合指向 S3 儲存貯體的 CNAME 記錄
**Description**
檢查 CNAME 記錄指向 Amazon S3 儲存貯體主機名稱的 Amazon Route 53 託管區域,並在 CNAME 與您的 S3 儲存貯體名稱不相符時發出警示。
**檢查 ID**
`c1ng44jvbm`
**警示條件**
紅色:Amazon Route 53 託管區域具有指向不相符 S3 儲存貯體主機名稱的 CNAME 記錄。
綠色:在您的 Amazon Route 53 託管區域中找不到不相符的 CNAME 記錄。
**建議的動作**
將 CNAME 記錄指向 S3 儲存貯體主機名稱時,您必須確定您設定的任何 CNAME 或別名記錄都有相符的儲存貯體。透過這樣做,您可以避免 CNAME 記錄被欺騙的風險。您也可以防止任何未經授權的 AWS 使用者使用您的網域託管故障或惡意的 Web 內容。
若要避免將 CNAME 記錄直接指向 S3 儲存貯體主機名稱,請考慮使用原始存取控制 (OAC) 透過 Amazon CloudFront 存取 S3 儲存貯體 Web 資產。
如需將 CNAME 與 Amazon S3 儲存貯體主機名稱建立關聯的詳細資訊,請參閱[使用 CNAME 記錄自訂 Amazon S3 URLs](https://docs.aws.amazon.com/AmazonS3/latest/userguide/VirtualHosting.html#VirtualHostingCustomURLs)。
**其他資源**
+ [如何將主機名稱與 Amazon S3 儲存貯體建立關聯](https://docs.aws.amazon.com/AmazonS3/latest/userguide/VirtualHosting.html#VirtualHostingCustomURLsHowTo)
+ [使用 CloudFront 限制對 Amazon S3 原始伺服器的存取](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/private-content-restricting-access-to-s3.html)
**報告欄位**
+ 狀態
+ 託管區域 ID
+ 託管區域 ARN
+ 比對 CNAME 記錄
+ 不相符的 CNAME 記錄
+ 上次更新時間
## Amazon Route 53 MX 資源記錄集和寄件者政策架構
**Description**
對於每個 MX 記錄, 會檢查包含有效 SPF 值的相關聯 TXT 記錄。TXT 記錄值必須以「v=spf1」開頭。網際網路工程任務小組 (IETF) 已棄用 SPF 記錄類型。使用 Route 53 時,最佳實務是使用 TXT 記錄而非 SPF 記錄。當 MX 記錄至少有一個具有有效 SPF 值的相關聯 TXT 記錄時, 會將此檢查 Trusted Advisor 報告為綠色。
此檢查會報告條件所標記的資源,以及評估的資源總數,包括`OK`資源。資源資料表只會列出已標記的資源。
**檢查 ID**
`c9D319e7sG`
**警示條件**
+ 綠色:MX 資源記錄集具有包含有效 SPF 值的 TXT 資源記錄。
+ 黃色:MX 資源記錄集具有 TXT 或 SPF 資源記錄,其中包含有效的 SPF 值。
+ 紅色:MX 資源記錄集沒有包含有效 SPF 值的 TXT 或 SPF 資源記錄。
**建議的動作**
針對每個 MX 資源記錄集,建立包含有效 SPF 值的 TXT 或 SPF 資源記錄集。如需詳細資訊,請參閱 [Sender Policy Framework: SPF Record Syntax](http://www.open-spf.org/SPF_Record_Syntax) (寄件者政策架構:SPF 記錄語法) 和 [Creating Resource Record Sets By Using the Amazon Route 53 Console](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/RRSchanges_console.html) (使用 Amazon Route 53 主控台來建立資源記錄集)。
**其他資源**
+ [MX 記錄類型](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/ResourceRecordTypes.html#MXFormat)
+ [SPF 記錄類型](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/ResourceRecordTypes.html#SPFFormat)
+ [re:Post 指引](https://repost.aws/knowledge-center/route53-spf-record)
+ [RFC 7208](https://tools.ietf.org/html/rfc7208#section-14.1)
**報告欄位**
+ 託管區域名稱
+ 託管區域 ID
+ 資源記錄集名稱
+ 狀態
## Amazon S3 儲存貯體許可
**Description**
檢查 Amazon Simple Storage Service (Amazon S3) 中具有開放存取許可或允許存取任何已驗證 AWS 使用者的儲存貯體。
此檢查會檢查明確的儲存貯體許可,以及可能會覆寫這些許可的儲存貯體政策。建議不要將 Amazon S3 儲存貯體的 List 存取權授予所有使用者。這些許可有可能導致非預期的使用者以高頻率列出儲存貯體中的物件,進而造成費用高於預期。授予上傳和刪除存取權給所有人的許可,可能會導致儲存貯體中出現安全漏洞。
**檢查 ID**
`Pfx0RwqBli`
**警示條件**
+ 紅色:儲存貯體 ACL 允許**所有人**的清單存取或上傳/刪除存取,或未啟用**任何已驗證 AWS 的使用者**和**封鎖公開存取**設定。
+ 紅色:儲存貯體政策允許公開存取,而且未啟用**封鎖公開存取**設定。
+ Red: Trusted Advisor 沒有檢查政策的許可,或者由於其他原因無法評估政策。
+ 黃色:儲存貯體政策允許公有存取,但**限制公有儲存貯體**設定已開啟,且僅限該帳戶的授權使用者存取。
+ 黃色:儲存貯體合規,但未啟用完整的**封鎖公開存取**保護。
+ 綠色:儲存貯體符合規範,並已啟用完整的**封鎖公開存取**保護。
啟用封鎖公開存取**忽略公有 ACL 時,不會評估公有 ACLs** 授予。
**建議的動作**
如果儲存貯體授予開放式存取權,請確定是否真的需要開放式存取權。例如,若要託管靜態網站,您可以使用 Amazon CloudFront 來提供 Amazon S3 上託管的內容。請參閱《[Amazon CloudFront 開發人員指南》中的限制對 Amazon S3 原始伺服器的存取](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/private-content-restricting-access-to-s3.html)。 Amazon CloudFront 可能的話,請更新儲存貯體許可,以限制擁有者或特定使用者的存取權。使用 Amazon S3 封鎖公開存取,控制允許公開存取資料的設定。設定[設定儲存貯體及物件存取許可](https://docs.aws.amazon.com/AmazonS3/latest/user-guide/set-permissions.html)。
