本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 身份和访问管理
AWS Identity and Access Management (IAM) 是一项 Web 服务,可帮助您安全地控制对 AWS 资源的访问。可以使用 IAM 来控制谁通过了身份验证(准许登录)并获得授权(具有相应权限)来使用资源。在 AMS 入职期间,您负责在每个托管账户中创建跨账户 IAM 管理员角色。
## 多账户登录区 (MALZ) IAM 保护措施
AMS 多账户登陆区 (MALZ) 要求将 Active Directory (AD) 信任作为AMS访问管理的主要设计目标,以允许每个组织(包括AMS和客户)管理自己的身份的生命周期。这样就无需在彼此的目录中拥有凭证。配置了单向信任,以便其中的托管 Active Directory AWS 账户 信任客户拥有或托管 AD 来对用户进行身份验证。由于信任只是一种方式,因此并不意味着客户活动目录信任托管 AD。
在此配置中,管理用户身份的客户目录称为用户林,Amazon EC2 实例所连接的托管 AD 称为资源林。这是 Microsoft 常用的用于 Windows 身份验证的设计模式;有关更多信息,[请参阅森林](https://docs.microsoft.com/en-us/windows-server/identity/ad-ds/plan/forest-design-models)设计模型。
这种模式允许两个组织自动执行各自的生命周期,并允许 AMS 和您在员工离开组织时快速撤消访问权限。如果没有这种模式,如果两个组织都使用公共目录(或 users/groups 在彼此的目录中创建),那么两个组织都必须投入额外的工作流程和用户同步,以考虑员工的起步和离职情况。这会带来风险,因为该过程存在延迟并且容易出错。
### MALZ 访问权限的先决条件
MALZ 身份提供商集成,用于访问 AWS/AMS 控制台、CLI、SDK。
![\[身份提供商与 AWS IAM、和 AMS 之间的关系变更管理。 AWS 管理控制台\]](http://docs.aws.amazon.com/zh_cn/managedservices/latest/userguide/images/malz-access-prereqs-1.png)
对您的 AMS 账户中的 Amazon EC2 实例进行单向信任。
![\[信任的方向是单向的:从您的Amazon EC2 实例到您组织的Active Directory域。\]](http://docs.aws.amazon.com/zh_cn/managedservices/latest/userguide/images/malz-access-prereqs-2.png)
# 使用身份进行身份验证
AMS 使用 IAM 角色,这是一种 IAM 身份。IAM 角色与用户非常相似,因为它是一个具有权限策略的身份,该策略决定了该身份可以做什么和不能做什么 AWS。但是,一个角色没有与之关联的凭证,而且,一个角色不是与一个人有唯一的关联,而是让任何需要它的人都可以担任。IAM 用户可担任角色来暂时获得针对特定任务的不同权限。
访问角色由内部组成员资格控制,内部组成员资格由运营管理部门管理和定期审查。
# AMS 中的 IAM 用户角色
IAM 用户角色
IAM 角色与 IAM 用户类似,因为它是一个具有权限策略的 AWS 身份,该策略决定了该身份可以做什么和不能做什么 AWS。但是,角色旨在让需要它的任何人代入,而不是唯一地与某个人员关联。
目前,对于标准 AMS 账户,有一个 AMS 默认用户角色`Customer_ReadOnly_Role`,还有一个角色适用于使用托管 Active Directory 的 AMS 账户。`customer_managed_ad_user_role`
角色策略设置了 Amazon S3 日志操作的权限、AMS 控制台访问权限、对大多数控制台的只读限制 AWS 服务、对账户 S3 控制台的限制访问以及 AMS 更改类型访问权限。 CloudWatch
此外,还`Customer_ReadOnly_Role`具有可变的预留实例权限,允许您预留实例。它具有一些节省成本的价值,因此,如果您知道在很长一段时间内将需要一定数量的 Amazon EC2 实例,则可以调用这些 APIs实例。要了解更多信息,请参阅 [Amazon EC2 预留实例](https://aws.amazon.com/ec2/pricing/reserved-instances/)。
**注意**
除非要重复使用现有策略,否则为 IAM 用户创建自定义 IAM 策略的 AMS 服务级别目标 (SLO) 为四个工作日。如果您想修改现有的 IAM 用户角色或添加新角色,请分别提交 [IAM:更新实体](https://docs.aws.amazon.com/managedservices/latest/ctref/management-advanced-identity-and-access-management-iam-update-entity-or-policy-review-required.html)或 [IAM:创建实体](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-advanced-identity-and-access-management-iam-create-entity-or-policy.html) RFC。
如果您不熟悉 Amazon IAM 角色,请参阅 [IAM 角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)了解重要信息。
**多账户着陆区 (MALZ)**:要查看 AMS 多账户着陆区默认、未自定义的用户角色政策,请参阅下文。[MALZ:默认 IAM 用户角色](#json-default-role-malz)
## MALZ:默认 IAM 用户角色
默认多账户 AMS 多账户 landing zone 用户角色的 JSON 政策声明。
**注意**
用户角色是可自定义的,并且可能因每个账户而异。提供了有关如何找到您的角色的说明。
以下是默认 MALZ 用户角色的示例。要确保设置了所需的策略,请运行 AWS 命令[https://docs.aws.amazon.com/cli/latest/reference/iam/get-role.html](https://docs.aws.amazon.com/cli/latest/reference/iam/get-role.html)或登录 AWS 管理-> [IAM 控制台](https://console.aws.amazon.com/iam/),然后在导航窗格中选择**角色**。
### OU 账户的核心
核心账户是 MALZ 管理的基础设施账户。AMS 多账户 landing zone Core 账户包括一个管理账户和一个网络账户。
**OU 核心 OU 账户:常见角色和政策**
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/managedservices/latest/userguide/defaults-user-role.html)
**核心 OU 账户:管理账户角色和政策**
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/managedservices/latest/userguide/defaults-user-role.html)
**核心 OU 账户:网络账户角色和政策**
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/managedservices/latest/userguide/defaults-user-role.html)
### 应用程序账户角色
应用程序账户角色适用于您的应用程序专用账户。
**应用程序账户:角色和政策**
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/managedservices/latest/userguide/defaults-user-role.html)
### 策略示例
提供了大多数使用的策略的示例。要查看该 ReadOnlyAccess 政策(只要它提供对所有 AWS 服务的只读访问权限,则为页面),如果您有活跃的 AWS 账户,则可以使用此链接:[ReadOnlyAccess](https://console.aws.amazon.com/iam/home?region=us-east-1#/policies/arn:aws:iam::aws:policy/ReadOnlyAccess$serviceLevelSummary)。此外,此处还包括精简版。
#### AMSBilling政策
`AMSBillingPolicy`
您的会计部门可以使用新的账单角色来查看和更改管理账户中的账单信息或账户设置。要访问诸如备用联系人之类的信息、查看账户资源使用情况、查看账单甚至修改付款方式,您可以使用此角色。这个新角色包含 [AWS 账单 IAM 操作网页](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/billing-permissions-ref.html#example-billing-deny-modifyaccount)中列出的所有权限。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"aws-portal:ViewBilling",
"aws-portal:ModifyBilling"
],
"Resource": "*",
"Effect": "Allow",
"Sid": "AllowAccessToBilling"
},
{
"Action": [
"aws-portal:ViewAccount",
"aws-portal:ModifyAccount"
],
"Resource": "*",
"Effect": "Allow",
"Sid": "AllowAccessToAccountSettings"
},
{
"Action": [
"budgets:ViewBudget",
"budgets:ModifyBudget"
],
"Resource": "*",
"Effect": "Allow",
"Sid": "AllowAccessToAccountBudget"
},
{
"Action": [
"aws-portal:ViewPaymentMethods",
"aws-portal:ModifyPaymentMethods"
],
"Resource": "*",
"Effect": "Allow",
"Sid": "AllowAccessToPaymentMethods"
},
{
"Action": [
"aws-portal:ViewUsage"
],
"Resource": "*",
"Effect": "Allow",
"Sid": "AllowAccessToUsage"
},
{
"Action": [
"cur:DescribeReportDefinitions",
"cur:PutReportDefinition",
"cur:DeleteReportDefinition",
"cur:ModifyReportDefinition"
],
"Resource": "*",
"Effect": "Allow",
"Sid": "AllowAccessToCostAndUsageReport"
},
{
"Action": [
"pricing:DescribeServices",
"pricing:GetAttributeValues",
"pricing:GetProducts"
],
"Resource": "*",
"Effect": "Allow",
"Sid": "AllowAccessToPricing"
},
{
"Action": [
"ce:*",
"compute-optimizer:*"
],
"Resource": "*",
"Effect": "Allow",
"Sid": "AllowAccessToCostExplorerComputeOptimizer"
},
{
"Action": [
"purchase-orders:ViewPurchaseOrders",
"purchase-orders:ModifyPurchaseOrders"
],
"Resource": "*",
"Effect": "Allow",
"Sid": "AllowAccessToPurchaseOrders"
},
{
"Action": [
"redshift:AcceptReservedNodeExchange",
"redshift:PurchaseReservedNodeOffering"
],
"Resource": "*",
"Effect": "Allow",
"Sid": "AllowAccessToRedshiftAction"
},
{
"Action": "savingsplans:*",
"Resource": "*",
"Effect": "Allow",
"Sid": "AWSSavingsPlansFullAccess"
}
]
}
```
------
#### AMSChangeManagementReadOnlyPolicy
`AMSChangeManagementReadOnlyPolicy`
查看所有 AMS 变更类型以及请求更改类型的历史记录的权限。
#### AMSMasterAccountSpecificChangeManagementInfrastructurePolicy
`AMSMasterAccountSpecificChangeManagementInfrastructurePolicy`
请求 Deployment \$1 Managed landing zone \$1 管理账户 \$1 创建应用程序账户(使用 VPC)更改类型的权限。
#### AMSNetworkingAccountSpecificChangeManagementInfrastructurePolicy
`AMSNetworkingAccountSpecificChangeManagementInfrastructurePolicy `
请求 Deployment \$1 Managed landing zone \$1 网络账户 \$1 创建应用程序路由表更改类型的权限。
#### AMSChangeManagementInfrastructurePolicy
`AMSChangeManagementInfrastructurePolicy`(管理层 \$1 其他 \$1 其他 CTs)
