預防性控制

預防性控制旨在防止事件發生的安全控制。這些防護機制是第一道防線，可協助防止對網路的未經授權存取或不必要變更。預防性控制的範例是具有唯讀存取權的 AWS Identity and Access Management (IAM) 角色，因為它有助於防止未經授權的使用者執行意外的寫入動作。

目標

預防性控制的主要目的是最大限度地減少或避免威脅事件發生的可能性。此控制應有助於防止未經授權存取系統，並有助於防止意外的變更影響系統。以下是預防性控制的目標：

職責分離 – 預防性控制可以建立限制權限的邏輯界限，允許許可僅在指定帳戶或環境中執行特定任務。範例包括：
- 將工作負載分段至特定服務的不同帳戶
- 分隔並考慮獨立的生產、開發和測試環境
- 將存取權和責任委派給多個實體以執行特定功能，例如使用 IAM 角色或擔任的角色以僅允許特定的工作職能執行某些動作
存取控制 – 預防性控制可以一致地授予或拒絕對環境中資源和資料的存取。範例包括：
- 防止使用者超出預期許可，稱為權限提升
- 僅限授權使用者和服務存取應用程式和資料
- 保持管理員群組較小
- 避免使用根使用者憑證
強制執行 – 預防性控制可以協助您的公司遵守其政策、指引和標準。範例包括：
- 作為最低安全基準的鎖定組態
- 實作其他安全措施，例如多重要素驗證
- 避免由未經核准的角色執行的非標準任務和動作

預防性控制映射是將控制映射至需求並使用政策透過限制、停用或封鎖來實作這些控制的程序。在映射控制時，考慮控制對環境、資源和使用者的主動影響。以下是映射控制的最佳實務：

建立可以存取帳戶中的所有資料的角色。如果存在敏感的加密資料，過度寬鬆的權限可能會帶來風險，這取決於可以擔任該角色的使用者或群組。透過在 AWS Key Management Service (AWS KMS) 中使用金鑰政策，您可以控制誰可以存取金鑰並解密資料。

如果管理和寫入許可指派得太寬泛，則使用者可以規避其預期許可的限制並授予自己其他權限。建立和管理角色的使用者可以指派許可界限，該界限定義了角色允許的最大權限。

如果您的企業沒有使用特定服務的可預見需求，請啟用服務控制政策，以限制哪些服務可以在組織的成員帳戶中操作，或根據限制服務 AWS 區域。如果威脅行為者設法洩露和存取您組織中的帳戶，此預防性控制可以減少影響範圍。如需詳細資訊，請參閱本指南中的服務控制政策。

預防性控制可以強制使用 IAM、加密和日誌記錄等服務和功能，以符合應用程式的安全要求。您也可以使用這些控制來限制威脅行為者因意外錯誤或組態錯誤而可能利用的操作，從而協助防範漏洞。

在中 AWS Organizations，服務控制政策 SCPs) 會定義組織中成員帳戶的最大可用許可。這些政策可協助帳戶遵守組織的存取控制指導方針。為您的組織設計 SCP 時，請注意下列事項：

您可以透過定義每個 AWS 區域的許可上限來使 SCP 更加精細。

在 AWS Identity and Access Management (IAM) 中，許可界限用於設定身分型政策可授予 IAM 實體（使用者或角色）的最大許可。實體的許可界限可讓其僅執行由身分型政策和許可界限同時允許的動作。使用許可界限時，請注意下列事項：

隨著成長，建立和管理新角色和政策的請求數量也會增加。了解為每個應用程式手動建立許可所需的內容變得更具挑戰性。建立預防性控制作為基準，有助於防止使用者執行意外動作，即使他們意外取得存取權亦如此。
將預防性控制套用至存取政策提供了額外層來協助保護資料和資產。

您的瀏覽器已停用或無法使用 Javascript。

您必須啟用 Javascript，才能使用 AWS 文件。請參閱您的瀏覽器說明頁以取得說明。

安全控制的類型

主動性控制