本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 安全常见问题解答
AMS 通过全球运营中心提供全天候 follow-the-sun支持。专职的 AMS 运营工程师主动监控仪表板和事件队列。通常,AMS 会通过自动化来管理您的账户。在极少数情况下,需要特定的故障排除或部署专业知识,AMS 运营工程师可能会访问您的 AWS 账户。
以下是有关 AMS 运营工程师或自动化人员访问您的账户时 AMS Accelerate 使用的安全最佳实践、控制、访问模型和审计机制的常见问题。
## AMS 运营工程师何时可以访问我的环境?
AMS 运营工程师无法永久访问您的账户或实例。AMS 运营商只能在合理的业务用例中访问客户账户,例如警报、事件、变更请求等。访问记录在 AWS CloudTrail 日志中。
有关访问理由、触发器和触发器启动器的信息,请参阅[AMS 客户账户访问触发器](access-justification.md#access-mgmt-triggers)。
## AMS 运营工程师在访问我的账户时扮演什么角色?
在极少数情况下(约 5%)需要人为干预您的环境,AMS 运营工程师会使用默认的只读访问权限登录您的账户。默认角色无权访问通常存储在数据存储中的任何内容,例如亚马逊简单存储服务、亚马逊关系数据库服务、亚马逊 DynamoDB、Amazon Redshift 和亚马逊。 ElastiCache
有关 AMS 运营工程师和系统在您的账户中提供服务所需的角色列表,请参阅[AMS 客户账户访问权限 IAM 角色](access-justification.md#access-mgmt-iam-roles)。
## AMS 运营工程师如何访问我的账户?
要访问客户账户,AMS 运营工程师使用 AWS 内部 AMS 访问服务。此内部服务仅通过安全的私人渠道提供,因此对您的账户的访问是安全的,并且经过审计。
1. AMS 运营工程师使用内部 AMS 接入服务身份验证和双因素身份验证。而且,运营工程师必须提供业务理由(事件单或服务请求编号),概述访问您的 AWS 账户的需求。
1. 根据运营工程师的授权,AMS 访问服务为工程师提供相应的角色(读取-only/Operator/Admin)和您的 AWS 控制台的登录 URL。对您的帐户的访问权限是短暂的,并且是有时限的。
1. 要访问 Amazon EC2 实例,AMS 运营工程师使用与代理相同的内部 AMS 访问服务。授予访问权限后,AMS 运营工程师使用 AWS Systems Manager Session Manager 短期会话凭证访问您的实例。
为了为 Windows 实例提供 RDP 访问权限,操作工程师使用 Amazon S EC2 ystems Manager 在实例上创建本地用户并建立到该实例的端口转发。运营工程师使用本地用户凭证对实例进行 RDP 访问。本地用户凭证将在会话结束时删除。
下图概述了 AMS 运营工程师访问您的账户所使用的流程:
![\[AMS 加速控制台访问方法。\]](http://docs.aws.amazon.com/zh_cn/managedservices/latest/accelerate-guide/images/acc-op-console-access-method2.png)
## 如何追踪 AMS 在我的 AMS 托管 AWS 账户中所做的更改?
**账户访问权限**
为了帮助您跟踪自动化或 AMS Accelerate 运营团队所做的更改,AMS 在 Amazon Athena 控制台中提供了**更改记录** SQL 界面和 AMS Accelerate 日志。这些资源提供以下信息:
+ 谁访问了你的账户。
+ 账户何时被访问。
+ 使用了哪些权限来访问您的账户。
+ AMS Accelerate 对您的账户进行了哪些更改。
+ 为什么要对您的账户进行更改。
**资源配置**
查看 CloudTrail 日志以跟踪过去 90 天内 AWS 资源中的配置。如果您的配置已超过 90 天,请访问 Amazon S3 中的日志。
**实例日志**
Amazon CloudWatch 代理收集操作系统日志。查看日 CloudWatch 志,查看您的操作系统支持的登录和其他操作日志。
有关更多信息,请参阅 [跟踪您的 AMS Accelerate 账户中的更改](acc-change-record.md)。
## AMS 运营工程师访问我的账户的流程控制有哪些?
在加入AMS之前,运营工程师要接受犯罪背景调查。由于 AMS 工程师负责管理客户基础架构,因此他们还必须进行年度背景调查。如果工程师未通过背景调查,则访问权限将被撤销。
