本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 多重要素驗證
****
- **如果組織的使用者向組織的面向網際網路服務進行身分驗證,則會使用多重要素身分驗證。**
- **實作指引:** [佈景主題 4:管理身分](theme-4.md):實作聯合身分 / **AWS 資源:** [要求人類使用者與身分提供者聯合 AWS 使用臨時憑證存取](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-identity-source.html)
[實作暫時提升對您 AWS 環境的存取](https://aws.amazon.com/blogs/security/managing-temporary-elevated-access-to-your-aws-environment/) / **AWS Well-Architected 指引:** [SEC02-BP04 仰賴集中式身分提供者](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_identities_identity_provider.html)
- **實作指引:** [佈景主題 4:管理身分](theme-4.md):強制執行 MFA / **AWS 資源:** [需要根使用者的 MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa.html)
[需要 MFA 到 AWS IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/how-to-configure-mfa-device-enforcement.html)
[考慮要求 MFA 進行服務特定的 API 動作](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_examples_general.html#example-scp-mfa) / **AWS Well-Architected 指引:** [SEC02-BP01 使用強大的登入機制](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_identities_enforce_mechanisms.html)
- **如果組織使用者向處理、存放或通訊其組織的敏感資料的第三方面向網際網路服務進行身分驗證,則會使用多重要素驗證。**
- **實作指引:** 請參閱[實作多重要素驗證](https://www.cyber.gov.au/resources-business-and-government/maintaining-devices-and-systems/system-hardening-and-administration/system-hardening/implementing-multi-factor-authentication) (ACSC 網站)
- **AWS 資源:** 不適用
- **AWS Well-Architected 指引:** 不適用
- **如果組織使用者向處理、存放或通訊其組織非敏感資料的第三方網際網路面向服務進行身分驗證,則會使用多重要素驗證 (如果可用)。**
- **非組織使用者預設會啟用多重要素驗證 (但使用者可以選擇選擇退出),如果他們向組織的面向網際網路服務進行身分驗證。**
- **多重要素驗證用於驗證系統的特權使用者。**
- **實作指引:** [佈景主題 4:管理身分](theme-4.md):實作聯合身分 / **AWS 資源:** [要求人類使用者與身分提供者聯合 AWS 使用臨時憑證存取](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-identity-source.html)
[實作暫時提升對您 AWS 環境的存取](https://aws.amazon.com/blogs/security/managing-temporary-elevated-access-to-your-aws-environment/) / **AWS Well-Architected 指引:** [SEC02-BP04 仰賴集中式身分提供者](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_identities_identity_provider.html)
- **實作指引:** [佈景主題 4:管理身分](theme-4.md):強制執行 MFA / **AWS 資源:** [需要根使用者的 MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa.html)
[透過 IAM Identity Center 需要 MFA](https://docs.aws.amazon.com/singlesignon/latest/userguide/how-to-configure-mfa-device-enforcement.html)
[考慮要求 MFA 進行服務特定的 API 動作](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_examples_general.html#example-scp-mfa) / **AWS Well-Architected 指引:** [SEC02-BP01 使用強大的登入機制](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_identities_enforce_mechanisms.html)
- **多重要素驗證用於驗證存取重要資料儲存庫的使用者。**
- **實作指引:** [佈景主題 4:管理身分](theme-4.md):強制執行 MFA
- **AWS 資源:** [考慮要求 MFA 進行服務特定的 API 動作](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_examples_general.html#example-scp-mfa)
- **AWS Well-Architected 指引:** [SEC02-BP01 使用強大的登入機制](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_identities_enforce_mechanisms.html)
- **多重要素驗證具有驗證器模擬的防護能力,並使用下列其中一種方法:使用者擁有的內容和使用者知道的內容,或使用者擁有的內容會由使用者知道或知道的內容解除鎖定。**
- **實作指引:** 請參閱[實作多重要素驗證](https://www.cyber.gov.au/resources-business-and-government/maintaining-devices-and-systems/system-hardening-and-administration/system-hardening/implementing-multi-factor-authentication) (ACSC 網站)
- **AWS 資源:** 不適用
- **AWS Well-Architected 指引:** 不適用
- **成功和失敗的多重要素驗證會集中記錄並受到保護,免於未經授權的修改和刪除、監控入侵跡象,以及在偵測到網路安全事件時採取動作。**
- **實作指引:** [佈景主題 7:集中記錄和監控](theme-7.md):啟用記錄
[佈景主題 7:集中記錄和監控](theme-7.md):集中日誌
- **AWS 資源:** [在 帳戶中集中 CloudWatch Logs 以進行稽核和分析 ](https://aws.amazon.com/blogs/architecture/stream-amazon-cloudwatch-logs-to-a-centralized-account-for-audit-and-analysis/)(AWS 部落格文章)
[集中管理 Amazon Inspector](https://docs.aws.amazon.com/inspector/latest/user/managing-multiple-accounts.html)
[集中管理 Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/designate-orgs-admin-account.html)
在 (AWS 部落格文章) [中建立整個組織的彙整工具 AWS Config](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/creating-trail-organization.html)
[集中管理 GuardDuty](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_organizations.html)
[考慮使用 Security Lake](https://docs.aws.amazon.com/security-lake/latest/userguide/what-is-security-lake.html)
[從多個帳戶接收 CloudTrail 日誌](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-receive-logs-from-multiple-accounts.html)
[將日誌傳送至日誌封存帳戶](https://docs.aws.amazon.com/whitepapers/latest/organizing-your-aws-environment/security-ou-and-accounts.html#log-archive-account)
- **AWS Well-Architected 指引:** [SEC04-BP01 設定服務和應用程式日誌記錄](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_detect_investigate_events_app_service_logging.html)
[SEC04-BP02 在標準化位置中擷取日誌、調查結果和指標](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_detect_investigate_events_logs.html)