在您的環境中帶來高或極高安全風險的變更

High_Risk-IAM-001：建立根帳戶的存取金鑰

High_Risk-IAM-002：修改 SCP 政策以允許其他存取

High_Risk-IAM-003：修改 SCP 政策可能會破壞 AMS 基礎設施

High_Risk-IAM-004：在客戶帳戶中建立具有基礎設施變動許可 （寫入、許可管理或標記） 的角色/使用者

High_Risk-IAM-005：IAM 角色信任 AMS 帳戶與第三方帳戶之間的政策 （非客戶所擁有）

High_Risk-IAM-006：跨帳戶政策，透過第三方帳戶從 AMS 帳戶存取任何 KMS 金鑰）

High_Risk-IAM-007：來自第三方帳戶的跨帳戶政策，用於存取可存放資料的 AMS 客戶 S3 儲存貯體或資源 （例如 Amazon RDS、Amazon DynamoDB 或 Amazon Redshift)

High_Risk-IAM-008：指派具有客戶帳戶中任何基礎設施變動許可的 IAM 許可

High_Risk-IAM-009：允許列出和讀取帳戶中的所有 S3 儲存貯體

High_Risk-IAM-010：具有讀取/寫入許可的自動化 IAM 佈建

High_Risk-NET-001：從網際網路開啟作業系統管理連接埠 SSH/22 或 SSH/2222 （非 SFTP/2222)、TELNET/23、RDP/3389、WinRM/5985-5986、VNC/5900-5901 TS/CITRIX/1494 或 1604、LDAP/389 或 636 和 NETBIOS/137-139

High_Risk-NET-002：從網際網路開啟資料庫管理連接埠 MySQL/3306、PostgreSQL/5432、Oracle/1521、MSSQL/1433 或任何管理客戶連接埠

High_Risk-NET-003：直接在任何運算資源上開啟應用程式連接埠 HTTP/80、HTTPS/8443 和 HTTPS/443。例如，EC2 執行個體、ECS/EKS/Fargate 容器等來自網際網路

High_Risk-NET-004：安全群組的任何變更，可控制對 AMS 基礎設施的存取

High_Risk-NET-006：VPC 與第三方帳戶互連 （非客戶擁有）

High_Risk-NET-007：新增客戶防火牆作為所有 AMS 流量的輸出點

High_Risk-NET-008：不允許與第三方帳戶連接 Transit Gateway

High_Risk-S3-001：在 S3 儲存貯體中佈建或啟用公開存取

High_Risk-LOG-001：停用 CloudTrail。(Ops Site Manager 需要核准）

High_Risk-LOG-002：停用 VPC 流程日誌。(Ops Site Manager 需要核准）

High_Risk-LOG-003：透過任何方法 (S3 事件通知、SIEM 代理程式提取、SIEM 代理程式推送等） 將日誌從 AMS 受管帳戶轉送至第三方帳戶 （非客戶擁有）

High_Risk-LOG-004：針對 CloudTrail 使用非 AMS 追蹤

High_Risk-HOST-001：因任何原因停用帳戶中的端點安全。(Ops Site Manager 需要核准）

High_Risk-HOST-002：停用資源或帳戶層級的修補。

High_Risk-HOST-003：在帳戶中部署未受管的 EC2 執行個體。

High_Risk-HOST-004：執行客戶提供的自訂指令碼。

High_Risk-HOST-005：在執行個體上建立本機管理員帳戶。

High_Risk-HOST-006：Trend Micro EPS 檔案類型/延伸掃描排除或停用端點上的惡意軟體保護。

High_Risk-HOST-007：建立 EC2 的 KeyPair

High_Risk-HOST-008：在 EC2 中停用端點安全

High_Risk-HOST-009：使用生命週期結束 (EOL) 作業系統的帳戶

High_Risk-ENC-001：啟用任何資源時停用加密

High_Risk-AD-001：提供管理員權限給作用中的目錄使用者或群組

High_Risk-AD-002：能夠降低帳戶安全狀態的 GPO 政策