所有 AMS 运营工程师都必须完成必修的安全培训,例如基础设施安全、数据安全和事件响应,然后才能获得资源访问权限。
## 如何管理特权访问权限?
一部分用户必须完成额外的培训并保持特权访问权限才能获得更高的访问权限。对访问和使用情况进行检查和审计。AMS 将特权访问限制在特殊情况下或最低权限访问无法满足您的请求时。特权访问也是有时间限制的。
## AMS 运营工程师是否使用 MFA?
是。所有用户都必须使用 MFA 和存在证明才能向您提供服务。
## 当 AMS 员工离开组织或更改工作角色时,他们的访问权限会怎样?
通过内部群组成员资格配置对客户账户和资源的访问权限。成员资格基于严格的标准,包括具体的工作职位、报告经理和AMS的就业状况。如果运营工程师的工作类别发生变化或其用户 ID 被禁用,则访问权限将被撤销。
## 哪些访问控制控制 AMS 运营工程师对我的账户的访问权限?
有多层技术控制措施可以强制执行 “需要知道” 和 “最低权限” 的原则来访问您的环境。以下是访问控制的列表:
+ 所有运营工程师都必须是特定内部 AWS 小组的成员,才能访问客户账户和资源。群组成员资格严格基于需要知道的基础,并根据预定义的标准进行自动化。
+ AMS 对您的环境实行 “非持久性” 访问权限。这意味着 AMS 操作对您的 AWS 账户的访问权限是使用短期凭据的 just-in-time “”。只有在提交并审核了内部业务案例理由(服务请求、事件、变更管理请求等)之后,才能访问您的账户。
+ AMS 遵循最低权限原则。因此,默认情况下,授权运营工程师假设只读访问权限。只有当由于事件或变更请求而需要对环境进行更改时,工程师才会使用写入权限。
+ AMS 使用标准的、易于识别的 AWS Identity and Access Management 角色来监控和管理您的账户,这些角色使用 “ams” 前缀。所有访问权限均已登录 AWS CloudTrail 供您审计。
+ 在变更执行的客户信息验证阶段,AMS 使用自动后端工具来检测对您账户的未经授权的更改。
## AMS 如何监控根用户访问权限?
root 访问权限始终会触发事件响应流程。AMS 使用 Amazon GuardDuty 检测来监控根用户活动。如果 GuardDuty 生成警报,则 AMS 会创建一个事件以供进一步调查。如果检测到意外的 root 账户活动,AMS 会通知您,AMS 安全团队会启动调查。
## AMS 如何应对安全事件?
AMS 会调查由诸如亚马逊 GuardDuty、Amazon Macie 之类的检测服务以及客户报告的安全问题所产生的安全事件。AMS 与您的安全响应团队合作运行安全事件响应 (SIR) 流程。AMS SIR 流程基于 [NIST SP 800-61 Rev. 2《计算机安全事件处理指南》框架,](https://csrc.nist.gov/pubs/sp/800/61/r2/final)提供全天候安全响应。 follow-the-sunAMS 与您合作,快速分析和遏制安全事件。
## AMS 遵守哪些行业标准认证和框架?
与其他 AWS 服务一样,AWS Managed Services 也获得了 OSPAR、HIPAA、HITRUST、GDPR、SOC\$1、ISO\$1、FedRAMP(中/高)、IRAP 和 PCI 认证。有关 AWS 符合的客户合规认证、法规和框架的更多信息,请参阅 [AWS 合规性](https://aws.amazon.com/compliance/)。
**安全护栏**
AWS Managed Services 使用多种控制措施来保护您的信息资产并帮助您保护 AWS 基础设施的安全。AMS Accelerate 维护着一个 AWS Config 规则和补救措施库,以帮助您确保您的账户符合安全性和运营完整性的行业标准。 AWS Config 规则会持续跟踪您记录的资源的配置更改。如果变更违反了规则的条件,AMS 会向您报告其调查结果。根据违规的严重程度,您可以自动或根据请求进行补救。
AMS 使用 AWS Config 规则来帮助满足以下标准的要求:
+ 互联网安全中心 (CIS)
+ 美国国家标准与技术研究院 (NIST) 云安全框架 (CSF)
+ 健康保险流通与责任法案 (HIPAA)
+ 支付卡行业 (PCI) 数据安全标准 (DSS)