请求 “管理” \$1 “其他” \$1 “其他” \$1 “创建” 和 “管理” \$1 “其他” \$1 “其他” \$1 “更新” 更改类型的权限。
#### AMSSecretsManagerSharedPolicy
`AMSSecretsManagerSharedPolicy`
查看 AMS 通过 passwords/hashes 共享的机密的权限 AWS Secrets Manager (例如,用于审计的基础设施密码)。
创建与 AMS 共享 password/hashes 的密钥的权限。 (例如,需要部署的产品的许可证密钥)。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "AllowAccessToSharedNameSpaces",
"Effect": "Allow",
"Action": "secretsmanager:*",
"Resource": [
"arn:aws:secretsmanager:*:*:secret:ams-shared/*",
"arn:aws:secretsmanager:*:*:secret:customer-shared/*"
]
},
{
"Sid": "DenyGetSecretOnCustomerNamespace",
"Effect": "Deny",
"Action": "secretsmanager:GetSecretValue",
"Resource": "arn:aws:secretsmanager:*:*:secret:customer-shared/*"
},
{
"Sid": "AllowReadAccessToAMSNameSpace",
"Effect": "Deny",
"NotAction": [
"secretsmanager:Describe*",
"secretsmanager:Get*",
"secretsmanager:List*"
],
"Resource": "arn:aws:secretsmanager:*:*:secret:ams-shared/*"
}
]
}
```
------
#### AMSChangeManagementPolicy
`AMSChangeManagementPolicy`
请求和查看所有 AMS 变更类型的权限,以及请求的更改类型的历史记录。
#### AMSReservedInstancesPolicy
`AMSReservedInstancesPolicy`
管理亚马逊 EC2 预留实例的权限;有关定价信息,请参阅[亚马逊 EC2 预留实例](https://aws.amazon.com/ec2/pricing/reserved-instances/)。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "AllowReservedInstancesManagement",
"Effect": "Allow",
"Action": [
"ec2:ModifyReservedInstances",
"ec2:PurchaseReservedInstancesOffering"
],
"Resource": [
"*"
]
}]
}
```
------
#### AMSS3政策
`AMSS3Policy`
在现有 Amazon S3 存储桶中创建和删除文件的权限。
**注意**
这些权限不授予创建 S3 存储桶的权限;必须使用部署 \$1 高级堆栈组件 \$1 S3 存储 \$1 创建更改类型来完成。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:AbortMultipartUpload",
"s3:DeleteObject",
"s3:PutObject"
],
"Resource": "*"
}
]
}
```
------
#### AWSSupport访问权限
`AWSSupportAccess`
完全访问权限 支持。有关信息,请参阅[入门 支持](https://docs.aws.amazon.com/awssupport/latest/user/getting-started.html)。有关 Premium Support 的信息,请参阅[支持](https://aws.amazon.com/premiumsupport/)。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": [
"support:*"
],
"Resource": "*"
}]
}
```
------
#### AWSMarketplaceManageSubscriptions
`AWSMarketplaceManageSubscriptions`(公共 AWS管理政策)
订阅、取消订阅和查看订 AWS Marketplace 阅的权限。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Action": [
"aws-marketplace:ViewSubscriptions",
"aws-marketplace:Subscribe",
"aws-marketplace:Unsubscribe"
],
"Effect": "Allow",
"Resource": "*"
}]
}
```
------
#### AWSCertificateManagerFullAccess
`AWSCertificateManagerFullAccess`
完全访问权限 AWS Certificate Manager。有关更多信息,请参阅 [AWS Certificate Manager](https://aws.amazon.com/certificate-manager/)。
[https://docs.aws.amazon.com/acm/latest/userguide/authen-awsmanagedpolicies.html#acm-full-access-managed-policy](https://docs.aws.amazon.com/acm/latest/userguide/authen-awsmanagedpolicies.html#acm-full-access-managed-policy)信息,(公共 AWS 托管政策)。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": [
"acm:*"
],
"Resource": "*"
}]
}
```
------
#### AWSWAFFull访问权限
`AWSWAFFullAccess`
完全访问权限 AWS WAF。有关更多信息,请参阅 [AWS WAF -Web 应用程序防火墙](https://aws.amazon.com/waf/)。
[https://docs.aws.amazon.com/waf/latest/developerguide/access-control-identity-based.html](https://docs.aws.amazon.com/waf/latest/developerguide/access-control-identity-based.html)信息,(公共 AWS 管理政策)。此政策授予对 AWS WAF 资源的完全访问权限。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Action": [
"waf:*",
"waf-regional:*",
"elasticloadbalancing:SetWebACL"
],
"Effect": "Allow",
"Resource": "*"
}]
}
```
------
#### ReadOnlyAccess
`ReadOnlyAccess`
对 AWS 控制台上所有 AWS 服务和资源的只读访问权限。 AWS 启动新服务时,AMS 会更新 ReadOnlyAccess 政策,为新服务添加只读权限。更新的权限会应用于策略附加到的所有主体实体。
这并不能授予登录 EC2 主机或数据库主机的权限。
如果您有激活的政策 AWS 账户,则可以使用此[ReadOnlyAccess](https://console.aws.amazon.com/iam/home?region=us-east-1#/policies/arn:aws:iam::aws:policy/ReadOnlyAccess$serviceLevelSummary)链接查看整个 ReadOnlyAccess 政策。只要它为所有人提供只读访问权限,整个 ReadOnlyAccess 策略就会持续很长时间 AWS 服务。以下是该 ReadOnlyAccess 政策的部分摘录。
**单账户着陆区 (SALZ)**:要查看 AMS 单账户着陆区默认、未自定义的用户角色策略,请参阅 “下一步”。[SALZ:默认 IAM 用户角色](#json-default-role)
## SALZ:默认 IAM 用户角色
默认 AMS 单账户 landing zone 用户角色的 JSON 政策声明。
**注意**
SALZ 默认用户角色是可自定义的,可能因每个账户而异。提供了有关如何找到您的角色的说明。
以下是默认 SALZ 用户角色的示例。要确保已为您设置了策略,请运行[https://docs.aws.amazon.com/cli/latest/reference/iam/get-role.html](https://docs.aws.amazon.com/cli/latest/reference/iam/get-role.html)命令。或者,登录 AWS Identity and Access Management 控制台 [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/),然后选择 “**角色**”。
客户只读角色是多个策略的组合。以下是该角色的细分 (JSON)。
Managed Services 审计政策:
托管服务 IAM ReadOnly 政策
Managed Services 用户政策
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowCustomerToListTheLogBucketLogs",
"Effect": "Allow",
"Action": [
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::mc-a*-logs-*"
],
"Condition": {
"StringLike": {
"s3:prefix": [
"aws/*",
"app/*",
"encrypted",
"encrypted/",
"encrypted/app/*"
]
}
}
},
{
"Sid": "BasicAccessRequiredByS3Console",
"Effect": "Allow",
"Action": [
"s3:ListAllMyBuckets",
"s3:GetBucketLocation"
],
"Resource": [
"arn:aws:s3:::*"
]
},
{
"Sid": "AllowCustomerToGetLogs",
"Effect": "Allow",
"Action": [
"s3:GetObject*"
],
"Resource": [
"arn:aws:s3:::mc-a*-logs-*/aws/*",
"arn:aws:s3:::mc-a*-logs-*/encrypted/app/*"
]
},
{
"Sid": "AllowAccessToOtherObjects",
"Effect": "Allow",
"Action": [
"s3:DeleteObject*",
"s3:Get*",
"s3:List*",
"s3:PutObject*"
],
"Resource": [
"*"
]
},
{
"Sid": "AllowCustomerToListTheLogBucketRoot",
"Effect": "Allow",
"Action": [
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::mc-a*-logs-*"
],
"Condition": {
"StringEquals": {
"s3:prefix": [
"",
"/"
]
}
}
},
{
"Sid": "AllowCustomerCWLConsole",
"Effect": "Allow",
"Action": [
"logs:DescribeLogStreams",
"logs:DescribeLogGroups"
],
"Resource": [
"arn:aws:logs:*:*:log-group:*"
]
},
{
"Sid": "AllowCustomerCWLAccessLogs",
"Effect": "Allow",
"Action": [
"logs:FilterLogEvents",
"logs:GetLogEvents"
],
"Resource": [
"arn:aws:logs:*:*:log-group:/aws/*",
"arn:aws:logs:*:*:log-group:/infra/*",
"arn:aws:logs:*:*:log-group:/app/*",
"arn:aws:logs:*:*:log-group:RDSOSMetrics:*:*"
]
},
{
"Sid": "AWSManagedServicesFullAccess",
"Effect": "Allow",
"Action": [
"amscm:*",
"amsskms:*"
],
"Resource": [
"*"
]
},
{
"Sid": "ModifyAWSBillingPortal",
"Effect": "Allow",
"Action": [
"aws-portal:Modify*"
],
"Resource": [
"*"
]
},
{
"Sid": "DenyDeleteCWL",
"Effect": "Deny",
"Action": [
"logs:DeleteLogGroup",
"logs:DeleteLogStream"
],
"Resource": [
"arn:aws:logs:*:*:log-group:*"
]
},
{
"Sid": "DenyMCCWL",
"Effect": "Deny",
"Action": [
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:DescribeLogStreams",
"logs:FilterLogEvents",
"logs:GetLogEvents",
"logs:PutLogEvents"
