本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 在您的環境中帶來高或極高安全風險的變更
<a name="acc-sec-high-risk-con"></a>

下列變更會在您的環境中帶來高或非常高的安全風險：

**AWS Identity and Access Management**
+ High\$1Risk-IAM-001：建立根帳戶的存取金鑰
+ High\$1Risk-IAM-002：修改 SCP 政策以允許其他存取
+ High\$1Risk-IAM-003：修改 SCP 政策可能會破壞 AMS 基礎設施
+ High\$1Risk-IAM-004：在客戶帳戶中建立具有基礎設施變動許可 （寫入、許可管理或標記） 的角色/使用者
+ High\$1Risk-IAM-005：IAM 角色信任 AMS 帳戶與第三方帳戶之間的政策 （非客戶所擁有）
+ High\$1Risk-IAM-006：跨帳戶政策，透過第三方帳戶從 AMS 帳戶存取任何 KMS 金鑰）
+ High\$1Risk-IAM-007：來自第三方帳戶的跨帳戶政策，用於存取可存放資料的 AMS 客戶 S3 儲存貯體或資源 （例如 Amazon RDS、Amazon DynamoDB 或 Amazon Redshift)
+ High\$1Risk-IAM-008：指派具有客戶帳戶中任何基礎設施變動許可的 IAM 許可
+ High\$1Risk-IAM-009：允許列出和讀取帳戶中的所有 S3 儲存貯體

**網路安全**
+ High\$1Risk-NET-001：從網際網路開啟作業系統管理連接埠 SSH/22 或 SSH/2222 （非 SFTP/2222)、TELNET/23、RDP/3389、WinRM/5985-5986、VNC/5900-5901 TS/CITRIX/1494 或 1604、LDAP/389 或 636 和 NETBIOS/137-139
+ High\$1Risk-NET-002：從網際網路開啟資料庫管理連接埠 MySQL/3306、PostgreSQL/5432、Oracle/1521、MSSQL/1433 或任何管理客戶連接埠
+ High\$1Risk-NET-003：直接在任何運算資源上開啟應用程式連接埠 HTTP/80、HTTPS/8443 和 HTTPS/443。例如，EC2 執行個體、ECS/EKS/Fargate 容器等來自網際網路
+ High\$1Risk-NET-004：安全群組的任何變更，可控制對 AMS 基礎設施的存取
+ High\$1Risk-NET-006：VPC 與第三方帳戶互連 （非客戶擁有）
+ High\$1Risk-NET-007：新增客戶防火牆作為所有 AMS 流量的輸出點
+ High\$1Risk-NET-008：不允許與第三方帳戶連接 Transit Gateway
+ High\$1Risk-S3-001：在 S3 儲存貯體中佈建或啟用公開存取

**日誌**
+ High\$1Risk-LOG-001：停用 CloudTrail。
+ High\$1Risk-LOG-002：停用 VPC 流程日誌。
+ High\$1Risk-LOG-003：透過任何方法 (S3 事件通知、SIEM 代理程式提取、SIEM 代理程式推送等） 將日誌從 AMS 受管帳戶轉送至第三方帳戶 （非客戶擁有）
+ High\$1Risk-LOG-004：針對 CloudTrail 使用非 AMS 追蹤

**Miscellaneous (其他)**
+ High\$1Risk-ENC-001：啟用任何資源時停用加密