**其他資源**
[管理對您 Amazon S3 資源的存取許可](https://docs.aws.amazon.com/AmazonS3/latest/dev/s3-access-control.html)
[設定 Amazon S3 儲存貯體的封鎖公開存取設定](https://docs.aws.amazon.com/AmazonS3/latest/userguide/configuring-block-public-access-bucket.html)
**報告欄位**
+ 狀態
+ 區域名稱
+ 區域 API 參數
+ 儲存貯體名稱
+ ACL 允許 List 存取權
+ ACL 允許 Upload 和 Delete 存取權
+ 政策允許存取權
## 已停用具有 DNS 解析的 Amazon VPC 對等互連
**Description**
檢查您的 VPC 對等互連是否同時為接受者和請求者 VPC 開啟 DNS 解析。
VPC 對等互連的 DNS 解析可在從 VPC 查詢時,將公用 DNS 主機名稱解析為私有 IPv4 地址。這允許使用 DNS 名稱在對等 VPC 中的資源之間進行通訊。VPC 對等互連中的 DNS 解析可讓應用程式開發和管理變得更簡單、更不容易出錯,並確保資源一律會透過 VPC 對等互連進行私密通訊。
您可以使用 AWS Config 規則中的 **vpcIds** 參數來指定 VPC IDs。
如需詳細資訊,請參閱[啟用 VPC 對等互連的 DNS 解析](https://docs.aws.amazon.com/vpc/latest/peering/modify-peering-connections.html#vpc-peering-dns)。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`c18d2gz124`
**來源**
`AWS Config Managed Rule: vpc-peering-dns-resolution-check`
**警示條件**
黃色:VPC 對等互連中的接受者和請求者 VPC 皆未啟用 DNS 解析。
**建議的動作**
開啟 VPC 對等互連的 DNS 解析。
**其他資源**
+ [修改 VPC 對等互連連線選項](https://docs.aws.amazon.com/vpc/latest/peering/modify-peering-connections.html#vpc-peering-dns)
+ [VPC 中的 DNS 屬性](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-dns.html#vpc-dns-support)
**報告欄位**
+ 狀態
+ 區域
+ 資源
+ AWS Config 規則
+ 輸入參數
+ 上次更新時間
## Application Load Balancer 目標群組加密的通訊協定
**Description**
檢查 Application Load Balancer (ALB) 目標群組正在使用 HTTPS 通訊協定來加密傳輸中執行個體或 IP 後端目標類型的通訊。ALB 和後端目標之間的 HTTPS 請求有助於維護傳輸中資料的資料機密性。
**檢查 ID**
`c2vlfg0p1w`
**警示條件**
+ 黃色:使用 HTTP 的 Application Load Balancer 目標群組。
+ 綠色:使用 HTTPS 的 Application Load Balancer 目標群組。
**建議的動作**
設定後端目標類型的執行個體或 IP 以支援 HTTPS 存取,並將目標群組變更為使用 HTTPS 通訊協定來加密 ALB 與後端目標類型的執行個體或 IP 之間的通訊。
**其他資源**
[強制執行傳輸中的加密](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_protect_data_transit_encrypt.html)
[Application Load Balancer 目標類型](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/load-balancer-target-groups.html#target-type)
[Application Load Balancer 路由組態](https://docs.aws.amazon.com/elasticloadbalancing/latest/application/load-balancer-target-groups.html#target-group-routing-configuration)
[Elastic Load Balancing 中的資料保護](https://docs.aws.amazon.com/elasticloadbalancing/latest/userguide/data-protection.html)
**報告欄位**
+ 狀態
+ 區域
+ ALB Arn
+ ALB 名稱
+ ALB VPC ID
+ 目標群組 Arn
+ 目標群組名稱
+ 目標群組通訊協定
+ 上次更新時間
## AWS Backup 無資源型政策的保存庫,以防止刪除復原點
**Description**
檢查 AWS Backup 保存庫是否具有連接的資源型政策,以防止復原點刪除。
資源型政策可防止意外刪除復原點,讓您以最低權限對備份資料強制執行存取控制。
您可以指定您不希望規則在規則的 **principalArnList** 參數中檢查的 AWS Config AWS Identity and Access Management ARNs。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`c18d2gz152`
**來源**
`AWS Config Managed Rule: backup-recovery-point-manual-deletion-disabled`
**警示條件**
黃色:有保存 AWS Backup 庫沒有資源型政策以防止刪除復原點。
**建議的動作**
為您的保存 AWS Backup 庫建立資源型政策,以防止意外刪除復原點。
此政策必須包含具有 backup:DeleteRecoveryPoint、backup:UpdateRecoveryPointLifecycle,以及 backup:PutBackupVaultAccessPolicy 許可的「拒絕」陳述式。
如需詳細資訊,請參閱[設定備份文件庫的存取政策](https://docs.aws.amazon.com/aws-backup/latest/devguide/create-a-vault-access-policy.html)。
**報告欄位**
+ 狀態
+ 區域
+ 資源
+ AWS Config 規則
+ 輸入參數
+ 上次更新時間