],
"Resource": [
"arn:aws:logs:*:*:log-group:/mc/*"
]
},
{
"Sid": "DenyS3MCNamespace",
"Effect": "Deny",
"Action": [
"s3:*"
],
"Resource": [
"arn:aws:s3:::mc-a*-logs-*/encrypted/mc/*",
"arn:aws:s3:::mc-a*-logs-*/mc/*",
"arn:aws:s3:::mc-a*-logs-*-audit/*",
"arn:aws:s3:::mc-a*-internal-*/*",
"arn:aws:s3:::mc-a*-internal-*"
]
},
{
"Sid": "ExplicitDenyS3CfnBucket",
"Effect": "Deny",
"Action": [
"s3:*"
],
"Resource": [
"arn:aws:s3:::cf-templates-*"
]
},
{
"Sid": "DenyListBucketS3LogsMC",
"Action": [
"s3:ListBucket"
],
"Effect": "Deny",
"Resource": [
"arn:aws:s3:::mc-a*-logs-*"
],
"Condition": {
"StringLike": {
"s3:prefix": [
"auditlog/*",
"encrypted/mc/*",
"mc/*"
]
}
}
},
{
"Sid": "DenyS3LogsDelete",
"Effect": "Deny",
"Action": [
"s3:Delete*",
"s3:Put*"
],
"Resource": [
"arn:aws:s3:::mc-a*-logs-*/*"
]
},
{
"Sid": "DenyAccessToKmsKeysStartingWithMC",
"Effect": "Deny",
"Action": [
"kms:*"
],
"Resource": [
"arn:aws:kms::*:key/mc-*",
"arn:aws:kms::*:alias/mc-*"
]
},
{
"Sid": "DenyListingOfStacksStartingWithMC",
"Effect": "Deny",
"Action": [
"cloudformation:*"
],
"Resource": [
"arn:aws:cloudformation:*:*:stack/mc-*"
]
},
{
"Sid": "AllowCreateCWMetricsAndManageDashboards",
"Effect": "Allow",
"Action": [
"cloudwatch:PutMetricData"
],
"Resource": [
"*"
]
},
{
"Sid": "AllowCreateandDeleteCWDashboards",
"Effect": "Allow",
"Action": [
"cloudwatch:DeleteDashboards",
"cloudwatch:PutDashboard"
],
"Resource": [
"*"
]
}
]
}
```
客户 Secrets Manager 共享政策
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowSecretsManagerListSecrets",
"Effect": "Allow",
"Action": "secretsmanager:listSecrets",
"Resource": "*"
},
{
"Sid": "AllowCustomerAdminAccessToSharedNameSpaces",
"Effect": "Allow",
"Action": "secretsmanager:*",
"Resource": [
"arn:aws:secretsmanager:*:*:secret:ams-shared/*",
"arn:aws:secretsmanager:*:*:secret:customer-shared/*"
]
},
{
"Sid": "DenyCustomerGetSecretCustomerNamespace",
"Effect": "Deny",
"Action": "secretsmanager:GetSecretValue",
"Resource": "arn:aws:secretsmanager:*:*:secret:customer-shared/*"
},
{
"Sid": "AllowCustomerReadOnlyAccessToAMSNameSpace",
"Effect": "Deny",
"NotAction": [
"secretsmanager:Describe*",
"secretsmanager:Get*",
"secretsmanager:List*"
],
"Resource": "arn:aws:secretsmanager:*:*:secret:ams-shared/*"
}
]
}
```
------
客户市场订阅政策
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowMarketPlaceSubscriptions",
"Effect": "Allow",
"Action": [
"aws-marketplace:ViewSubscriptions",
"aws-marketplace:Subscribe"
],
"Resource": [
"*"
]
}
]
}
```
------
# 安全事件日志记录和监控
AMS 持续监控托管环境中是否存在安全威胁。AMS 或您可能会检测到安全事件。AMS 根据美国国家标准与技术研究院 (NIST) 的《计算机安全事件处理指南》定期更新其自动化流程,以更好地检测安全威胁。
# 端点安全 (EPS)
您在 AMS Advanced 环境中配置的资源自动包括安装端点安全 (EPS) 监控客户端。此过程可确保全天候监控和支持 AMS Advanced 管理的资源。此外,AMS Advanced 会监控所有代理活动,如果检测到任何安全事件,就会创建事件。
**注意**
安全事件作为事件处理;有关更多信息,请参阅[事件响应](https://docs.aws.amazon.com/managedservices/latest/userguide/sec-incident-response.html)。
端点安全提供反恶意软件保护,具体而言,支持以下操作:
+ EC2 向 EPS 注册的实例
+ EC2 从 EPS 取消注册的实例
+ EC2 实例实时反恶意软件保护
+ EPS 代理启动的心跳
+ EPS 恢复隔离的文件
+ EPS 事件通知
+ 每股收益报告
AMS Advanced 使用趋势科技实现端点安全 (EPS)。这些是默认 EPS 设置。要了解有关趋势科技的更多信息,请参阅趋势科技[趋势科技服务器深度安全防护系统帮助中心](https://help.deepsecurity.trendmicro.com/aws/welcome.html?redirected=true);请注意,非亚马逊链接可能会更改,恕不另行通知。
以下章节介绍了 AMS 高级多账户着陆区 (MALZ) 的默认设置;有关非默认 AMS 多账户着陆区 EPS 设置,[请参阅 AMS 高级多账户](https://docs.aws.amazon.com/managedservices/latest/userguide/security-mgmt.html#malz-eps-settings)着陆区 EPS 非默认设置。
**注意**
你可以自备 EPS,请参阅 [AMS 自带 EPS](https://docs.aws.amazon.com/managedservices/latest/userguide/ams-byoeps.html)。
## 常规 EPS 设置
端点安全常规网络设置。
**每股收益默认值**
| 设置 | Default |
| --- | --- |
| 防火墙端口(实例的安全组) | EPS 趋势科技服务器深度安全防护系统管理中心代理 (DSMs) 必须打开端口 4120 Agent/Relay 才能与管理中心通信,为管理中心控制台打开端口 4119。EPS 中继必须打开端口 4122 Manager/Agent 才能与中继通信。不应为客户实例的入站通信打开特定的端口,因为代理会启动所有请求。 |
| 沟通方向 | 客户端/设备已启动 |
| 心跳间隔 | 十分钟 |
| 警报前错过的心跳次数 | 二 |
| 服务器时间之间允许的最大偏差(差) | 无限制 |
| 对处于非活动状态(已注册但未联机)的虚拟机引发脱机错误 | 否 |
| 默认策略 | 基本政策(下文将介绍) |
| 使用相同主机名激活多台计算机 | 被允许 |
| 已发出待定更新的警报 | 七天后 |
| 更新日程安排 | AMS 的目标是趋势科技趋势科技服务器深度安全防护系统管理中心 (DSM) /趋势科技服务器深度安全防护系统客户端 (DSA) 软件更新的每月发布周期。但是,AMS 不维护更新的 SLA。在部署期间,AMS 开发团队在整个舰队范围内执行更新。 DSA/DSA 更新记录在趋势科技 DSM 系统事件中,AMS 默认在本地保留这些事件 13 周。有关供应商文档,请参阅趋势科技趋势科技服务器深度安全防护[系统帮助中心中的系统事件](https://help.deepsecurity.trendmicro.com/12_0/aws/Events-Alerts/ref-events-system.html)。日志还会导出到亚马逊 CloudWatch的日志组/ aws/ams/eps/var/log/DSM .log。 |
| 更新源代码 | 趋势科技更新服务器 (https://ipv6-iaus.trendmicro.com/iau\$1server.dll/) |
| 删除事件或日志数据 | 事件和日志将在七天后从 DSM 数据库中删除。 |
| 代理软件版本已保留 | 最多五个 |
| 最新规则更新已保存 | 最多十个 |
| 日志存储 | 默认情况下,日志文件安全地存储在 Amazon S3 中,但您也可以将其存档到 Amazon Glacier,以帮助满足审计和合规要求。 |
## 基本政策
端点安全基础策略默认设置。
**每股收益基本政策**
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/managedservices/latest/userguide/eps-defaults.html)
## 反恶意软件
端点安全防恶意软件设置。
**EPS 防恶意软件默认值**
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/managedservices/latest/userguide/eps-defaults.html)
# 恶意软件缓解流程
AMS 使用趋势科技的趋势科技服务器深度安全防护平台(反恶意软件系统)来检测和响应您的 AMS 托管实例上的恶意软件。默认情况下,趋势科技检测代理在所有 Amazon EC2 实例上运行,包括共享服务和私有子网中的实例,适用于 Windows 和 Linux 操作系统。反恶意软件系统连接到 AMS 监控,因此每当检测到恶意软件时都会生成事件。如果对客户造成影响,则事件将上报至事件管理流程(有关详细信息,请参阅[AMS 事件响应](sec-incident-response.md))。在 AMS 评估影响时,您会收到通知,并尝试减轻影响。
趋势科技发布更新时,趋势科技的防恶意软件定义会自动更新。
在应用程序启动期间,您需要指明在实例上发现恶意软件时希望 AMS 采取的操作:
+ 确保隔离文件在允许列表中,将其从隔离区中删除,然后将其释放回文件系统。
+ 删除隔离文件,将其从实例中移除。
+ 暂停实例并替换它。然后,您可以挂载暂停的实例以进行取证研究。
申请入职后:
+ 当反恶意软件系统在实例上发现恶意软件时,AMS 会自动隔离该恶意软件。这会触发事件和后续调查。
+ AMS 通过服务通知将事件通知您,并开始遵循您选择的默认缓解措施。
+ 如果您尚未选择默认操作,AMS 会询问您要采取哪项操作。收到您的指示后,AMS 会运行所选操作并通知您。操作完成后,AMS 会再次通知您,包括取证分析所需的详细信息(如果适用)。
# 在趋势科技趋势科技服务器深度安全防护系统中启用 IDS 和 IPS
您可以请求 AMS 为您的账户启用趋势科技入侵检测系统 (IDS) 和入侵防护系统 (IPS)(非默认功能)。
为此,请提交更新请求(管理 \$1 其他 \$1 其他 \$1 更新),并附上用于接收 IDS 和 IPS 通知的电子邮件地址列表。这些地址将添加到您账户中的 SNS 主题中,AMS 会为您创建该主题。
**注意**
AMS 不能添加任何可能干扰我们提供其他 AMS 服务的趋势科技服务。
# 全系统恶意软件扫描
支付卡行业数据安全标准 (PCI DSS) 要求进行完整的系统恶意软件扫描,默认情况下,AMS 管理的 VPC 上已启用这些扫描。完整系统扫描设置为凌晨 2 点(服务器上设置的时区)进行,因为它们会占用大量 CPU。除了不占用大量 CPU 的常规恶意软件扫描之外,还会进行全面的系统扫描。
新增了管理更改类型 (CT),即**禁用恶意软件扫描**,允许您禁用完整的系统恶意软件扫描。你可以在管理 \$1 主机安全 \$1 完整系统扫描 \$1 禁用分类,更改 ID ct-1pybwg08h8qsz 中找到 CT。要重新启用扫描,请使用管理 \$1 其他 \$1 其他 \$1 更新 CT。禁用完整系统扫描不会禁用常规恶意软件扫描。
## 亚马逊 Inspector 安全
Amazon Inspector 服务监控 AMS 管理的堆栈的安全。Amazon Inspector 是一项自动安全评估服务,可帮助识别部署在其上的基础设施在安全与合规方面的差距 AWS。Amazon Inspector 安全评估使您能够通过检查您的亚马逊实例中是否存在意想不到的网络可访问性和漏洞,自动评估堆栈的漏洞、漏洞以及与最佳实践的偏差。 EC2 执行评估后,Amazon Inspector 将生成按严重性级别优先排序的安全调查发现详细列表。Amazon Inspector 评估以预定义规则包的形式提供,这些规则包与常见的安全最佳实践和定义相对应。这些规则由 AWS 安全研究人员定期更新。有关 Amazon Inspector 的更多信息,请访问[亚马逊 Inspector](https://aws.amazon.com/inspector)。
**AMS 亚马逊 Inspector FAQs**
+ 我的 AMS 账户是否默认安装了 Amazon Inspector?
