身分與存取管理 - AMS 進階使用者指南
多帳戶登陸區域 (MALZ) IAM 防護措施Amazon Inspector 安全性AMS 多帳戶登陸區域 EPS 非預設設定AMS 護欄MALZ Service 控制政策

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

身分與存取管理

AWS Identity and Access Management (IAM) 是一種 Web 服務,可協助您安全地控制對 AWS 資源的存取。您可以使用 IAM 來控制 (已登入) 的身分驗證和授權使用資源的 (許可)。在 AMS 加入期間,您有責任在每個受管帳戶中建立跨帳戶 IAM 管理員角色。

多帳戶登陸區域 (MALZ) IAM 防護措施

AMS 多帳戶登陸區域 (MALZ) 需要 Active Directory (AD) 信任作為 AMS 存取管理的主要設計目標,以允許每個組織 (包括 AMS 和客戶) 管理其身分的生命週期。這樣就不需要在彼此的目錄中擁有登入資料。已設定單向信任,因此 中的受管 Active Directory AWS 帳戶 信任客戶擁有或受管 AD 來驗證使用者。由於信任只是一種方式,並不表示 Managed AD 受客戶 Active Directory 信任。

在此組態中,管理使用者身分的客戶目錄稱為使用者樹系,而連接 Amazon EC2 執行個體的受管 AD 稱為資源樹系。這是 Windows 身分驗證常用的 Microsoft 設計模式;如需詳細資訊,請參閱樹系設計模型

此模型可讓這兩個組織自動化各自的生命週期,並允許 AMS 和您在員工離開組織時快速撤銷存取權。如果沒有此模型,如果兩個組織都使用通用目錄 (或在彼此的目錄中建立使用者/群組),則兩個組織都必須放入其他工作流程和使用者同步,以考慮員工開始和離開。這會帶來風險,因為該程序具有延遲,而且可能容易出錯。

MALZ 存取先決條件

存取 AWS/AMS 主控台、CLI、軟體開發套件的 MALZ Identity Provider Integration。

身分提供者與 AWS IAM、 AWS Management Console和 AMS 變更管理之間的關係。

您 AMS 帳戶中 Amazon EC2 執行個體的單向信任。

信任的方向是單向:從 Amazon EC2 執行個體到組織的 Active Directory 網域。

Amazon Inspector 安全性

Amazon Inspector 服務會監控 AMS 受管堆疊的安全性。Amazon Inspector 是一種自動化安全評估服務,可協助識別部署在 上之基礎設施的安全性和合規性漏洞 AWS。Amazon Inspector 安全評估可讓您檢查 Amazon EC2 執行個體中的意外網路可存取性和漏洞,以自動評估堆疊是否存在暴露、漏洞和與最佳實務的偏差。執行評估後,Amazon Inspector 會依據嚴重性層級,產生詳細的安全調查結果清單。Amazon Inspector 評估會以映射至常見安全最佳實務和定義的預先定義規則套件提供。 AWS 安全研究人員會定期更新這些規則。如需 Amazon Inspector 的詳細資訊,請前往 Amazon Inspector

AMS Amazon Inspector FAQs

  • 根據預設,Amazon Inspector 是否安裝在我的 AMS 帳戶中?

    否。Amazon Inspector 不屬於預設 AMI 建置或工作負載擷取。

  • 如何存取和安裝 Amazon Inspector?

    提交 RFC (管理 | 其他 | 其他 | 建立) 以向 Inspector 請求帳戶存取和安裝,而 AMS 操作團隊將修改 Customer_ReadOnly_Role 以提供 Amazon Inspector 主控台存取 (沒有 SSM 存取)。

  • 是否必須在要評估的所有 Amazon EC2 執行個體上安裝 Amazon Inspector Agent? Amazon EC2

    否,任何 Amazon EC2 執行個體都可以在沒有代理程式的情況下執行具有網路連線能力規則套件的 Amazon Inspector 評估。 Amazon EC2 主機評估規則套件需要 代理程式。如需代理程式安裝的詳細資訊,請參閱安裝 Amazon Inspector Agents

  • 此服務是否需要支付額外費用?

    是。您可以在 Amazon Inspector 定價網站上找到 Amazon Inspector 定價

  • 什麼是 Amazon Inspector 調查結果?

    調查結果是在所選評估目標的 Amazon Inspector 評估期間發現的潛在安全問題。調查結果會顯示在 Amazon Inspector 主控台或 API 中,並同時包含安全問題的詳細說明和解決這些問題的建議。

  • 是否提供 Amazon Inspector 評估的報告?

    是。評估報告詳細說明了評估過程中的測試內容和評估結果。您的評估結果是標準格式的報告,您可以在團隊內分享修復動作的成果,豐富合規稽核資料或儲存以供將來參考。成功完成 Amazon Inspector 評估報告後,即可為評估執行產生該報告。

  • 我可以使用標籤來識別要執行 Amazon Inspector 報告的堆疊嗎?

    是。

  • AMS Operations 團隊是否可以存取 Amazon Inspector 評估結果?

    是。有權存取 AWS 中 Amazon Inspector 主控台的任何人都可以檢視問題清單和評估報告。

  • AMS Operations 團隊是否會根據 Amazon Inspector 報告的調查結果建議或採取動作?

    否。如果您想要根據 Amazon Inspector 報告的調查結果進行變更,必須透過 RFC (管理 | 其他 | 其他 | 更新) 請求變更。

  • 當我執行 Amazon Inspector 報告時,是否會通知 AMS?

    當您請求 Amazon Inspector 存取時,執行 RFC 的 AMS Operator 會向您的 CSDM 通知請求。

如需詳細資訊,請參閱 Amazon Inspector FAQs

AMS 多帳戶登陸區域 EPS 非預設設定

本節已修訂,因為它包含敏感的 AMS 安全相關資訊。此資訊可透過 AMS 主控台文件取得。若要存取 AWS Artifact,您可以聯絡 CSDM 以取得指示,或前往 AWS Artifact 入門

AMS 護欄

護欄是為整體 AMS 環境提供持續控管的高階規則。

本節已修訂,因為它包含敏感的 AMS 安全相關資訊。此資訊可透過 AMS 主控台文件取得。若要存取 AWS Artifact,您可以聯絡 CSDM 以取得指示,或前往 AWS Artifact 入門

MALZ Service 控制政策

本節已修訂,因為它包含敏感的 AMS 安全相關資訊。此資訊可透過 AMS 主控台文件取得。若要存取 AWS Artifact,您可以聯絡 CSDM 以取得指示,或前往 AWS Artifact 入門