## AWS CloudTrail 管理事件記錄
**Description**
檢查您對 的使用 AWS CloudTrail。CloudTrail 可讓您更清楚了解 中的活動 AWS 帳戶。它透過記錄帳戶上 API AWS 呼叫的相關資訊來執行此操作。例如,您可以使用這些日誌來判斷特定使用者在指定時段內採取的動作,或是哪些使用者在指定時段內對特定資源採取了動作。
由於 CloudTrail 會將日誌檔案交付至 Amazon Simple Storage Service (Amazon S3) 儲存貯體,因此 CloudTrail 必須擁有儲存貯體的寫入許可。如果線索套用到所有 AWS 區域 (建立新線索時的預設值),則線索會在 Trusted Advisor 報告中出現多次。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`c25hn9x03v`
**警示條件**
+ 紅色:不會為 建立線索 AWS 區域,也不會為任何線索啟用記錄。
+ 黃色:CloudTrail 已啟用,但所有線索都會報告日誌交付錯誤。
+ 綠色:CloudTrail 已啟用,不會報告日誌交付錯誤。
**建議的動作**
若要從主控台建立追蹤並開始記錄,請開啟 [AWS CloudTrail 主控台](https://console.aws.amazon.com/cloudtrail/home)。
若要開始記錄,請參閱[停止和開始追蹤記錄](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/create_trail_using_cli.html#stopstartclil)。
如果您收到日誌交付錯誤,請確定儲存貯體存在,且必要政策已連接至儲存貯體。請參閱 [Amazon S3 儲存貯體政策](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/create_trail_bucket_policy.html)。
**其他資源**
+ [AWS CloudTrail 使用者指南](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/)
+ [支援的區域](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/what_is_cloud_trail_supported_regions.html)
+ [支援的服務](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/what_is_cloud_trail_supported_services.html)
+ [為組織建立線索](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/creating-trail-organization.html)
**報告欄位**
+ 狀態
+ 區域
+ 已啟用記錄
+ 已回報交付錯誤
+ 上次更新時間
## AWS Lambda 使用已棄用執行時間的函數
**Description**
檢查其 \$1LATEST 版本設定為使用即將棄用或已棄用之執行時間的 Lambda 函數。已棄用的執行時間不符合安全性更新或技術支援的資格
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
已發佈的 Lambda 函數版本是不可變的,這表示可以叫用它們,但無法更新它們。只能更新 Lambda 函數的 `$LATEST` 版本。如需詳細資訊,請參閱 [Lambda 函數版本](https://docs.aws.amazon.com/lambda/latest/dg/configuration-versions.html)。
**檢查 ID**
`L4dfs2Q4C5`
**警示條件**
+ 紅色:函數的 \$1LATEST 版本設定為使用已棄用的執行時間。
+ 黃色:函數的 \$1LATEST 版本正在即將棄用的執行時間上執行。函數會在執行時間棄用日期前至少 180 天包含。
**建議的動作**
如果您有函數正在接近棄用的執行階段上執行,您應該準備將這些函數遷移至受支援的執行階段。如需詳細資訊,請參閱[執行階段支援政策](https://docs.aws.amazon.com/lambda/latest/dg/runtime-support-policy.html)。
建議您刪除已不再使用的先前函數版本。
**其他資源**
[Lambda 執行階段](https://docs.aws.amazon.com/lambda/latest/dg/lambda-runtimes.html)
**報告欄位**
+ 狀態
+ 區域
+ 函數 ARN
+ 執行時期
+ 距離棄用的天數
+ 取代日期
+ 平均每日叫用次數
+ 上次更新時間
## AWS Well-Architected 安全性的高風險問題
**Description**
檢查安全性支柱中,工作負載是否有高風險問題 (HRI)。這項檢查是以您的 AWS-Well Architected 檢閱為基礎。您的檢查結果取決於您是否使用 AWS Well-Architected 完成工作負載評估。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
**檢查 ID**
`Wxdfp4B1L3`
**警示條件**
+ 紅色:在 AWS Well-Architected 的安全支柱中至少發現一個作用中的高風險問題。
+ 綠色:在 AWS Well-Architected 的安全支柱中未偵測到作用中的高風險問題。
**建議的動作**
AWS Well-Architected 在工作負載評估期間偵測到高風險問題。解決這些問題,可能有機會降低風險和節省成本。登入 [AWS Well-Architected](https://console.aws.amazon.com/wellarchitected) 工具,檢閱答案並採取行動,解決待處理的問題。
**報告欄位**
+ 狀態
+ 區域
+ 工作負載 ARN
+ 工作負載名稱
+ 檢閱者姓名
+ 工作負載類型
+ 工作負載開始日期
+ 工作負載上次修改日期
+ 安全性方面已識別的高風險問題數量
+ 安全性方面已解決的高風險問題數量
+ 安全性方面的問題數量
+ 安全性支柱中的問題總數
+ 上次更新時間
## IAM 憑證存放區中的 CloudFront 自訂 SSL 憑證
**Description**
此檢查適用於傳統 Amazon CloudFront 分佈。
檢查 IAM 憑證存放區中的 SSL 憑證是否有 CloudFront 備用網域名稱。這項檢查會在憑證過期、即將過期、使用過期的加密或未正確設定分佈時發出提醒。
當備用網域名稱的自訂憑證到期時,顯示 CloudFront 內容的瀏覽器可能會出現有關您網站安全性的警告訊息。使用 SHA-1 雜湊演算法加密的憑證已由大多數 Web 瀏覽器取代,例如 Chrome 和 Firefox。
憑證包含的網域名稱,必須與原始網域名稱或檢視者請求之主機標頭中的網域名稱相符。如果不相符,CloudFront 會傳回 HTTP 狀態代碼 502 (錯誤閘道) 給使用者。如需詳細資訊,請參閱[使用備用網域名稱與 HTTPS](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/SecureConnections.html#CNAMEsAndHTTPS)。