不是。 Amazon Inspector 不是默认 AMI 版本或工作负载摄取的一部分。
+ 如何访问和安装 Amazon Inspector?
向 Inspector 提交 RFC(管理 \$1 其他 \$1 其他 \$1 创建)以申请账户访问和安装,AMS 运营团队将修改 Customer\$1 ReadOnly \$1Role 以提供 Amazon Inspector 控制台访问权限(没有 SSM 访问权限)。
+ 我想要评估的所有亚马逊 EC2 实例上都必须安装 Amazon Inspector 代理吗?
不需要,使用网络可访问性规则包的 Amazon Inspector 评估可以在没有代理的情况下运行任何亚马逊 EC2 实例。主机评估规则包需要代理。有关代理安装的更多信息,请参阅[安装 Amazon Inspector 代理](https://docs.aws.amazon.com/inspector/latest/userguide/inspector_installing-uninstalling-agents.html)。
+ 这项服务需要额外费用吗?
是。Amazon Inspector 的定价可以在[亚马逊 Inspector 定价](https://aws.amazon.com/inspector/pricing/)网站上找到。
+ Amazon Inspector 的发现是什么?
调查结果是指在 Amazon Inspector 对所选评估目标进行评估期间发现的潜在安全问题。调查结果显示在 Amazon Inspector 控制台或 API 中,其中包含对安全问题的详细描述和解决这些问题的建议。
+ Amazon Inspector 评估报告是否可用?
是。评估报告是一种文档,用于详细介绍评估运行的测试内容和评估结果。评估结果采用标准报告格式,可用于在团队内部分享实施修正措施的结果,丰富合规性审计数据,或存储以供将来参考。成功完成评估后,可以为评估运行生成 Amazon Inspector 评估报告。
+ 我能否使用标签来识别我要针对哪些堆栈运行 Amazon Inspector 报告?
是。
+ AMS 运营团队能否获得 Amazon Inspector 的评估结果?
是。任何有权访问 AWS 中的 Amazon Inspector 控制台的人都可以查看调查结果和评估报告。
+ AMS 运营团队会根据亚马逊 Inspector 报告的调查结果提出建议或采取行动吗?
不是。 如果您想根据 Amazon Inspector 报告的调查结果进行更改,则必须通过 RFC(管理 \$1 其他 \$1 其他 \$1 其他 \$1 更新)申请更改。
+ 当我运行 Amazon Inspector 报告时,AMS 会收到通知吗?
当您申请 Amazon Inspector 访问权限时,运行 RFC 的 AMS 操作员会将请求通知您的 CSDM。
有关更多信息,请参阅 [Amazon Inspector FAQs](https://aws.amazon.com/inspector/faqs/)。
# AMS 事件响应
AMS 使用传统的 IT 服务管理 (ITSM) 事件管理最佳实践,在需要时尽快恢复服务。
我们通过遍布全球的多个运营中心提供全天候 follow-the-sun支持,专门的操作员会主动监控仪表板和事件队列。
我们的运营工程师使用内部事件跟踪工具来识别、记录、分类、确定优先级、诊断、解决和关闭事件,并通过 AMS 控制台或 支持 API 向您提供所有这些活动的最新信息。我们的操作员中有许多人曾在 AWS Premium Support 担任过各种技术背景和职务,他们利用各种内部 支持 工具来帮助完成所有这些活动。这些运营商对 AMS 支持的基础设施非常熟悉,并且具有解决所有已确定的支持问题的专家级技术技能。在极少数情况下,我们的操作员需要帮助,Premium Support 和 AWS 服务团队可以根据需要提供帮助。
如果高优先级事件影响您的关键工作负载,AMS 将建议恢复基础架构。通常需要在故障排除问题或从已知良好的备份中恢复之间进行权衡,而客户风险和服务停机造成的影响是决定性因素。如果您有时间解决问题,AMS 将为您提供帮助,但如果恢复的紧迫性很高,我们可以立即启动恢复。
**注意**
不属于堆栈模板或数据恢复的临时数据会丢失。当 AWS 服务不可用时,AMS 会尽合理努力执行基础设施恢复。提供 AWS 服务后,基础架构恢复即告完成。
如果您未按照 AMS 的建议授权恢复基础架构,则您将没有资格在事件解决时间内获得 AMS 服务承诺的服务积分。
# 合规性验证
AMS 部署并管理 AWS Config 规则和补救措施库,以防出现可能降低账户安全性和运营完整性的错误配置。
例如,创建 Amazon S3 存储桶时, AWS Config 可以根据要求 Amazon S3 存储桶拒绝公开读取访问的规则来评估 Amazon S3 存储桶。如果 Amazon S3 存储桶策略或存储桶访问控制列表 (ACL) 允许公共读取权限,则会将存储桶和规则 AWS Config 标记为不合规。它们根据评估结果将资源 AWS Config 规则 标记为 “合规”、“不合规” 或 “不适用”。有关 AWS Config 服务的更多信息,请参阅《[AWS Config 开发人员指南》](https://docs.aws.amazon.com/config/latest/developerguide/WhatIsConfig.html)。
您可以使用 AWS Config 控制台、 AWS CLI 或 AWS Config API 来查看您的账户中部署的规则以及规则和资源的合规状态。有关更多信息,请参阅 AWS Config 文档:[查看配置合规性](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config_view-compliance.html)。
**注意**
有关此主题的更多信息,请访问 AWS Artifact 报告。有关更多信息,请参阅[在 Amazon Artifact 中下载报告](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html)。要访问 AWS Artifact,您可以联系您的 CSDM [获取说明或前往 AWS Artifact 入门](https://aws.amazon.com/artifact/getting-started)。此信息未包含在本用户指南中,因为它包含敏感的安全内容。
# 多账户登录区查看您的合规状态 AWS Config 规则
AMS 多账户 landing zone 利用 AWS Config 聚合器服务来创建所有账户合规的集中视图。这意味着您可以在安全账户的聚合 AWS Config 器下查看 AWS Config 规则 所有 AMS 多账户 landing zone 环境中的合规状态。
以下是展示 AWS Config 规则 跨账户集中合规状态的 AWS Config 聚合器示例。
![\[AWS Config dashboard showing compliant rules across regions and accounts.\]](http://docs.aws.amazon.com/zh_cn/managedservices/latest/userguide/images/ams-malz-dd-agg-rules.png)
有关更多信息,请参阅 [Config Aggregator](https://docs.aws.amazon.com/config/latest/developerguide/aggregate-data.html) 的 AWS 文档。
+ AMS 如何使用 AWS Config 规则?