有关更多信息,请参阅 [AMS 中的安全管理加速](acc-sec.md)。
## 如何才能访问有关安全认证、框架和合规性的最新报告 AWS?
您可以使用以下方法查找 AWS 服务的当前安全与合规性报告:
+ 您可以使用下载[AWS Artifact](https://aws.amazon.com/artifact/)有关 AWS 服务安全性、可用性和机密性的最新报告。
+ 有关大多数符合全球合规框架的 AWS 服务(包括 AWS Managed Services)的列表,请参阅[https://aws.amazon.com/compliance/services-in-scope/](https://aws.amazon.com/compliance/services-in-scope/)。例如,选择 **PCI** 并搜索 **AWS Managed Services**。
您可以搜索 “AMS”,从 AMS 托管 AWS 账户中查找 AMS 特定的安全构件。AWS Managed Services 在 S [OC 3](https://d1.awsstatic.com/whitepapers/compliance/AWS_SOC3.pdf) 的范围内。
+ S AWS OC 2(系统和组织控制)报告已发布到 AWS Artifact 存储库。本报告评估了符合美国注册会计师协会 (AICPA) TSP 第 100 节 “信托服务标准” 中安全性、可用性和机密性标准的 AWS 控制措施。
## AMS 是否共享 AMS 功能不同方面的参考架构图?
要查看 AMS 参考架构,请下载[用于主动监控的 AWS Managed Services PDF](samples/AWS-managed-services-for-operational-excellence-ra.zip)。
## AMS 如何跟踪谁访问了我的账户以及访问我的账户的业务需求?
为了支持服务连续性和账户安全,AMS 仅在主动运行状况或维护、运行状况或安全事件、计划活动或客户请求时才访问您的账户或实例。您的账户访问权限是通过 AMS Accelerate [访问模式中所述的 AMS 流程进行授权](acc-access-operator.md)。这些授权流程包含防护栏,可防止无意中或不当访问。作为访问流程的一部分,AMS 根据业务需求为授权系统提供服务。此业务需求可能是与您的账户关联的工作项目,例如您向 AMS 提交的案例。或者,业务需求可能是授权的工作流程,例如修补解决方案。所有访问都需要提供理由,由内部 AMS 系统根据业务规则实时验证、验证和授权,以使访问请求与业务需求保持一致。
如果没有有效的业务需求,AMS 运营工程师将无法访问您的账户。所有账户访问权限和相关的业务需求都将发送到您 AWS 账户内的 AWS CloudTrail 条目中。这提供了完全的透明度,并使您有机会进行自己的审计和检查。除了您的检查外,AMS 还提供自动检查,并根据需要对访问请求进行手动检查,并对工具和人员访问进行审计,以审查异常访问权限。
## AMS 工程师能否访问存储在 AWS 数据存储服务(例如亚马逊 S3、亚马逊 RDS、DynamoDB 和 Amazon Redshift)中的数据?
AMS 工程师无法访问存储在通常用于数据存储的 AWS 服务中的客户内容。 AWS APIs 用于读取、写入、修改或删除这些服务中数据的访问权限受到与用于 AMS 工程师访问的 IAM 角色关联的明确的 IAM 拒绝策略的限制。此外,内部 AMS 护栏和自动化功能可阻止 AMS 运营工程师删除或修改拒绝条件。
## AMS 工程师能否访问存储在亚马逊 EBS、Amazon EFS 和亚马逊 FSx中的客户数据?
AMS 工程师可以以管理员身份登录 Amazon EC2 实例。在某些情况下(包括但不限于操作系统 (OS) 问题和补丁故障),需要管理员访问权限才能进行修复。AMS 工程师通常会访问系统卷来修复检测到的问题。但是,AMS 工程师的访问权限不受系统音量的限制或限制。
## 如何限制或控制对我的环境具有高权限的自动化角色的访问权限?
该`ams-access-admin`角色仅由 AMS 自动化使用。这些自动化可以部署、管理和维护 AMS 部署到您的环境中所需的资源,用于收集遥测、运行状况和安全数据,以执行操作功能。AMS 工程师无法担任自动化角色,并且受到内部系统中角色映射的限制。在运行时,AMS 会动态地将范围缩小的最低权限会话策略应用于每个自动化。此会话策略限制了自动化的功能和权限。
