本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
安全與合規
安全與合規是 AMS Advanced 與身為客戶的您共同的責任。AMS Advanced Direct Change 模式不會變更此共同責任。
直接變更模式中的安全性
AMS Advanced 提供具有規範登陸區域、變更管理系統和存取管理的額外值。使用直接變更模式時,此責任模型不會變更。不過,您應該知道其他風險。
直接變更模式「更新」角色 (請參閱直接變更模式 IAM 角色和政策) 提供提升的許可,允許可存取該角色的實體變更帳戶中 AMS 支援服務的基礎設施資源。隨著許可提高,根據資源、服務和動作,存在各種風險,尤其是在由於監督、錯誤或未能遵守內部程序和控制架構而導致不正確的變更的情況下。
根據 AMS 技術標準,已識別下列風險並提出建議,如下所示。有關 AMS 技術標準的詳細資訊可透過 取得 AWS Artifact。若要存取 AWS Artifact,請聯絡您的 CSDM 以取得指示,或前往 入門 AWS Artifact
AMS-STD-001:標記
| 標準 | 是否會中斷 | 風險 | 建議 |
|---|---|---|---|
| 所有 AMS 擁有的資源都必須具有下列鍵值對 | 是。CloudFormation、CloudTrail、EFS、OpenSearch、CloudWatch Logs、SQS、SSM、標記 api 的中斷 - 因為這些服務不支援限制 AMS 命名空間標記 下表 AMS-STD-003 中提供的標準說明您可以變更 AppId、Environment 和 AppName,但不能變更 AMS 擁有的資源。無法透過 IAM 許可達成。 |
AMS 資源的不正確標記可能會對 AMS 端的資源的報告、提醒和修補操作產生不利影響。 | 必須重新分配存取權,才能對 AMS 團隊以外的任何人對 AMS 預設標記要求進行任何變更。 |
除了上述標籤之外,所有 AMS 擁有的標籤都必須具有字首,例如 AMS*或MC*upper/lower/mix大小寫。 | |||
| 不得根據您的變更請求刪除 AMS 擁有的堆疊上的任何標籤。 | 是。CloudFormation 不支援限制 AMS 命名空間標籤aws:TagsKey的條件。 | ||
| 不允許您在基礎設施中使用 AMS 標籤命名慣例,如下表 AMS-STD-002 所述。 | 是。中斷 CloudFormation、CloudTrail、Amazon Elastic File System (EFS)、OpenSearch、CloudWatch Logs、Amazon Simple Queue Service (SQS)、Amazon EC2 Systems Manager (SSM)、標記 API;這些服務不支援限制 AMS 命名空間標記aws:TagsKey的條件。 |
AMS-STD-002:身分與存取管理 (IAM)
| 標準 | 是否會中斷 | 風險 | 建議 |
|---|---|---|---|
| 4.7 不允許繞過變更管理程序 (RFC) 的動作,例如啟動或停止執行個體、建立 S3 儲存貯體或 RDS 執行個體等。只要在指派角色的邊界內執行動作,開發人員模式帳戶和自助式佈建模式服務 (SSPS) 就會豁免。 | 是。自助服務動作的目的可讓您執行繞過 AMS RFC 系統的動作。 |
安全存取模型是 AMS 的核心技術面向,而主控台或程式設計存取的 IAM 使用者會規避此存取控制。AMS 變更管理不會監控 IAM 使用者存取權。存取只會記錄在 CloudTrail 中。 | IAM 使用者應該有時間限制,並根據最低權限和need-to-know授予許可。 |
AMS-STD-003:網路安全
| 標準 | 是否會中斷 | 風險 | 建議 |
|---|---|---|---|
| S2. EC2 執行個體上的彈性 IP 只能與正式的風險接受協議或內部團隊的有效使用案例搭配使用。 | 是。自助服務動作可讓您關聯和取消關聯彈性 IP 地址 (EIP)。 |
將彈性 IP 新增至執行個體會公開至網際網路。這會增加資訊公開和未經授權的活動的風險。 | 透過安全群組封鎖對該執行個體的任何不必要的流量,並確認您的安全群組已與執行個體連接,以確保只允許基於業務原因而需要的流量。 |
| S14. 您可以允許屬於相同客戶的帳戶之間的 VPC 對等互連和端點連線。 | 是。無法透過 IAM 政策進行。 |
離開帳戶界限後,不會監控離開您 AMS 帳戶的流量。 | 我們建議僅與您擁有的 AMS 帳戶進行對等互連。如果您的使用案例需要,請使用安全群組和路由表來限制哪些流量範圍、資源和類型可以透過相關連線輸出。 |
| AMS 基礎 AMIs 可以在 AMS 受管和未受管帳戶之間共用,只要我們可以驗證它們是否屬於同一個 AWS 組織即可。 | AMIs可能包含敏感資料,而且可能會公開給非預期的帳戶。 | 僅與組織擁有的帳戶共用 AMIs,或在組織外部共用之前驗證使用案例和帳戶資訊。 |
AMS-STD-007:記錄
| 標準 | 是否會中斷 | 風險 | 建議 |
|---|---|---|---|
| 19. 任何日誌都可以從一個 AMS 帳戶轉送到相同客戶的另一個 AMS 帳戶。 | 是。無法透過 IAM 政策實現客戶日誌的潛在不安全,因為無法驗證同一組織中的客戶帳戶。 |
日誌可能包含敏感資料,而且可能會公開給非預期的帳戶。 | 僅與 AWS 組織管理的帳戶共用日誌,或在組織外部共用之前驗證使用案例和帳戶資訊。我們可以透過多種方式驗證,請洽詢您的雲端服務交付管理員 (CSDM)。 |
| 20. 只有在非 AMS 帳戶由相同 AMS 客戶擁有 (透過確認他們位於相同 AWS Organizations 帳戶下,或將電子郵件網域與客戶的公司名稱和 PAYER 連結帳戶相符) 時,才能使用內部工具,從 AMS 轉送任何日誌到非 AMS 帳戶。 |
與您的內部授權和身分驗證團隊合作,相應地控制直接變更模式角色的許可。
直接變更模式下的合規
直接變更模式與生產和非生產工作負載相容。您有責任確保遵守任何合規標準 (例如 PHI、HIPAA、PCI),並確保使用直接變更模式符合您的內部控制架構和標準。