AMS 创建的 AWS Config 规则 目的是让您可以根据规则中指定的条件查看您的 AWS 资源配置。如果规则不合规,您可以申请更改,AMS Ops 团队将与您合作采取纠正措施。
+ 在这种情况下,您会看到您的 AMS 账户中出现以下更改:
+ AWS Config 规则 在 AWS Config > 规则下
+ 您的账户中存在带有 Lambda 函数的自定义 Config 规则
+ 安全账户中的 Config Aggregator 和所有账户中的 Config 授权(仅限多账户登录区域)
以下是样本,其 AWS Config 规则 合规性评估结果如下所示:
![\[AWS Config 规则 dashboard showing compliant status for multiple security-related rules.\]](http://docs.aws.amazon.com/zh_cn/managedservices/latest/userguide/images/ams-malz-dd-rules-2.png)
要了解有关 AWS Config 的更多信息,请参阅:
+ AWS Config:[什么是配置?](https://docs.aws.amazon.com/config/latest/developerguide/WhatIsConfig.html)
+ AWS Config 规则:[使用规则评估资源](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html)
+ AWS Config 规则:[动态合规性检查:AWS Config 规则 — 云资源的动态合规性检查](https://aws.amazon.com/blogs/aws/aws-config-rules-dynamic-compliance-checking-for-cloud-resources/)
+ AWS Config 聚合器:[多账户多区域](https://docs.aws.amazon.com/config/latest/developerguide/aggregate-data.html)数据聚合
# AMS 多账户 landing zone 服务控制策略限制
此部分已被删除,因为它包含与 AMS 安全相关的敏感信息。此信息可通过 AMS 控制台**文档**获得。要访问 AWS Artifact,您可以联系您的 CSDM [获取说明或前往 AWS Artifact 入门](https://aws.amazon.com/artifact/getting-started)。
# 恢复能力
AWS 全球基础设施是围绕 AWS 区域 可用区构建的。 AWS 区域 提供多个物理隔离和隔离的可用区,这些可用区通过低延迟、高吞吐量和高度冗余的网络连接。利用可用区,您可以设计和操作在可用区之间无中断地自动实现失效转移的应用程序和数据库。与传统的单个或多个数据中心基础结构相比,可用区具有更高的可用性、容错性和可扩展性。
有关 AWS 区域和可用区的更多信息,请参阅[AWS 全球基础设施](https://aws.amazon.com/about-aws/global-infrastructure)。
# 基础结构安全性
**注意**
有关此主题的更多信息,请访问 AWS Artifact 报告。有关更多信息,请参阅[在 Amazon Artifact 中下载报告](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html)。要访问 AWS Artifact,您可以联系您的 CSDM [获取说明或前往 AWS Artifact 入门](https://aws.amazon.com/artifact/getting-started)。此信息未包含在本用户指南中,因为它包含敏感的安全内容。
# end-of-support操作系统的安全控制
不在操作系统制造商的 “end-of-support” 或 EOS 的常规支持期内,并且未收到安全更新的操作系统的安全风险会增加。
AWS 提供一些服务来帮助处理操作系统 end-of-support。有关 Windows 的信息 end-of-support,请参阅适用[于 Windows 服务器的 End-of-Support迁移程序](https://aws.amazon.com/emp-windows-server/)。
**注意**
有关此主题的更多信息,请访问 AWS Artifact 报告。有关更多信息,请参阅[在 Amazon Artifact 中下载报告](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html)。要访问 AWS Artifact,您可以联系您的 CSDM [获取说明或前往 AWS Artifact 入门](https://aws.amazon.com/artifact/getting-started)。此信息未包含在本用户指南中,因为它包含敏感的安全内容。
## 使用安全组
安全组起着虚拟防火墙的作用,可控制一个或多个实例的流量。AMS 安全组允许您在实例级别上设置入站流量规则和出站流量规则。您可以创建安全组并指定要与安全组关联的 AMS 账户、Amazon EC2 实例、Amazon RDS 数据库实例、负载均衡器、趋势科技服务器深度安全防护系统管理中心 (DSM) 复制实例、EFS 挂载目标和 ElastiCache 集群中的资源。关联后,进出这些实例的流量将受到安全组中设置的规则的限制。
要更好地了解 AWS 的一般安全性,请参阅[安全、身份与合规最佳实践和适用](https://aws.amazon.com/architecture/security-identity-compliance/)于 [Linux 实例的 Amazon EC2 安全组](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-network-security.html)。
AMS 现在有一组用于创建和管理安全组的更改类型:
+ 部署 \$1 高级堆栈组件 \$1 安全组 \$1 创建 (ct-1oxx2g2d7hc90)
+ 管理 \$1 高级堆栈组件 \$1 安全组 \$1 删除 (ct-3cp96z7r065e4)
+ 管理 \$1 高级堆栈组件 \$1 安全组 \$1 更新 (ct-3memthlcmvc1b)
有关示例,请参阅[安全组](https://docs.aws.amazon.com/managedservices/latest/userguide/ex-sec-group-create-delete-update.html)。
# 安全组
在 AWS 中 VPCs,AWS 安全组充当虚拟防火墙,控制一个或多个堆栈(一个或一组实例)的流量。堆栈启动时,它会与一个或多个安全组相关联,这些安全组决定了允许哪些流量到达堆栈:
+ 对于公有子网中的堆栈,默认安全组接受来自所有位置(互联网)的 HTTP (80) 和 HTTPS (443) 流量。这些堆栈还接受来自您的公司网络和 AWS 堡垒的内部 SSH 和 RDP 流量。然后,这些堆栈可以通过任何端口导出到互联网。它们还可以输出到您的私有子网和公有子网中的其他堆栈。
+ 私有子网中的堆栈可以输出到私有子网中的任何其他堆栈,并且堆栈中的实例可以通过任何协议相互完全通信。
**重要**
私有子网上堆栈的默认安全组允许私有子网中的所有堆栈与该私有子网中的其他堆栈通信。如果要限制私有子网内堆栈之间的通信,则必须创建描述限制的新安全组。例如,如果您想限制与数据库服务器的通信,使该私有子网中的堆栈只能通过特定端口从特定的应用程序服务器进行通信,请请求特殊的安全组。本节将介绍如何执行此操作。
## 默认安全组
------
#### [ MALZ ]
下表描述了堆栈的默认入站安全组 (SG) 设置。SG 名为 “SentinelDefaultSecurityGroupPrivateOnly-vpc-id”,其中是 *ID* AMS 多账户着陆区账户中的 VPC ID。允许所有流量通过此安全组出站到 SentinelDefaultSecurityGroupPrivateOnly “mc-initial-garden-”(允许堆栈子网内的所有本地流量)。
第二个安全组 “” 允许所有流量出站到 0.0.0.0/0。SentinelDefaultSecurityGroupPrivateOnly
**提示**
如果您为 AMS 更改类型(例如 EC2 创建或 OpenSearch 创建域)选择安全组,则应使用此处描述的默认安全组之一,或者使用您创建的安全组。您可以在 AWS EC2 控制台或 VPC 控制台中找到每个 VPC 的安全组列表。
还有其他用于内部 AMS 目的的默认安全组。
**AMS 默认安全组(入站流量)**
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/managedservices/latest/userguide/about-security-groups.html)
------
#### [ SALZ ]
下表描述了堆栈的默认入站安全组 (SG) 设置。SG 名为 “mc-initial-garden-SentinelDefaultSecurityGroupPrivateOnly-*ID*”,其中*ID*是唯一标识符。允许所有流量通过此安全组出站到 SentinelDefaultSecurityGroupPrivateOnly “mc-initial-garden-”(允许堆栈子网内的所有本地流量)。
第二个安全组 “mc-initial-garden--” 允许所有流量出站到 0.0.0.0/0。SentinelDefaultSecurityGroupPrivateOnlyEgressAll *ID*
**提示**
如果您为 AMS 更改类型(例如 EC2 创建或 OpenSearch 创建域)选择安全组,则应使用此处描述的默认安全组之一,或者使用您创建的安全组。您可以在 AWS EC2 控制台或 VPC 控制台中找到每个 VPC 的安全组列表。
还有其他用于内部 AMS 目的的默认安全组。
**AMS 默认安全组(入站流量)**
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/managedservices/latest/userguide/about-security-groups.html)
------
## 创建、更改或删除安全组
您可以请求自定义安全组。如果默认安全组不能满足您的应用程序或组织的需求,则可以修改或创建新的安全组。此类申请将被视为需要批准,并将由AMS运营团队进行审查。
要在堆栈之外创建安全组 VPCs,请使用`Deployment | Advanced stack components | Security group | Create (review required)`更改类型 (ct-1oxx2g2d7hc90) 提交 RFC。
要修改活动目录 (AD) 安全组,请使用以下更改类型:
+ 添加用户:使用管理 \$1 Directory Service \$1 用户和群组 \$1 将用户添加到群组 [ct-24pi85mjtza8k] 提交 RFC
+ 要移除用户:使用管理 \$1 Directory Service \$1 用户和群组 \$1 从群组中移除用户 [ct-2019s9y3nfml4] 提交 RFC
**注意**
使用 “需要审核” 时 CTs,AMS 建议您使用 “尽快**安排**” 选项(在控制台中选择 “尽快”,在 **AP** I/CLI 中将开始和结束时间留空),因为这些选项 CTs 要求 AMS 操作员检查 RFC,并可能在批准和运行之前与您沟通。如果您安排这些活动 RFCs,请务必留出至少 24 小时的时间。如果在预定开始时间之前未获得批准,RFC 将被自动拒绝。
## 查找安全组
要查找附加到堆栈或实例的安全组,请使用 EC2 控制台。找到堆栈或实例后,您可以看到与其关联的所有安全组。
有关在命令行中查找安全组并筛选输出的方法,请参阅[https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-security-groups.html](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-security-groups.html)。
# AMS 预防和侦探控制库
预防和侦查控制
AWS Managed Services (AMS) 为您提供 library/catalog 一系列行之有效的服务控制策略 (SCPs) ConfigRules ,这些策略可以用来改善您的安全状况并缩小 AMS 账户中的合规漏洞。
**Topics**
+ [
# 精选规则 SCPs 和 Config 规则
](scp-library-compliance.md)
+ [
# Config 规则的自定义通知
](scp-lib-custom-notice.md)
# 精选规则 SCPs 和 Config 规则
AMS Advanced 的精选规则 SCPs 和 Config 规则。
+ **服务控制策略 (SCPs)**:提供的策略 SCPs 是默认 AMS 策略的补充。
您可以将这些库控件与默认库控件配合使用,以满足特定的安全要求。
+ **配置规则**:作为基准衡量标准,AMS 建议应用一致性包(参见 AWS Config 指南中的[一致性包](https://docs.aws.amazon.com/config/latest/developerguide/conformance-packs.html))以及默认 AMS 配置规则(有关默认规则,请参阅 AMS Artifacts)。合规包涵盖了大部分合规要求,AWS 会定期对其进行更新。
此处列出的规则可用于弥补一致性包未涵盖的特定用例差距
**注意**
随着 AMS 默认规则和一致性包会随着时间的推移而更新,您可能会看到这些规则的重复内容。
一般而言,AMS 建议定期清理重复的 Config 规则。
对于 AMS Advanced,为了避免更改,配置规则不应使用自动修复(请参阅[通过 AWS Config 规则修复不合规的 AWS](https://docs.aws.amazon.com/config/latest/developerguide/remediation.html) 资源)。 out-of-band
## SCP-AMS-001:限制 EBS 的创建
如果您未启用加密,请阻止创建 EBS 卷。
```
{
"Condition": {
"Bool": {
"ec2:Encrypted": "false"
}
},
"Action": "ec2:CreateVolume",
"Resource": "*",
"Effect": "Deny"
}
```
## SCP-AMS-002:限制 EC2 启动
如果 EBS 卷未加密,则禁止启动 EC2 实例。这包括拒绝未加密的 EC2 启动, AMIs 因为此 SCP 也适用于根卷。
```
{
"Condition": {
"Bool": {
"ec2:Encrypted": "false"
}
},
"Action": "ec2:RunInstances",
"Resource": "arn:aws:ec2:*:*:volume/*",
"Effect": "Deny"
}
```
## SCP-ADV-001:限制 RFC 提交
限制默认 AMS 角色自动提交特定的角色, RFCs 例如**创建 VPC** 或**删除 VPC**。如果您想对联合角色应用更精细的权限,这会很有用。
例如,您可能希望默认`AWSManagedServicesChangeManagement Role`用户能够提交大部分可用信息,但允许创建和删除 VPC、创建其他子网、退出应用程序账户、更新或删除 SAML 身份提供商的 RFCs 除外:
## SCP-AMS-003:限制在 AMS 中创建 RDS EC2 或 RDS
SCP-AMS-003:限制 EC2 或创建 RDS
防止创建没有特定标签的 Amazon EC2 和 RDS 实例,同时允许 AMS 默认`AMS Backup IAM`角色这样做。这是灾难恢复或灾难恢复所必需的
```
{
"Sid": "DenyRunInstanceWithNoOrganizationTag",
"Effect": "Deny",
"Action": [
"ec2:RunInstances",
"rds:CreateDBInstance"
],
"Resource": [
"arn:aws:ec2:*:*:instance/*",
"arn:aws:ec2:*:*:volume/*",
"arn:aws:rds:*:*:db:*"
],
"Condition": {
"Null": {
"aws:RequestTag/organization": "true"
},
"StringNotLike": {
"aws:PrincipalArn": [
"arn:aws:iam:::role/ams-backup-iam-role"
]
}
}
}
```
## SCP-AMS-004:限制 S3 的上传
防止上传未加密的 S3 对象。
```
{
"Sid": "DenyUnencryptedS3Uploads",
"Effect": "Deny",
"Action": "s3:PutObject",
"Resource": "*",
"Condition": {
"StringNotLike": {
"s3:x-amz-server-side-encryption": ["aws:kms", "AES256"]
},
"Null": {
"s3:x-amz-server-side-encryption": "false"
}
}
}
]
}
```
## SCP-AMS-005:限制 API 和控制台访问权限
阻止 AWS 控制台和 API 以确定的客户身份访问来自已知不良 IP 地址的请求 InfoSec。
## SCP-AMS-006:阻止 IAM 实体从组织中移除成员账户
防止 AWS Identity and Access Management 实体从组织中移除成员帐户。
```
{
"Effect": "Deny",
"Action": ["organizations:LeaveOrganization"],
"Resource": ["*"]
}
```
## SCP-AMS-007:防止与组织外部的账户共享资源
防止与 AWS 组织外部帐户共享资源
```
{
"Effect": "Deny",
"Action": [
"ram:*"
],
"Resource": [
"*"
],
"Condition": {
"Bool": {
"ram:AllowsExternalPrincipals": "true"
}
}
},
{
"Effect": "Deny",
"Action": [
"ram:CreateResourceShare",
"ram:UpdateResourceShare"
],
"Resource": "*",
"Condition": {
"Bool": {
"ram:RequestedAllowsExternalPrincipals": "true"
}
}
}
```
## SCP-AMS-008:防止与组织或组织单位共享 (OUs)
防止与组织中的账户 and/or OU 共享资源。
```
{
"Effect": "Deny",
"Action": [
"ram:CreateResourceShare",
"ram:AssociateResourceShare"
],
"Resource": "*",
"Condition": {
"ForAnyValue:StringLike": {
"ram:Principal": [
"arn:aws:organizations::*:account/o-${OrganizationId}/${AccountId}",
"arn:aws:organizations::*:ou/o-${OrganizationId}/ou-${OrganizationalUnitId}"
]
}
}
}
```
## SCP-AMS-009:阻止用户接受资源共享邀请
阻止成员账户接受加入资源共享 AWS RAM 的邀请。此 API 不支持任何条件,并且只能阻止来自外部账户的共享。
```
{
"Effect": "Deny",
"Action": ["ram:AcceptResourceShareInvitation"],
"Resource": ["*"]
}
```
## SCP-AMS-010:禁止使用账户区域启用和禁用操作
防止为您的 AWS 账户启用或禁用任何新 AWS 区域。
```
{
"Effect": "Deny",
"Action": [
"account:EnableRegion",
"account:DisableRegion"
],
"Resource": "*"
}
```
## SCP-AMS-011:阻止账单修改操作
防止修改账单和付款配置。
```
{
"Effect": "Deny",
"Action": [
"aws-portal:ModifyBilling",
"aws-portal:ModifyAccount",
"aws-portal:ModifyPaymentMethods"
],
"Resource": "*"
}
```
## SCP-AMS-012:防止对特定内容进行删除或修改 CloudTrails
防止修改特定 AWS CloudTrail 路径。
```
{
"Effect": "Deny",
"Action": [
"cloudtrail:DeleteEventDataStore",
"cloudtrail:DeleteTrail",
"cloudtrail:PutEventSelectors",
"cloudtrail:PutInsightSelectors",
"cloudtrail:UpdateEventDataStore",
"cloudtrail:UpdateTrail",
"cloudtrail:StopLogging"
],
"Resource": [
"arn:${Partition}:cloudtrail:${Region}:${Account}:trail/${TrailName}"
]
}
```
## SCP-AMS-013:防止禁用默认 EBS 加密
防止禁用默认 Amazon EBS 加密。
```
{
"Effect": "Deny",
"Action": [
"ec2:DisableEbsEncryptionByDefault"
],
"Resource": "*"
}
```
## SCP-AMS-014:防止创建默认 VPC 和子网
防止创建默认 Amazon VPC 和子网。
```
{
"Effect": "Deny",
"Action": [
"ec2:CreateDefaultSubnet",
"ec2:CreateDefaultVpc"
],
"Resource": "*"
}
```
## SCP-AMS-015:防止禁用和修改 GuardDuty
GuardDuty 防止亚马逊被修改或禁用。
```
{
"Effect": "Deny",
"Action": [
"guardduty:AcceptInvitation",
"guardduty:ArchiveFindings",
"guardduty:CreateDetector",
"guardduty:CreateFilter",
"guardduty:CreateIPSet",
"guardduty:CreateMembers",
"guardduty:CreatePublishingDestination",
"guardduty:CreateSampleFindings",
"guardduty:CreateThreatIntelSet",
"guardduty:DeclineInvitations",
"guardduty:DeleteDetector",
"guardduty:DeleteFilter",
"guardduty:DeleteInvitations",
"guardduty:DeleteIPSet",
"guardduty:DeleteMembers",
"guardduty:DeletePublishingDestination",
"guardduty:DeleteThreatIntelSet",
"guardduty:DisableOrganizationAdminAccount",
"guardduty:DisassociateFromMasterAccount",
"guardduty:DisassociateMembers",
"guardduty:InviteMembers",
"guardduty:StartMonitoringMembers",
"guardduty:StopMonitoringMembers",
"guardduty:TagResource",
"guardduty:UnarchiveFindings",
"guardduty:UntagResource",
"guardduty:UpdateDetector",
"guardduty:UpdateFilter",
"guardduty:UpdateFindingsFeedback",
"guardduty:UpdateIPSet",
"guardduty:UpdateMalwareScanSettings",
"guardduty:UpdateMemberDetectors",
"guardduty:UpdateOrganizationConfiguration",
"guardduty:UpdatePublishingDestination",
"guardduty:UpdateThreatIntelSet"
],
"Resource": "*"
}
```
## SCP-AMS-016:防止 root 用户活动
阻止 root 用户执行任何操作。
```
{
"Action": "*",
"Resource": "*",
"Effect": "Deny",
"Condition": {
"StringLike": {
"aws:PrincipalArn": [
"arn:aws:iam::*:root"
]
}
}
}
```
## SCP-AMS-017:阻止为 root 用户创建访问密钥
阻止为 root 用户创建访问密钥。
```
{
"Effect": "Deny",
"Action": "iam:CreateAccessKey",
"Resource": "arn:aws:iam::*:root"
}
```
## SCP-AMS-018:防止禁用 S3 账户公共访问封锁
防止禁用 Amazon S3 账户的公开访问封锁。这样可以防止账户中的任何存储桶被公开。
```
{
"Effect": "Deny",
"Action": "s3:PutAccountPublicAccessBlock",
"Resource": "*"
}
```
## SCP-AMS-019:防止禁用 AWS Config 或修改配置规则
防止禁用或修改 AWS Config 规则。
```
{
"Effect": "Deny",
"Action": [
"config:DeleteConfigRule",
"config:DeleteConfigurationRecorder",
"config:DeleteDeliveryChannel",
"config:DeleteEvaluationResults",
"config:StopConfigurationRecorder"
],
"Resource": "*"
}
```
## SCP-AMS-020:阻止所有 IAM 操作
阻止所有 IAM 操作。
```
{
"Effect": "Deny",
"Action": [
"iam:*"
],
"Resource": "*"
}
```
## SCP-AMS-021:防止删除 CloudWatch 日志组和流
防止删除 Amazon CloudWatch 日志组和直播。
```
{
"Effect": "Deny",
"Action": [
"logs:DeleteLogGroup",
"logs:DeleteLogStream"
],
"Resource": "*"
}
```
## SCP-AMS-022:防止 Glacier 被删除
防止删除 Amazon Glacier。
```
{
"Effect": "Deny",
"Action": [
"glacier:DeleteArchive",
"glacier:DeleteVault"
],
"Resource": "*"
}
```
## SCP-AMS-023:防止删除 IAM 访问分析器
防止删除 IAM 访问分析器。
```
{
"Action": [
"access-analyzer:DeleteAnalyzer"
],
"Resource": "*",
"Effect": "Deny"
}
```
## SCP-AMS-024:防止对 Security Hub 进行修改
防止删除 AWS Security Hub CSPM。
```
{
"Action": [
"securityhub:DeleteInvitations",
"securityhub:DisableSecurityHub",
"securityhub:DisassociateFromMasterAccount",
"securityhub:DeleteMembers",
"securityhub:DisassociateMembers"
],
"Resource": "*",
"Effect": "Deny"
}
```
## SCP-AMS-025:防止在 Directory Service 下删除
防止删除下的资源 Directory Service。
```
{
"Action": [
"ds:DeleteDirectory",
"ds:DeleteLogSubscription",
"ds:DeleteSnapshot",
"ds:DeleteTrust",
"ds:DeregisterCertificate",
"ds:DeregisterEventTopic",
"ds:DisableLDAPS",
"ds:DisableRadius",
"ds:DisableSso",
"ds:UnshareDirectory"
],
"Resource": "*",
"Effect": "Deny"
}
```
## SCP-AMS-026:禁止使用列入拒绝名单的服务
防止使用被拒绝名单的服务。
**注意**
*service2*用您的服务名称替换*service1*和。示例*access-analyzer*或*IAM*。
```
{
"Effect": "Deny",
"Resource": "*",
"Action": ["service1:*", "service2:*"]
}
```
## SCP-AMS-027:禁止在特定地区使用被拒绝名单的服务
禁止在特定 AWS 地区使用被拒绝名单的服务。
**注意**
*service2*用您的服务名称替换*service1*和。示例*access-analyzer*或*IAM*。
*region2*用您的服务名称替换*region1*和。示例*us-west-2*或*use-east-1*。
```
{
"Effect": "Deny",
"Resource": "*",
"Action": ["service1:*", "service2:*"],
"Condition": {
"StringEquals": {
"aws:RequestedRegion": [
"region1",
"region2"
]
}
}
}
```