## AMS 如何实现 Well-Architected Framework 中为 AWS 自动化角色所倡导的最低权限原则?
在运行时,AMS 会对每个自动化应用范围缩小、权限最低的会话策略。这种缩小范围的会话策略限制了自动化的功能和权限。有权创建 IAM 资源的会话策略还需要附加权限边界。此权限边界降低了权限升级的风险。每个团队都制定了仅供该团队使用的会话策略。
## 使用哪些日志和监控系统来检测未经授权的访问尝试或涉及自动化角色的可疑活动?
AWS 维护集中式存储库,提供核心日志存档功能供 AWS 服务团队内部使用。这些日志存储在 Amazon S3 中,具有很高的可扩展性、耐久性和可用性。 AWS 然后,服务团队可以在中央日志服务中收集、存档和查看服务日志。
上的生产主机 AWS 是使用主基准映像部署的。基准映像配备了一组标准的配置和功能,包括出于安全目的的记录和监控。这些日志存储起来, AWS 安全团队可以访问这些日志,以便在发生疑似安全事件时进行根本原因分析。
给定主机的日志可供拥有该主机的团队使用。团队可以在日志中搜索操作和安全分析。
## 如何处理与自动化基础设施有关的安全事件或漏洞,哪些协议有助于快速响应和缓解?
AWS 应急计划和事件响应手册定义并测试了用于检测、缓解、调查和评估安全事件的工具和流程。这些计划和行动手册包括根据合同和监管要求应对潜在数据泄露的指导方针。
## 是否定期对自动化基础设施进行安全评估、漏洞扫描和渗透测试?
AWS 安全部门使用各种工具定期对 AWS 环境中的主机操作系统、Web 应用程序和数据库进行漏洞扫描。 AWS 安全团队还会订阅适用的供应商缺陷的新闻提要,并主动监控供应商的网站和其他相关渠道是否有新的补丁。
## 如何仅限授权人员才能访问自动化基础架构?
AWS 系统访问权限根据最低权限进行分配,并由授权人员批准。职责和责任领域(例如,访问请求和批准、变更管理请求和批准、变更开发、测试和部署等)在不同人员之间分开,以减少对系统的未经授权或无意的 AWS 修改或滥用。不允许在系统边界内使用群组或共享帐户。
## 采取了哪些措施来维护安全标准并防止自动化管道中未经授权的访问或数据泄露?
对资源(包括服务、主机、网络设备以及 Windows 和 UNIX 组)的访问由相应的所有者或管理员在 AWS 专有权限管理系统中批准。权限管理工具日志捕获访问权限更改请求。Job 职能的更改会自动撤消员工对资源的访问权限。必须申请并批准该员工的继续访问权限。
AWS 需要通过经批准的加密通道进行双因素身份验证,才能从远程位置对内部 AWS 网络进行身份验证。防火墙设备限制对计算环境的访问,强制计算集群的边界,并限制对生产网络的访问。
实施的流程是为了保护审计信息和审计工具免遭未经授权的访问、修改和删除。审计记录包含一组数据元素,以支持必要的分析要求。此外,审计记录可供授权用户根据需要进行检查或分析,以应对与安全相关或影响业务的事件。
用户对 AWS 系统(例如网络、应用程序、工具等)的访问权限将在终止或停用后的 24 小时内被撤销。至少每 90 天禁 and/or 用一次不活跃的用户帐户。
## 是否开启了异常检测或监控以进行访问或审计日志以检测权限升级或访问滥用以主动提醒 AMS 团队?
出于安全考虑 AWS ,的生产主机配备了日志功能。该服务记录主机上的人为操作,包括登录、登录尝试失败和注销。这些日志存储起来, AWS 安全团队可以访问这些日志,以便在发生疑似安全事件时进行根本原因分析。给定主机的日志也可供拥有该主机的团队使用。前端日志分析工具可供服务团队搜索其日志以进行操作和安全分析。实施流程是为了帮助保护日志和审计工具免遭未经授权的访问、修改和删除。 AWS 安全团队执行日志分析,根据定义的风险管理参数识别事件。
## 从 AMS 托管账户中提取了哪些类型的客户数据,以及如何使用和存储这些数据?
AMS 不会出于任何目的访问或使用您的内容。AMS 将客户内容定义为客户或任何最终用户传输 AWS 用于处理、存储或托管的软件(包括机器图像)、数据、文本、音频、视频或图像,以及客户或其最终用户通过使用上述内容得出的任何计算结果。 AWS 服务 AWS 服务