此檢查會報告條件所標記的資源,以及評估的資源總數,包括`OK`資源。資源資料表只會列出已標記的資源。
**檢查 ID**
`N425c450f2`
**警示條件**
+ 紅色:自訂 SSL 憑證已過期。
+ 黃色:自訂 SSL 憑證會在接下來的七天內到期。
+ 黃色:自訂 SSL 憑證使用 SHA-1 雜湊演算法加密。
+ 黃色:分佈中的一個或多個備用網域名稱沒有出現在自訂 SSL 憑證的 Common Name (通用名稱) 欄位或 Subject Alternative Names (主體備用名稱) 欄位中。
**建議的動作**
建議您使用 AWS Certificate Manager 來佈建、管理和部署伺服器憑證。使用 ACM,您可以請求新的憑證,或將現有的 ACM 或外部憑證部署至 AWS 資源。ACM 提供的憑證是免費的,並且可以自動續約。如需有關使用 ACM 的詳細資訊,請參閱《 使用者指南》[AWS Certificate Manager](https://docs.aws.amazon.com/acm/latest/userguide/acm-overview.html)。若要驗證 AWS 區域 ACM 支援,請參閱 中的[AWS Certificate Manager 端點](https://docs.aws.amazon.com/general/latest/gr/acm.html)和配額 AWS 一般參考。
續約過期的憑證或即將過期的憑證。如需續約憑證的詳細資訊,請參閱在 IAM 中[管理伺服器憑證](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_server-certs.html)。
以使用 SHA-256 雜湊演算法加密的憑證,取代使用 SHA-1 雜湊演算法加密的憑證。
以 Common Name (通用名稱) 欄位或 Subject Alternative Names (主體備用網域名稱) 欄位中有適用值的憑證來取代該憑證。
**其他資源**
[使用 HTTPS 連線存取物件](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/SecureConnections.html)
[匯入憑證](https://docs.aws.amazon.com/acm/latest/userguide/import-certificate.html)
[AWS Certificate Manager 使用者指南](https://docs.aws.amazon.com/acm/latest/userguide/acm-overview.html)
**報告欄位**
+ 狀態
+ 分佈 ID
+ 分佈網域名稱
+ 憑證名稱
+ Reason
## 原始伺服器上的 CloudFront SSL 憑證
**Description**
檢查原始伺服器是否有已過期、即將過期、遺失或使用過期加密的 SSL 憑證。如果憑證出現上述任一問題,CloudFront 會以 HTTP 狀態代碼 502 (錯誤閘道) 回應您的內容請求。
Chrome 和 Firefox 等 Web 瀏覽器已棄用使用 SHA-1 雜湊演算法加密的憑證。根據您與 CloudFront 分佈相關聯的 SSL 憑證數量,此檢查可能會向您的 Web 託管供應商的帳單新增每月幾分錢,例如, AWS 如果您使用 Amazon EC2 或 Elastic Load Balancing 作為 CloudFront 分佈的原始伺服器。此檢查不會驗證您的原始伺服器憑證鏈結或憑證授權單位。您可以在 CloudFront 組態中檢查這些事項。
此檢查會報告條件所標記的資源,以及評估的資源總數,包括`OK`資源。資源資料表只會列出已標記的資源。
**檢查 ID**
`N430c450f2`
**警示條件**
+ 紅色:您原始伺服器上的 SSL 憑證已過期或遺失。
+ 黃色:您原始伺服器上的 SSL 憑證會在三十天後到期。
+ 黃色:您原始伺服器上的 SSL 憑證使用 SHA-1 雜湊演算法加密。
+ 黃色:找不到您原始伺服器上的 SSL 憑證。連線可能因為逾時或其他 HTTPS 連線問題而失敗。
**建議的動作**
如果您原始伺服器上的憑證已過期或即將到期,請更新憑證。
如果憑證不存在,則新增憑證。
以使用 SHA-256 雜湊演算法加密的憑證,取代使用 SHA-1 雜湊演算法加密的憑證。
**其他資源**
[使用備用網域名稱和 HTTPS](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/SecureConnections.html#CNAMEsAndHTTPS)
**報告欄位**
+ 狀態
+ 分佈 ID
+ 分佈網域名稱
+ Origin
+ Reason
## ELB 接聽程式安全性
**Description**
檢查具有未使用建議安全組態進行加密通訊之接聽程式的傳統負載平衡器。 AWS 建議您使用安全通訊協定 (HTTPS 或 SSL)、up-to-date安全政策,以及安全的密碼和通訊協定。當您為前端連線 (用戶端至負載平衡器) 使用安全通訊協定時,請求會在用戶端和負載平衡器之間加密。這會建立更安全的環境。Elastic Load Balancing 提供預先定義的安全政策,其加密和通訊協定符合 AWS 安全最佳實務。預先定義政策的新版本會隨著新組態開放使用而發佈。
**檢查 ID**
`a2sEc6ILx`
**警示條件**
+ 紅色:負載平衡器沒有使用安全通訊協定 (HTTPS) 設定的接聽程式。
+ 黃色:負載平衡器 HTTPS 接聽程式設定了包含弱密碼的安全政策。
+ 黃色:未使用建議的安全政策設定負載平衡器 HTTPS 接聽程式。
+ 綠色:負載平衡器至少有一個 HTTPS 接聽程式,且所有 HTTPS 接聽程式都設定了建議的政策。
**建議的動作**
如果到負載平衡器的流量必須是安全的,請使用 HTTPS 或 SSL 通訊協定進行前端連線。
將負載平衡器升級至最新版本的預先定義 SSL 安全政策。
僅使用建議的密碼和通訊協定。
如需詳細資訊,請參閱 [Elastic Load Balancing 的接聽程式組態](https://docs.aws.amazon.com/ElasticLoadBalancing/latest/DeveloperGuide/elb-listener-config.html)。
**其他資源**
+ [接聽程式組態快速參考](https://docs.aws.amazon.com/ElasticLoadBalancing/latest/DeveloperGuide/using-elb-listenerconfig-quickref.html)
+ [更新負載平衡器的 SSL 溝通組態](https://docs.aws.amazon.com/ElasticLoadBalancing/latest/DeveloperGuide/ssl-config-update.html)
+ [Elastic Load Balancing 的 SSL 溝通組態](https://docs.aws.amazon.com/ElasticLoadBalancing/latest/DeveloperGuide/elb-ssl-security-policy.html)