## SCP-AMS-028:禁止除授权委托人之外修改标签
防止除授权委托人之外的任何用户修改标签。使用授权标签对委托人进行授权。授权标签必须与资源和委托人关联。 user/role 只有当资源和主体上的标签都匹配时,才会将A视为已授权。有关更多信息,请参阅以下资源:
+ [使用中的服务控制策略保护用于授权的资源标签 AWS Organizations](https://aws.amazon.com/blogs/security/securing-resource-tags-used-for-authorization-using-service-control-policy-in-aws-organizations/)
+ [防止除授权委托人以外的其他人修改标签](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_examples_tagging.html#example-require-restrict-tag-mods-to-admin)
```
{
"Effect": "Deny",
"Action": [
"ec2:CreateTags",
"ec2:DeleteTags"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"ec2:ResourceTag/access-project": "${aws:PrincipalTag/access-project}",
"aws:PrincipalArn": "arn:aws:iam::{ACCOUNT_ID}:{RESOURCE_TYPE}/{RESOURCE_NAME}"
},
"Null": {
"ec2:ResourceTag/access-project": false
}
}
},
{
"Effect": "Deny",
"Action": [
"ec2:CreateTags",
"ec2:DeleteTags"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:RequestTag/access-project": "${aws:PrincipalTag/access-project}",
"aws:PrincipalArn": "arn:aws:iam::{ACCOUNT_ID}:{RESOURCE_TYPE}/{RESOURCE_NAME}"
},
"ForAnyValue:StringEquals": {
"aws:TagKeys": [
"access-project"
]
}
}
},
{
"Effect": "Deny",
"Action": [
"ec2:CreateTags",
"ec2:DeleteTags"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:PrincipalArn": "arn:aws:iam::{ACCOUNT_ID}:{RESOURCE_TYPE}/{RESOURCE_NAME}"
},
"Null": {
"aws:PrincipalTag/access-project": true
}
}
}
```
## SCP-AMS-029:防止用户删除亚马逊 VPC 流日志
防止删除 Amazon VPC 流日志。
```
{
"Action": [
"ec2:DeleteFlowLogs",
"logs:DeleteLogGroup",
"logs:DeleteLogStream",
"s3:DeleteBucket",
"s3:DeleteObject",
"s3:DeleteObjectVersion",
"s3:PutLifecycleConfiguration",
"firehose:DeleteDeliveryStream"
],
"Resource": "*",
"Effect": "Deny"
}
```
## SCP-AMS-030:防止与网络账户以外的账户共享 VPC 子网
防止与网络账户以外的账户共享 Amazon VPC 子网。
**注意**
*NETWORK\$1ACCOUNT\$1ID*替换为您的网络账户 ID。
```
{
"Effect": "Deny",
"Action": [
"ram:AssociateResourceShare",
"ram:CreateResourceShare"
],
"Resource": "*",
"Condition": {
"StringNotEquals": {
"ram:Principal": "NETWORK_ACCOUNT_ID"
},
"StringEquals": {
"ram:RequestedResourceType": "ec2:Subnet"
}
}
}
```
## SCP-AMS-031:防止启动具有违禁实例类型的实例
防止启动禁止的 Amazon EC2 实例类型。
**注意**
将*instance\$1type1*和*instance\$1type2*替换为要限制的实例类型,例如*t2.micro*或通配符字符串,例如。*\$1.nano*
```
{
"Effect": "Deny",
"Action": "ec2:RunInstances",
"Resource": [
"arn:aws:ec2:*:*:instance/*"
],
"Condition": {
"ForAnyValue:StringLike": {
"ec2:InstanceType": [
"instance_type1",
"instance_type2"
]
}
}
}
```
## SCP-AMS-032:防止在没有的情况下启动实例 IMDSv2
防止不 EC2 使用亚马逊实例 IMDSv2。
```
[
{
"Effect": "Deny",
"Action": "ec2:RunInstances",
"Resource": "arn:aws:ec2:*:*:instance/*",
"Condition": {
"StringNotEquals": {
"ec2:MetadataHttpTokens": "required"
}
}
},
{
"Effect": "Deny",
"Action": "ec2:RunInstances",
"Resource": "arn:aws:ec2:*:*:instance/*",
"Condition": {
"NumericGreaterThan": {
"ec2:MetadataHttpPutResponseHopLimit": "3"
}
}
},
{
"Effect": "Deny",
"Action": "*",
"Resource": "*",
"Condition": {
"NumericLessThan": {
"ec2:RoleDelivery": "2.0"
}
}
},
{
"Effect": "Deny",
"Action": "ec2:ModifyInstanceMetadataOptions",
"Resource": "*"
}
]
```
## SCP-AMS-033:防止修改特定 IAM 角色
防止修改指定的 IAM 角色。
```
{
"Action": [
"iam:AttachRolePolicy",
"iam:DeleteRole",
"iam:DeleteRolePermissionsBoundary",
"iam:DeleteRolePolicy",
"iam:DetachRolePolicy",
"iam:PutRolePermissionsBoundary",
"iam:PutRolePolicy",
"iam:TagRole",
"iam:UntagRole",
"iam:UpdateAssumeRolePolicy",
"iam:UpdateRole",
"iam:UpdateRoleDescription"
],
"Resource": [
"arn:aws:iam::{ACCOUNT_ID}:role/{RESOURCE_NAME}"
],
"Effect": "Deny"
}
```
## SCP-AMS-034:防止 AssumeRolePolicy 修改特定 IAM 角色
防止修改指定 AssumeRolePolicy IAM 角色的。
```
{
"Action": [
"iam:UpdateAssumeRolePolicy"
],
"Resource": [
"arn:aws:iam::{ACCOUNT_ID}:role/{RESOURCE_NAME}"
],
"Effect": "Deny"
}
```
## ConfigRule: 必填标签
检查 EC2 实例是否具有您所需的自定义标签。此外 InfoSec,这对您的成本管理也很有用
```
ConfigRuleName: required-tags
Description: >-
A Config rule that checks whether EC2 instances have the required tags.
Scope:
ComplianceResourceTypes:
- 'AWS::EC2::Instance'
InputParameters:
tag1Key: COST_CENTER
tag2Key: APP_ID
Source:
Owner: AWS
SourceIdentifier: REQUIRED_TAGS
```
## ConfigRule: 访问密钥已轮换
检查访问密钥是否在指定的时间段内轮换。根据典型的合规性要求,通常将其设置为 90 天。
```
ConfigRuleName: access-keys-rotated
Description: >-
A config rule that checks whether the active access keys are rotated
within the number of days specified in maxAccessKeyAge. The rule is
NON_COMPLIANT if the access keys have not been rotated for more than
maxAccessKeyAge number of days.
InputParameters:
maxAccessKeyAge: '90'
Source:
Owner: AWS
SourceIdentifier: ACCESS_KEYS_ROTATED
MaximumExecutionFrequency: TwentyFour_Hours
```
## ConfigRule: AMS 中的 IAM 根访问密钥
ConfigRule: IAM 根访问密钥
检查账户上是否没有根访问密钥。对于 AMS 高级账户,这应该是合规的 out-of-the-box。
```
ConfigRuleName: iam-root-access-key-check
Description: >-
A config rule that checks whether the root user access key is available. The rule is COMPLIANT if the user access key does not exist.
Source:
Owner: AWS
SourceIdentifier: IAM_ROOT_ACCESS_KEY_CHECK
MaximumExecutionFrequency: TwentyFour_Hours
```
## ConfigRule: SSM 托管 EC2
检查您的系统 EC2s 是否由 SSM Systems Manager 管理。
```
ConfigRuleName: ec2-instance-managed-by-systems-manager
Description: >-
A Config rule that checks whether the EC2 instances in the
account are managed by AWS Systems Manager.
Scope:
ComplianceResourceTypes:
- 'AWS::EC2::Instance'
- 'AWS::SSM::ManagedInstanceInventory'
Source:
Owner: AWS
SourceIdentifier: EC2_INSTANCE_MANAGED_BY_SSM
```
## ConfigRule: AMS 中未使用的 IAM 用户
ConfigRule: 未使用的 IAM 用户
检查是否有在指定持续时间内未使用的 IAM 用户证书。与密钥轮换检查一样,根据典型的合规性要求,这通常默认为 90 天。
```
ConfigRuleName: iam-user-unused-credentials-check
Description: >-
A config rule that checks whether IAM users have passwords
or active access keys that have not been used within the
specified number of days provided.
InputParameters:
maxCredentialUsageAge: '90'
Source:
Owner: AWS
SourceIdentifier: IAM_USER_UNUSED_CREDENTIALS_CHECK
MaximumExecutionFrequency: TwentyFour_Hours
```
## ConfigRule: S3 存储桶日志
检查账户中的 S3 存储桶是否已启用日志记录。
```
ConfigRuleName: s3-bucket-logging-enabled
Description: >-
A Config rule that checks whether logging is enabled for S3 buckets.
Scope:
ComplianceResourceTypes:
- 'AWS::S3::Bucket'
Source:
Owner: AWS
SourceIdentifier: S3_BUCKET_LOGGING_ENABLED
```
## ConfigRule: S3 存储桶版本控制
检查所有 S3 存储桶上是否启用了版本控制和 mfa-Delete(可选)
```
ConfigRuleName: s3-bucket-versioning-enabled
Description: >-
A Config rule that checks whether versioning is enabled for S3
buckets. Optionally, the rule checks if MFA delete is enabled for S3 buckets.
Scope:
ComplianceResourceTypes:
- 'AWS::S3::Bucket'
Source:
Owner: AWS
SourceIdentifier: S3_BUCKET_VERSIONING_ENABLED
```
## ConfigRule: S3 公共访问权限
检查账户中的公共访问设置(公共 ACL、公共策略、公共存储桶)是否受到限制
```
ConfigRuleName: s3-account-level-public-access-blocks
Description: >-
A Config rule that checks whether the required public access block
settings are configured from account level. The rule is only
NON_COMPLIANT when the fields set below do not match the corresponding
fields in the configuration item.
