本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 主題 1：使用 受管服務
<a name="theme-1"></a>

**涵蓋的基本八項策略**  
修補程式應用程式、限制管理權限、修補程式作業系統

受管服務可讓您 AWS 管理一些安全任務，例如修補和漏洞管理，以協助您減少合規義務。

如 [AWS 共同責任模型](australian-sec-compliance.md#shared-model)章節所述，您對 AWS 雲端安全與合規負有共同責任。這可以減輕您的操作負擔，因為 會 AWS 操作、管理和控制元件，從主機作業系統和虛擬化層到服務操作所在設施的實體安全性。

您的責任可能包括管理受管服務的維護時段，例如 Amazon Relational Database Service (Amazon RDS) 或 Amazon Redshift，以及掃描 AWS Lambda 程式碼或容器映像中的漏洞。如同本指南中的所有主題，您也保留監控和合規報告的責任。您可以使用 [Amazon Inspector](https://docs.aws.amazon.com/inspector/latest/user/what-is-inspector.html) 來報告所有 的漏洞 AWS 帳戶。您可以在 中使用規則， AWS Config 以確保 Amazon RDS 和 Amazon Redshift 等服務已啟用次要更新和維護時段。

例如，如果您執行 Amazon EC2 執行個體，您的責任包括下列項目：
+ 應用程式控制
+ 修補應用程式
+ 限制 Amazon EC2 控制平面和作業系統 (OS) 的管理權限
+ 修補作業系統
+ 強制執行多重驗證 (MFA) 以存取 AWS 控制平面和作業系統
+ 備份資料和組態

不過，如果您執行 Lambda 函數，則您的責任會降低，並包含下列項目：
+ 應用程式控制
+ 確認程式庫是up-to-date
+ 限制 Lambda 控制平面的管理權限
+ 強制 MFA 存取 AWS 控制平面
+ 備份 Lambda 函數程式碼和組態

## AWS Well-Architected Framework 中的相關最佳實務
<a name="theme-1-best-practices"></a>
+ [SEC01-BP05 減少安全管理範圍](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_securely_operate_reduce_management_scope.html)

## 實作此主題
<a name="theme-1-implementation"></a>

### 啟用修補
<a name="t1-enable-patching"></a>
+ [套用 Amazon RDS 更新](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_UpgradeDBInstance.Maintenance.html)
+ [在 中啟用受管更新 AWS Elastic Beanstalk](https://docs.aws.amazon.com/elasticbeanstalk/latest/dg/environment-platform-update-managed.html)
+ [請注意 Amazon Redshift 叢集維護時段](https://docs.aws.amazon.com/redshift/latest/mgmt/working-with-clusters.html#rs-cluster-maintenance)

### 掃描漏洞
<a name="t1-scan-vulnerabilities"></a>
+ [使用 Amazon Inspector 掃描 Amazon Elastic Container Registry (Amazon ECR) 容器映像](https://docs.aws.amazon.com/inspector/latest/user/scanning-ecr.html)
+ [使用 Amazon Inspector 掃描 Lambda 函數](https://docs.aws.amazon.com/inspector/latest/user/scanning-lambda.html)

## 監控此佈景主題
<a name="theme-1-monitoring"></a>

### 實作控管檢查
<a name="t1-gov-checks"></a>
+ 在 中[啟用 ACSC Essential 8 一致性套件的操作最佳實務](https://docs.aws.amazon.com/config/latest/developerguide/operational-best-practices-for-acsc_essential_8.html) AWS Config

### 監控 Amazon Inspector
<a name="t1-inspector"></a>
+ [評估帳戶層級涵蓋範圍](https://docs.aws.amazon.com/inspector/latest/user/assessing-coverage.html#viewing-coverage-accounts)
+ [管理多個帳戶](https://docs.aws.amazon.com/inspector/latest/user/managing-multiple-accounts.html)

### 實作下列 AWS Config 規則
<a name="t1-config"></a>
+ `RDS_AUTOMATIC_MINOR_VERSION_UPGRADE_ENABLED`
+ `ELASTIC_BEANSTALK_MANAGED_UPDATES_ENABLED`
+ `REDSHIFT_CLUSTER_MAINTENANCESETTINGS_CHECK`
+ `EC2_MANAGEDINSTANCE_PATCH_COMPLIANCE_STATUS_CHECK`
+ `EKS_CLUSTER_SUPPORTED_VERSION`