+ [SSL 安全政策表](https://docs.aws.amazon.com/ElasticLoadBalancing/latest/DeveloperGuide/elb-security-policy-table.html)
**報告欄位**
+ 狀態
+ 區域
+ 負載平衡器名稱
+ 負載平衡器連接埠
+ Reason
## Classic Load Balancer 安全群組
**Description**
檢查是否有使用安全群組設定的負載平衡器,允許存取未為負載平衡器設定的連接埠。
如果安全群組允許存取未針對負載平衡器設定的連接埠,資料遺失或遭受惡意攻擊的風險就會增加。
**檢查 ID**
`xSqX82fQu`
**警示條件**
+ 黃色:與負載平衡器相關聯的 Amazon VPC 安全群組的傳入規則,允許存取未在負載平衡器的接聽程式組態中定義的連接埠。
+ 綠色:與負載平衡器相關聯的 Amazon VPC 安全群組傳入規則不允許存取負載平衡器接聽程式組態中未定義的連接埠。
**建議的動作**
設定安全群組規則,將存取權設定為僅限僅負載平衡器接聽程式組態中定義的連接埠和通訊協定可以使用,以及支援 Path MTU 探索的 ICMP 通訊協定可以使用。請參閱 [Classic Load Balancer 的接聽程式](https://docs.aws.amazon.com/elasticloadbalancing/latest/classic/elb-listener-config.html)和[在 VPC 中負載平衡器的安全群組](https://docs.aws.amazon.com/elasticloadbalancing/latest/classic/elb-security-groups.html#elb-vpc-security-groups)。
如果遺失安全群組,請將新的安全群組套用至負載平衡器。建立安全群組規則,將存取權設定為僅限僅負載平衡器接聽程式組態中定義的連接埠和通訊協定可以使用。請參閱[在 VPC 中負載平衡器的安全群組](https://docs.aws.amazon.com/elasticloadbalancing/latest/classic/elb-security-groups.html#elb-vpc-security-groups)。
**其他資源**
+ [Elastic Load Balancing User Guide](https://docs.aws.amazon.com/elasticloadbalancing/latest/userguide/) (《Elastic Load Balancing 使用者指南》)
+ [遷移 Classic Load Balancer](https://docs.aws.amazon.com/elasticloadbalancing/latest/userguide/migrate-classic-load-balancer.html)
+ [設定 Classic Load Balancer](https://docs.aws.amazon.com/elasticloadbalancing/latest/classic/elb-configure-load-balancer.html)
**報告欄位**
+ 狀態
+ 區域
+ 負載平衡器名稱
+ 安全群組 ID
+ Reason
## 存取金鑰已暴露
**Description**
檢查常用的程式碼存放庫是否有已遭暴露的存取金鑰,以及可能因為存取金鑰遭入侵而造成的不正常的 Amazon Elastic Compute Cloud (Amazon EC2) 用量。
存取金鑰由存取金鑰 ID 和對應的私密存取金鑰組成。遭暴露的存取金鑰會對您的帳戶和其他使用者構成安全風險,可能會導致未經授權的活動或濫用而產生過多費用,以及違反 [AWS 客戶協議](https://aws.amazon.com/agreement)。
如果您的存取金鑰已遭暴露,請立即採取行動來保護您的帳戶。為了保護您的帳戶免於產生過多費用, AWS 會暫時限制您建立某些 AWS 資源的能力。這無法確保您的帳戶安全。只能限制部分您可能需支付費用的未經授權使用。
此檢查並不保證能識別遭暴露的存取金鑰或遭入侵的 EC2 執行個體。您最終必須負責存取金鑰 AWS 和資源的安全。
此檢查的結果會每天自動重新整理數次,且不允許重新整理請求。變更可能需要幾個小時才會顯示。
對於 AWS Business Support\$1、 AWS Enterprise Support 或 AWS Unified Operations 計劃客戶,您可以使用 [BatchUpdateRecommendationResourceExclusion](https://docs.aws.amazon.com/trustedadvisor/latest/APIReference/API_BatchUpdateRecommendationResourceExclusion.html) API 從您的 Trusted Advisor 結果中包含或排除一或多個資源。
如果顯示存取金鑰的截止日期, AWS 帳戶 如果在該日期之前未停止未經授權的使用, AWS 可能會暫停您的 。如果您認為警示有誤,[請聯絡 AWS 支援](https://console.aws.amazon.com/support/home?#/case/create?issueType=customer-service&serviceCode=customer-account&categoryCode=security)。
中顯示的資訊 Trusted Advisor 可能不會反映您帳戶的最新狀態。在帳戶上所有公開的存取金鑰都解決之前,不會將公開的存取金鑰標記為已解決。此資料同步最多可能需要一週的時間。
**檢查 ID**
`12Fnkpl8Y5`
**警示條件**
+ 紅色:可能已洩露 – AWS 已識別已在網際網路上公開且可能已洩露 (已使用) 的存取金鑰 ID 和對應的私密存取金鑰。
+ 紅色:已公開 – AWS 已識別已在網際網路上公開的存取金鑰 ID 和對應的私密存取金鑰。
+ 紅色:可疑 – 異常的 Amazon EC2 使用情況表示存取金鑰可能已遭到入侵,但尚未被識別為已在網際網路上公開。
**建議的動作**
儘快刪除受影響的存取金鑰。如果金鑰與 IAM 使用者相關聯,請參閱[管理 IAM 使用者的存取金鑰](https://docs.aws.amazon.com/IAM/latest/UserGuide/ManagingCredentials.html)。
檢查您的帳戶是否有未經授權的使用。登入 [AWS 管理主控台](https://console.aws.amazon.com/) 並檢查每個服務控制台是否存在可疑資源。請特別注意正在執行中的 Amazon EC2 執行個體、Spot 執行個體請求、存取金鑰和 IAM 使用者。您還可以在[帳單和成本管理主控台](https://console.aws.amazon.com/billing/home#/)上檢查整體使用情況。
**其他資源**
+ [管理 AWS 存取金鑰的最佳實務](https://docs.aws.amazon.com/general/latest/gr/aws-access-keys-best-practices.html)