Scope:
ComplianceResourceTypes:
- 'AWS::S3::AccountPublicAccessBlock'
InputParameters:
IgnorePublicAcls: 'True'
BlockPublicPolicy: 'True'
BlockPublicAcls: 'True'
RestrictPublicBuckets: 'True'
Source:
Owner: AWS
SourceIdentifier: S3_ACCOUNT_LEVEL_PUBLIC_ACCESS_BLOCKS
```
## ConfigRule: 未存档 GuardDuty 的调查结果
检查是否存在超过指定持续时间的未存档搜索 GuardDuty 结果。低sev的默认持续时间为30天,中sev的默认持续时间为7天,高sev发现的默认持续时间为1天。
```
ConfigRuleName: guardduty-non-archived-findings
Description: >-
A Config rule that checks whether the Amazon GuardDuty has findings that
are non archived. The rule is NON_COMPLIANT if GuardDuty has non
archived low/medium/high severity findings older than the specified number.
InputParameters:
daysLowSev: '30'
daysMediumSev: '7'
daysHighSev: '1'
Source:
Owner: AWS
SourceIdentifier: GUARDDUTY_NON_ARCHIVED_FINDINGS
MaximumExecutionFrequency: TwentyFour_Hours
```
## ConfigRule: 已删除 CMK
检查是否有计划删除(又名待处理CMKs)的 AWS Key Management Service 自定义主密钥 ()。这一点至关重要,因为对删除 CMK 一无所知会导致数据无法恢复
```
ConfigRuleName: kms-cmk-not-scheduled-for-deletion
Description: >-
A config rule that checks whether customer master keys (CMKs) are not
scheduled for deletion in AWS Key Management Service (AWS KMS). The rule is
NON_COMPLIANT if CMKs are scheduled for deletion.
Source:
Owner: AWS
SourceIdentifier: KMS_CMK_NOT_SCHEDULED_FOR_DELETION
MaximumExecutionFrequency: TwentyFour_Hours
```
## ConfigRule: 密钥轮换
检查账户中的每个 CMK 是否启用了自动轮换
```
ConfigRuleName: cmk-backing-key-rotation-enabled
Description: >-
A config rule that checks that key rotation is enabled for each customer
master key (CMK). The rule is COMPLIANT, if the key rotation is enabled
for specific key object. The rule is not applicable to CMKs that have
imported key material.
Source:
Owner: AWS
SourceIdentifier: CMK_BACKING_KEY_ROTATION_ENABLED
MaximumExecutionFrequency: TwentyFour_Hours
```
# Config 规则的自定义通知
可能会出现严重的不合规的 Config 规则,需要 InfoSec 您和领导团队直接提高认识。对于此类情况,AMS 建议您配置不合规事件驱动的自定义通知。
例如:
```
ConfigRuleName: required-tags
Description: >-
A Config rule that checks whether EC2 instances have the mandated tags.
Scope:
ComplianceResourceTypes:
- 'AWS::EC2::Instance'
InputParameters:
tag1Key: COST_CENTER
tag2Key: APP_ID
Source:
Owner: AWS
SourceIdentifier: REQUIRED_TAGS
NotificationEventRule:
Type: 'AWS::Events::Rule'
Properties:
Name: CWEventForrequired-tags
Description: >-
SNS Notification for Non-Compliant Events of Config Rule:
required-tags
State: ENABLED
EventPattern:
detail-type:
- Config Rules Compliance Change
source:
- aws.config
detail:
newEvaluationResult:
complianceType:
- NON_COMPLIANT
configRuleARN:
- 'Fn::GetAtt':
- RequiredEC2Tags
- Arn
Targets:
- Id: RemediationNotification
Arn:
Ref: SnsTopic
InputTransformer:
InputTemplate: >-
"EC2 Instance is non-compliant. Please add required tags: COST_CENTER, APP_ID, Name, and Backup."
InputPathsMap:
instance_id: $.detail.resourceId
SnsTopic:
Type: 'AWS::SNS::Topic'
Properties:
Subscription:
- Endpoint: Cloud_Ops_Leaders@customer.com
Protocol: email
TopicName: noncompliant-instance-notification
SnsTopicPolicy:
Type: 'AWS::SNS::TopicPolicy'
Properties:
PolicyDocument:
Statement:
- Sid: __default_statement_ID
Effect: Allow
Principal:
AWS: '*'
Action:
- 'SNS:GetTopicAttributes'
- 'SNS:SetTopicAttributes'
- 'SNS:AddPermission'
- 'SNS:RemovePermission'
- 'SNS:DeleteTopic'
- 'SNS:Subscribe'
- 'SNS:ListSubscriptionsByTopic'
- 'SNS:Publish'
- 'SNS:Receive'
Resource:
Ref: SnsTopic
Condition:
StringEquals:
'AWS:SourceOwner':
Ref: 'AWS::AccountId'
- Sid: TrustCWEToPublishEventsToMyTopic
Effect: Allow
Principal:
Service: events.amazonaws.com
Action: 'sns:Publish'
Resource:
Ref: SnsTopic
Topics:
- Ref: SnsTopic
```
# 适用于 AMS 高级版的 Amazon EventBridge 规则服务相关角色
Amazon EventBridge 规则 SLR
AMS Advanced 使用名为的服务相关角色 (SLR) **AWSServiceRoleForManagedServices\$1Events**— 此角色信任其中一位 AWS 托管服务委托人(events.managedservices.amazonaws.com)代您担任该角色。该服务使用该角色来创建 EventBridge 托管规则。此规则是您的账户中将警报状态更改信息从您的 AWS 账户传送到 Managed Services 所需的基础架构。 AWS
## AMS 高级 EventBridge 版单反相机的权限
EventBridge SLR 的权限
**AWSServiceRoleForManagedServices\$1Events** 服务相关角色信任以下服务代入该角色:
+ events.managedservices.com
该角色附带的是**AWSManagedServices\$1EventsServiceRolePolicy** AWS 托管策略(参见 [AWS 托管策略: AWSManagedServices\$1EventsServiceRolePolicy](https://docs.aws.amazon.com/managedservices/latest/accelerate-guide/security-iam-awsmanpol.html#EventsServiceRolePolicy))。该服务使用该角色将警报状态更改信息从您的账户传送到 Managed Ser AWS vices。您必须配置权限,允许 IAM 实体(如用户、组或角色)创建、编辑或删除服务相关角色。有关更多信息,请参阅 *AWS Identity and Access Management* 用户指南中的[服务相关角色权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions)。
你可以下载这个压缩文件**AWSManagedServices\$1EventsServiceRolePolicy**中的 JSON:[EventsServiceRolePolicy.zip。](https://docs.aws.amazon.com/managedservices/latest/accelerate-guide/samples/EventsServiceRolePolicy.zip)
## 为 AMS Advan EventBridge ced 创建单反相机
创建 EventBridge 单反相机
您无需手动创建服务相关角色。当您在 AWS 管理控制台、或 AWS API 中加入 AMS 时 AWS CLI,AMS Advanced 会为您创建服务相关角色。
**重要**
如果您在 2023 年 2 月 7 日之前使用 AMS Advanced 服务,则该服务相关角色可以出现在您的账户中,AMS Advanced 服务开始支持服务相关角色,然后 AMS Accelerate 在您的账户中创建了该 AWSServiceRoleForManagedServices\$1Events 角色。要了解更多信息,请参阅[我的 IAM 账户中出现新角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared)。
如果您删除该服务相关角色,然后需要再次创建,您可以使用相同流程在账户中重新创建此角色。当您加入 AMS 时,AMS Advanced 会再次为您创建与服务相关的角色。
## 为 AMS Advan EventBridge ced 编辑单反相机
编辑 EventBridge 单反相机
AMS Advanced 不允许您编辑 AWSServiceRoleForManagedServices\$1Events 服务相关角色。创建服务相关角色后,您将无法更改角色的名称,因为可能有多种实体引用该角色。但是可以使用 IAM 编辑角色描述。有关更多信息,请参阅《IAM 用户指南》**中的[编辑服务相关角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)。
## 删除 AMS EventBridge 高级版单反相机
删除 EventBridge 单反相机
无需手动删除 AWSServiceRoleForManagedServices\$1Events 角色。当您在 AWS 管理控制台、 AWS CLI 或 AWS API 中退出 AMS 时,AMS Advanced 会清理资源并为您删除服务相关角色。
您也可以使用 IAM 控制台、 AWS CLI 或 AWS API 手动删除服务相关角色。为此,必须先手动清除服务相关角色的资源,然后才能手动删除。
**注意**
如果您尝试删除资源时 AMS Advanced 服务正在使用该角色,则删除可能会失败。如果发生这种情况,请等待几分钟后重试。
**删除** AWSServiceRoleForManagedServices\$1Events 服务相关角色使用的** AMS 高级资源**
**使用 IAM 手动删除服务相关角色**
使用 IAM 控制台 AWS CLI、或 AWS API 删除 AWSServiceRoleForManagedServices\$1Events 服务相关角色。
有关更多信息,请参阅《IAM 用户指南》**中的[删除服务相关角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)。
# 安全最佳实践
此部分已被删除,因为它包含与 AMS 安全相关的敏感信息。此信息可通过 AMS 控制台**文档**获得。要访问 AWS Artifact,您可以联系您的 CSDM [获取说明或前往 AWS Artifact 入门](https://aws.amazon.com/artifact/getting-started)。
## AMS 多账号 landing zone EPS 非默认设置
此部分已被删除,因为它包含与 AMS 安全相关的敏感信息。此信息可通过 AMS 控制台**文档**获得。要访问 AWS Artifact,您可以联系您的 CSDM [获取说明或前往 AWS Artifact 入门](https://aws.amazon.com/artifact/getting-started)。
## AMS 护栏
护栏是一项高级规则,可为您的整个 AMS 环境提供持续治理。
此部分已被删除,因为它包含与 AMS 安全相关的敏感信息。此信息可通过 AMS 控制台**文档**获得。要访问 AWS Artifact,您可以联系您的 CSDM [获取说明或前往 AWS Artifact 入门](https://aws.amazon.com/artifact/getting-started)。
## MALZ 服务控制策略
此部分已被删除,因为它包含与 AMS 安全相关的敏感信息。此信息可通过 AMS 控制台**文档**获得。要访问 AWS Artifact,您可以联系您的 CSDM [获取说明或前往 AWS Artifact 入门](https://aws.amazon.com/artifact/getting-started)。