# SEC08-BP04 強制存取控制
若要協助保護您的靜態資料,使用隔離和版本控制等機制來強制存取控制,並套用最低權限原則。防止授予對您資料的公開存取權。
**預期成果:**確認只有授權使用者能夠在必要時存取資料。透過定期備份和版本控制來保護您的資料以防有意或不慎修改或刪除資料。將重要資料與其他資料分離,以保護其機密性和資料完整性。
**常見的反模式:**
+ 將具有不同敏感度需求或分類的資料存放在一起。
+ 對解密金鑰使用過於寬鬆的許可。
+ 資料分類不當。
+ 未保留重要資料的詳細備份。
+ 對生產資料提供持續存取權。
+ 未稽核資料存取或定期審查許可。
**未建立此最佳實務時的風險暴露等級:**低
## 實作指引
多項控制可協助您保護靜態資料,包括存取 (使用最低權限)、隔離和版本控制。對資料的存取應使用偵測機制進行稽核,例如 AWS CloudTrail 和服務層級日誌 (例如 Amazon Simple Storage Service (Amazon S3) 存取日誌)。您應該清查哪些資料可公開存取,並建立計畫以隨著時間減少可用的資料量。
Amazon Glacier Vault Lock 和 Amazon S3 物件鎖定為 Amazon S3 中的物件提供強制存取控制的功能,一旦文件庫政策被合規選項鎖定,在鎖定過期之前,就連根使用者也無法變更。
### 實作步驟
+ **強制存取控制**:強制最低權限存取控制,包括對加密金鑰的存取。
+ **根據不同的分類層級分離資料**:針對資料分類層級使用不同的 AWS 帳戶,並使用 [AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html) 來管理這些帳戶。
+ **審查 AWS Key Management Service (AWS KMS) 政策**:[審查 AWS KMS 政策中授予的存取層級](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html)。
+ **審查 Amazon S3 儲存貯體和物件許可**:定期審查 S3 儲存貯體政策中授予的存取層級。最佳實務是避免使用可公開讀取或寫入的儲存貯體。考慮使用 [AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/managed-rules-by-aws-config.html) 偵測公開可用的儲存貯體,以及使用 Amazon CloudFront 從 Amazon S3 提供內容。確認不允許公開存取的儲存貯體已正確設定為禁止公開存取。依照預設,所有 S3 儲存貯體皆為私有,只有明確獲得存取權的使用者得以存取。
+ **啟用 [AWS IAM Access Analyzer](https://docs.aws.amazon.com//latest/UserGuide/what-is-access-analyzer.html):** IAM Access Analyzer 會分析 Amazon S3 儲存貯體並在 [S3 政策將存取權授予外部實體](https://docs.aws.amazon.com//latest/UserGuide/access-analyzer-resources.html#access-analyzer-s3)時產生發現結果。
+ 適當時,**啟用 [Amazon S3 版本控制](https://docs.aws.amazon.com/AmazonS3/latest/userguide/Versioning.html)和[物件鎖定](https://docs.aws.amazon.com/AmazonS3/latest/userguide/object-lock.html)**。
+ **使用 [Amazon S3 庫存](https://docs.aws.amazon.com/AmazonS3/latest/dev/storage-inventory.html)**:Amazon S3 庫存可用來稽核和報告 S3 物件的複寫和加密狀態。
+ **審查 [Amazon EBS](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ebs-modifying-snapshot-permissions.html) 和 [AMI 共用](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/sharing-amis.html)許可**:共用許可可以允許將映像和磁碟區與工作負載外部的 AWS 帳戶共用。
+ **審查 [AWS Resource Access Manager](https://docs.aws.amazon.com/ram/latest/userguide/what-is.html) 定期共用以確定是否應該持續共用資源。** Resource Access Manager 可讓您共用 Amazon VPC 內的資源,例如 AWS 網路防火牆政策、Amazon Route 53 解析器規則和子網路。定期稽核共用的資源並停止共用不再需要共用的資源。
## 資源
**相關的最佳實務:**
+ [SEC03-BP01 定義存取需求](sec_permissions_define.md)
+ [SEC03-BP02 授予最低權限存取權](sec_permissions_least_privileges.md)
**相關文件:**
+ [AWS KMS 加密詳細資訊白皮書](https://docs.aws.amazon.com/kms/latest/cryptographic-details/intro.html)
+ [管理對 Amazon S3 資源的存取許可的簡介](https://docs.aws.amazon.com/AmazonS3/latest/dev/intro-managing-access-s3-resources.html)
+ [管理對您 AWS KMS 資源的存取概觀](https://docs.aws.amazon.com/kms/latest/developerguide/control-access-overview.html)
+ [AWS Config 規則](https://docs.aws.amazon.com/config/latest/developerguide/managed-rules-by-aws-config.html)
+ [Amazon S3 \+ Amazon CloudFront:雲端的最佳拍檔](https://aws.amazon.com/blogs/networking-and-content-delivery/amazon-s3-amazon-cloudfront-a-match-made-in-the-cloud/)
+ [使用版本控制](https://docs.aws.amazon.com/AmazonS3/latest/dev/Versioning.html)
+ [使用 Amazon S3 物件鎖定來鎖定物件](https://docs.aws.amazon.com/AmazonS3/latest/dev/object-lock.html)
+ [共用 Amazon EBS 快照](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ebs-modifying-snapshot-permissions.html)
+ [共用的 AMI](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/sharing-amis.html)
+ [在 Amazon S3 上託管單頁應用程式](https://docs.aws.amazon.com/prescriptive-guidance/latest/patterns/deploy-a-react-based-single-page-application-to-amazon-s3-and-cloudfront.html)
**相關影片:**
+ [保護 AWS 上的區塊儲存安全](https://youtu.be/Y1hE1Nkcxs8)