+ [AWS 安全稽核準則](https://docs.aws.amazon.com/general/latest/gr/aws-security-audit-guide.html)
**報告欄位**
+ 存取金鑰 ID
+ 使用者名稱 (IAM 或根)
+ 詐騙類型
+ 案例 ID
+ 更新時間
+ Location
+ 截止日期
+ 用量 (美元/日)
## IAM 存取金鑰輪換
**Description**
檢查是否有作用中 IAM 存取金鑰過去 90 天內未輪換。
若定期輪換存取金鑰,可以減少在您不知情的情況下使用遭入侵的金鑰來存取資源的機會。就這項檢查的目的而言,上次輪換日期和時間指的是建立存取金鑰或上次啟用的時間。存取金鑰編號和日期來自最新 IAM 憑證報告中的 `access_key_1_last_rotated` 和 `access_key_2_last_rotated` 資訊。
由於憑證報告的重新產生頻率受到限制,因此重新整理此檢查可能不會反映最近的變更。如需詳細資訊,請參閱[取得 AWS 帳戶帳戶的憑證報告](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_getting-report.html)。
若要建立和輪換存取金鑰,使用者必須擁有相應的許可。如需詳細資訊,請參閱[允許使用者管理自己的密碼、存取金鑰和 SSH 金鑰](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_delegate-permissions_examples.html#creds-policies-credentials)。
**檢查 ID**
`DqdJqYeRm5`
**警示條件**
+ 綠色:存取金鑰處於作用中狀態,並在過去的 90 天內輪換過。
+ 黃色:存取金鑰處於作用中狀態,並在過去 2 年內輪換過,但輪換時間已超過 90 天。
+ 紅色:存取金鑰處於作用中狀態,但在過去 2 年內沒有輪換過。
**建議的動作**
定期輪換存取金鑰。請參閱[輪換存取金鑰](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_access-keys.html#Using_RotateAccessKey)和[管理 IAM 使用者的存取金鑰](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_access-keys.html)。
**其他資源**
+ [IAM 最佳實務](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)
+ [如何輪換 IAM 使用者的存取金鑰](https://aws.amazon.com/blogs/security/how-to-rotate-access-keys-for-iam-users/)
**報告欄位**
+ 狀態
+ IAM 使用者
+ 存取金鑰
+ 上次輪換的金鑰
+ Reason
## IAM Access Analyzer 外部存取
**Description**
檢查帳戶層級的 IAM Access Analyzer 外部存取權是否存在。
IAM Access Analyzer 外部存取分析器可協助識別您帳戶中與外部實體共用的資源。分析器接著會建立包含調查結果的集中式儀表板。在 IAM 主控台中啟用新的分析器之後,安全團隊就可以根據過多許可排定要檢閱哪些帳戶的優先順序。外部存取分析器會建立資源的公有和跨帳戶存取調查結果,並且免費提供。
**檢查 ID**
`07602fcad6`
**警示條件**
+ 紅色:未在帳戶層級啟用分析器外部存取權。
+ 綠色:分析器外部存取權會在帳戶層級啟用。
**建議的動作**
每個帳戶的外部存取分析器建立可協助安全團隊根據過多許可排定要檢閱哪些帳戶的優先順序。如需詳細資訊,請參閱[問題 AWS Identity and Access Management Access Analyzer 清單入門](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-getting-started.html)。
此外,最佳實務是使用未使用的存取分析器,這是一種付費功能,可簡化檢查未使用的存取,以引導您取得最低權限。如需詳細資訊,請參閱[識別授予 IAM 使用者和角色的未使用存取權](https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html#what-is-access-analyzer-unused-access-analysis)。
**其他資源**
+ [使用 AWS Identity and Access Management Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html#what-is-access-analyzer-resource-identification)
+ [IAM Access Analyzer 更新:尋找未使用的存取權、在部署之前檢查政策 ](https://aws.amazon.com/blogs/aws/iam-access-analyzer-updates-find-unused-access-check-policies-before-deployment)
**報告欄位**
+ 狀態
+ 區域
+ 帳戶外部存取分析器 Arn
+ Organization External Access Analyzer Arns
+ 上次更新時間
## IAM 密碼政策
**Description**
檢查帳戶的密碼策略,並在密碼政策未啟用或密碼內容要求未啟用時發出警告。
密碼內容要求可藉由強制建立高強度使用者密碼,提高您 AWS 環境的整體安全性。建立或變更密碼政策時,對立即為新的使用者強制執行該項變更,但不會要求現有使用者變更密碼。
**檢查 ID**
`Yw2K9puPzl`
**警示條件**
+ 綠色:啟用密碼政策並啟用建議的內容需求。
+ 黃色:已啟用密碼政策,但至少有一項內容要求未啟用。
**建議的動作**
如果未啟用某些內容要求,請考慮啟用它們。如果未啟用密碼政策,請建立並設定一個密碼政策。請參閱[設定 IAM 使用者的帳戶密碼政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/Using_ManagingPasswordPolicies.html)。
若要存取 AWS 管理主控台,IAM 使用者需要密碼。作為最佳實務, AWS 強烈建議您不要建立 IAM 使用者,而是使用聯合。聯合允許使用者使用其現有的公司登入資料來登入 AWS 管理主控台。使用 IAM Identity Center 建立或聯合使用者,然後在 帳戶中擔任 IAM 角色。
若要進一步了解身分提供者和聯合身分,請參閱《IAM 使用者指南》中的[身分提供者和聯合身分](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_providers.html)。若要進一步了解 IAM Identity Center,請參閱 [IAM Identity Center 使用者指南](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html)。
