SEC08-BP05 使用限制人員存取資料的機制

在正常運作情況下，讓所有使用者遠離直接存取敏感資料和系統的權限。例如，使用變更管理工作流程來使用工具管理 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體，而不允許直接存取或堡壘主機存取。這可使用 AWS Systems Manager Automation來達成，其使用自動化文件，內有您用來執行任務的步驟。這些文件可以存放在原始檔控制中、在執行前接受對等審查，並經過徹底測試，以盡量降低與 shell 存取相比的風險。商業使用者可以擁有儀表板，而不是直接存取資料存放區來執行查詢。未使用 CI/CD 管道時，請判斷需要哪些控制和程序，才能充分提供一般停用時的緊急存取機制。

若未建立此最佳實務，暴露的風險等級為： 低

實作指引

實作限制人員存取資料的機制：這些機制包括使用 QuickSight 等儀表板向使用者顯示資料，而不是直接查詢。
- QuickSight
自動化組態管理：透過使用組態管理服務或工具，在遠距離執行動作，並自動執行和驗證安全組態。避免使用堡壘主機或直接存取 EC2 執行個體。

資源

相關文件：

AWS KMS 加密詳細資訊白皮書

相關影片：

您的瀏覽器已停用或無法使用 Javascript。

您必須啟用 Javascript，才能使用 AWS 文件。請參閱您的瀏覽器說明頁以取得說明。

文件慣用形式

SEC08-BP04 強制執行存取控制

SEC 9 您如何保護傳輸中資料？