本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 佈景主題 5：建立資料周邊
<a name="theme-5"></a>

**涵蓋的基本八項策略**  
限制管理權限

*資料周邊*是環境中 AWS 的一組預防性防護機制，可協助確保只有信任的身分才能從預期的網路存取信任的資源。這些護欄可做為永遠在線的界限，協助在廣泛的 AWS 帳戶 和資源中保護您的資料。這些全組織的護欄不會取代您現有的精細存取控制。反之，它們會確保所有 AWS Identity and Access Management (IAM) 使用者、角色和資源都遵循一組定義的安全標準，以協助改善您的安全策略。

您可以使用防止從組織界限外部存取的政策來建立資料周邊，通常是在 中建立 AWS Organizations。用來建立資料周邊的三個主要周邊授權條件為：
+ **信任的身分 – **您內部或代表 AWS 服務 您的委託人 (IAM 角色 AWS 帳戶或使用者）。
+ **信任的資源** – 位於 中的資源 AWS 帳戶 ，或是透過代表您 AWS 服務 執行動作來管理的資源。
+ **預期的網路 – **您的內部部署資料中心和虛擬私有雲端 (VPCs)，或代表 AWS 服務 您的網路。

考慮在不同資料分類的環境之間實作資料周邊，例如 `OFFICIAL:SENSITIVE`或 `PROTECTED`，或不同風險層級，例如開發、測試或生產。如需詳細資訊，請參閱[在 上建置資料周邊 AWS](https://docs.aws.amazon.com/whitepapers/latest/building-a-data-perimeter-on-aws/building-a-data-perimeter-on-aws.html) (AWS 白皮書） 和[在 上建立資料周邊 AWS：概觀](https://aws.amazon.com/blogs/security/establishing-a-data-perimeter-on-aws/) (AWS 部落格文章）。

## AWS Well-Architected Framework 中的相關最佳實務
<a name="theme-5-best-practices"></a>
+ [SEC03-BP05 為您的組織定義許可防護機制](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_permissions_define_guardrails.html)
+ [SEC07-BP02 根據資料敏感度套用資料保護控制](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_data_classification_define_protection.html)

## 實作此主題
<a name="theme-5-implementation"></a>

### 實作身分控制
<a name="t5-identity-controls"></a>
+ **僅允許受信任的身分存取您的資源** – 使用[具有條件索引鍵 和 的資源型政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_resource-based)`aws:PrincipalIsAWSService`。 `aws:PrincipalOrgID`這僅允許來自您 AWS 組織的主體和來自 AWS 的主體存取您的資源。
+ **僅允許來自您網路的受信任身分 – **使用 [VPC 端點政策](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html)搭配條件金鑰 `aws:PrincipalOrgID`和 `aws:PrincipalIsAWSService`。這僅允許來自您 AWS 組織和 的主體透過 VPC AWS 端點存取服務。

### 實作資源控制
<a name="t5-resource-controls"></a>
+ **允許您的身分僅存取信任的資源 – **使用[服務控制政策 (SCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) 搭配 條件金鑰 `aws:ResourceOrgID`。這可讓您的身分僅存取 AWS 組織中的資源。
+ **僅允許從您的網路存取信任的資源** – 使用 VPC 端點政策搭配 條件金鑰 `aws:ResourceOrgID`。這可讓您的身分僅透過屬於您 AWS 組織的 VPC 端點存取服務。

### 實作網路控制
<a name="t5-network-controls"></a>
+ **允許身分僅從預期的網路存取資源** – 使用具有條件索引鍵 `aws:SourceIp`、`aws:SourceVpc`、 `aws:SourceVpce`和 SCPs`aws:ViaAWSService`。這可讓您的身分僅從預期的 IP 地址、VPCs 和 VPC 端點以及透過 存取資源 AWS 服務。
+ **僅允許從預期的網路存取您的資源** – 使用資源型政策搭配條件索引鍵 `aws:SourceIp`、`aws:SourceVpc`、`aws:SourceVpce`、 `aws:ViaAWSService`和 `aws:PrincipalIsAWSService`。這僅允許從預期的 IPs、預期的 VPCs、預期的 VPC 端點 AWS 服務、透過 或當呼叫身分為 時存取您的資源 AWS 服務。

## 監控此佈景主題
<a name="theme-5-monitoring"></a>

### 監控政策
<a name="t5-monitor-policies"></a>
+ 實作機制來檢閱 SCPs、IAM 政策和 VPC 端點政策

### 實作下列 AWS Config 規則
<a name="t5-cc-rules"></a>
+ `SERVICE_VPC_ENDPOINT_ENABLED`