**其他資源**
[管理密碼](https://docs.aws.amazon.com/IAM/latest/UserGuide/Credentials-ManagingPasswords.html)
**報告欄位**
+ 密碼政策
+ 大寫
+ 小寫
+ Number
+ 非英數字元
## IAM SAML 2.0 身分提供者
**Description**
檢查 是否 AWS 帳戶 設定為透過支援 SAML 2.0 的身分提供者 (IdP) 存取。當您集中身分並在[外部身分提供者](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers.html)或 中設定使用者時,請務必遵循最佳實務[AWS IAM Identity Center](https://aws.amazon.com/single-sign-on/)。
**檢查 ID**
`c2vlfg0p86`
**警示條件**
+ 黃色:此帳戶未設定為透過支援 SAML 2.0 的身分提供者 (IdP) 存取。
+ 綠色:此帳戶設定為透過支援 SAML 2.0 的身分提供者 (IdP) 存取。
**建議的動作**
為 啟用 IAM Identity Center AWS 帳戶。如需詳細資訊,請參閱[EnablingIAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/get-set-up-for-idc.html)。開啟 IAM Identity Center 之後,您可以執行常見的任務,例如建立許可集並指派 Identity Center 群組的存取權。如需詳細資訊,請參閱[常見任務](https://docs.aws.amazon.com/singlesignon/latest/userguide/getting-started.html)。
這是在 IAM Identity Center 中管理人類使用者的最佳實務。但是,您可以使用 IAM 為小型部署的人類使用者短期啟用聯合身分使用者存取。如需詳細資訊,請參閱 [SAML 2.0 聯合](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_saml.html)。
**其他資源**
[什麼是 IAM Identity Center?](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html)
[什麼是 IsIAM?](https://docs.aws.amazon.com/IAM/latest/UserGuide/IAM_Introduction.html)
**報告欄位**
+ 狀態
+ AWS 帳戶 ID
+ 上次更新時間
## 根帳戶的 MFA
**Description**
檢查帳戶的根使用者憑證,並在未啟用多重驗證 (MFA) 時發出警告。
為了提高安全性,我們建議您使用 MFA 來保護您的帳戶,這需要使用者在與 AWS 管理主控台 和相關聯的網站互動時,從其 MFA 硬體或虛擬裝置輸入唯一的驗證碼。
對於您的 AWS Organizations 管理帳戶, 存取 時 AWS 需要根使用者的多重驗證 (MFA) AWS 管理主控台。
對於您的 AWS Organizations 成員帳戶,我們建議您使用 集中管理根登入資料 AWS Identity and Access Management。成員帳戶根使用者憑證可以集中刪除,無需管理根使用者憑證上的 MFA。如需詳細資訊,請參閱*AWS Organizations 《 使用者指南*》中的[成員帳戶的最佳實務](https://docs.aws.amazon.com/organizations/latest/userguide/best-practices_member-acct.html)。
**檢查 ID**
`7DAFEmoDos`
**警示條件**
+ 紅色:根帳戶上未啟用 MFA。
+ 綠色:不存在根使用者登入資料 (根密碼),或為帳戶啟用 MFA。
**建議的動作**
**如果這是 中的成員帳戶 AWS Organizations:**登入您的管理帳戶,在 IAM 中啟用根存取管理功能,並從此成員帳戶移除您的根使用者憑證。請參閱[集中成員帳戶的根存取權](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_root-enable-root-access.html)。
**如果這是 中的獨立或管理帳戶 AWS Organizations:**登入您的根帳戶並啟用 MFA 裝置。如需詳細資訊,請參閱在 IAM 中[檢查 MFA 狀態](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_checking-status.html)和多重要素驗證 [AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa.html)
**其他資源**
+ [集中管理成員帳戶的根存取權](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#id_root-user-access-management)
+ [AWS IAM 中的多重要素驗證](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa.html)
+ [AWS 帳戶 根使用者的多重要素驗證](https://docs.aws.amazon.com/IAM/latest/UserGuide/enable-mfa-for-root.html)
## 根使用者存取金鑰
**Description**
檢查根使用者存取金鑰是否存在。強烈建議您不要為根使用者建立存取金鑰對。由於[只有少數任務需要根使用者,](https://docs.aws.amazon.com/IAM/latest/UserGuide/root-user-tasks.html)而且您通常不常執行這些任務,因此最佳實務是登入 AWS 管理主控台 以執行根使用者任務。建立存取金鑰之前,請檢閱[長期存取金鑰的替代方案](https://docs.aws.amazon.com/IAM/latest/UserGuide/security-creds.html#sec-alternatives-to-long-term-access-keys)。
**檢查 ID**
`c2vlfg0f4h`
**警示條件**
+ 紅色:根使用者存取金鑰存在
+ 綠色:根使用者存取金鑰不存在
**建議的動作**
刪除根使用者的存取金鑰 (s)。請參閱[刪除根使用者的存取金鑰](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user_manage_delete-key.html)。此任務必須由根使用者執行。您無法以 IAM 使用者或角色的身分執行這些步驟。
**其他資源**
+ [需要根使用者憑證的任務](https://docs.aws.amazon.com/IAM/latest/UserGuide/root-user-tasks.html)
+ [重設遺失或忘記的根使用者密碼](https://docs.aws.amazon.com/IAM/latest/UserGuide/reset-root-password.html)
報告欄位
+ 狀態
+ 帳戶 ID
+ 上次更新時間
## 安全群組-— 不受限制的特定連接埠
**Description**
檢查安全群組的規則是否允許對特定連接埠進行無限制存取 (0.0.0.0/0)。
不受限制的存取會增加惡意活動的機會 (駭客攻擊、阻斷服務攻擊、資料遺失)。風險最高的連接埠會標示為紅色,而風險較低的連接埠會標示為黃色。標示為綠色的連接埠通常由需要不受限制存取的應用程式 (例如 HTTP 和 SMTP) 使用。
如果您刻意以這種方式設定安全群組,建議您使用其他安全措施來保護基礎設施 (例如 IP 表)。
此檢查只會評估您為 IPv4 地址建立的安全群組及其傳入規則。建立 AWS Directory Service 的安全群組會標記為紅色或黃色,但不會構成安全風險,而且可以排除。如需詳細資訊,請參閱 [Trusted Advisor 常見問答集](https://aws.amazon.com/premiumsupport/faqs/#AWS_Trusted_Advisor)。
此檢查會報告由條件標記的資源,以及評估的資源總數,包括`OK`資源。資源資料表只會列出已標記的資源。
**檢查 ID**
`HCP4007jGY`
**警示條件**
+ 綠色:安全群組可在連接埠 80、25、443 或 465 上提供不受限制的存取。
+ 紅色:安全群組連接到資源,並提供連接埠 20、21、22、1433、1434、3306、3389、4333、5432 或 5500 的無限制存取。
+ 黃色:安全群組提供對任何其他連接埠的無限制存取。
+ 黃色:安全群組未連接到任何資源,並提供不受限制的存取。
**建議的動作**
將存取權設定為僅限需要存取權的 IP 地址使用。若要將存取權設定為僅限特定 IP 地址使用,請將尾碼設定為 /32 (例如 192.0.2.10/32)。建立更嚴格的規則之後,請務必刪除過於寬鬆的規則。
檢閱和刪除未使用的安全群組。您可以使用 AWS Firewall Manager 跨 大規模集中設定和管理安全群組 AWS 帳戶。如需詳細資訊,請參閱 [AWS Firewall Manager 文件](https://docs.aws.amazon.com/waf/latest/developerguide/fms-chapter.html)。
考慮使用 Systems Manager Sessions Manager for SSH (連接埠 22) 和 RDP (連接埠 3389) 存取 EC2 執行個體。使用工作階段管理員,您可以存取 EC2 執行個體,而無需在安全群組中啟用連接埠 22 和 3389。
**其他資源**
+ [Amazon EC2 安全群組](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-network-security.html)
[TCP 和 UDP 連接埠號碼清單](http://en.wikipedia.org/wiki/List_of_TCP_and_UDP_port_numbers)
+ [無類別網域間路由](http://en.wikipedia.org/wiki/Classless_Inter-Domain_Routing)
+ [使用工作階段管理員](https://docs.aws.amazon.com/systems-manager/latest/userguide/session-manager-working-with.html)
+ [AWS Firewall Manager](https://docs.aws.amazon.com/waf/latest/developerguide/fms-chapter.html)
**報告欄位**
+ 狀態
+ 區域
+ 安全群組名稱
+ 安全群組 ID
+ 通訊協定
+ 從連接埠
+ 到連接埠
+ 關聯
## 安全群組 - 不受限制的存取
**Description**
檢查安全群組的規則是否允許不受限制存取資源。
不受限制的存取會增加惡意活動的機會 (駭客攻擊、阻斷服務攻擊、資料遺失)。
此檢查只會評估您建立的安全群組及其 IPv4 地址的傳入規則。建立的安全群組會 AWS Directory Service 標記為紅色或黃色,但不會構成安全風險,而且可以排除。如需詳細資訊,請參閱 [Trusted Advisor 常見問答集](https://aws.amazon.com/premiumsupport/faqs/#AWS_Trusted_Advisor)。
此檢查會報告由條件標記的資源,以及評估的資源總數,包括`OK`資源。資源資料表只會列出已標記的資源。
**檢查 ID**
`1iG5NDGVre`
**警示條件**
+ 綠色:安全群組規則具有連接埠 25、80 或 443 的 /0 尾碼的來源 IP 地址。
+ 黃色:安全群組規則具有 /0 尾碼的來源 IP 地址,用於 25、80 或 443 以外的連接埠,且安全群組會連接到資源。
+ 紅色:安全群組規則具有 /0 尾碼的來源 IP 地址,用於 25、80 或 443 以外的連接埠,且安全群組未連接到資源。
**建議的動作**
將存取權設定為僅限需要存取權的 IP 地址使用。若要將存取權設定為僅限特定 IP 地址使用,請將尾碼設定為 /32 (例如 192.0.2.10/32)。建立更嚴格的規則之後,請務必刪除過於寬鬆的規則。
檢閱和刪除未使用的安全群組。您可以使用 AWS Firewall Manager 跨 大規模集中設定和管理安全群組 AWS 帳戶。如需詳細資訊,請參閱 [AWS Firewall Manager 文件](https://docs.aws.amazon.com/waf/latest/developerguide/fms-chapter.html)。
考慮使用 Systems Manager Sessions Manager for SSH (連接埠 22) 和 RDP (連接埠 3389) 存取 EC2 執行個體。使用工作階段管理員,您可以存取 EC2 執行個體,而無需在安全群組中啟用連接埠 22 和 3389。
**其他資源**
+ [Amazon EC2 安全群組](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-network-security.html)
+ [無類別網域間路由](http://en.wikipedia.org/wiki/Classless_Inter-Domain_Routing)
+ [使用工作階段管理員](https://docs.aws.amazon.com/systems-manager/latest/userguide/session-manager-working-with.html)
+ [AWS Firewall Manager](https://docs.aws.amazon.com/waf/latest/developerguide/fms-chapter.html)
**報告欄位**
+ 狀態
+ 區域
+ 安全群組名稱
+ 安全群組 ID
+ 通訊協定
+ 從連接埠
+ 到連接埠
+ IP 範圍
+ 關聯