View a markdown version of this page

使用验证 PCI DSS 4.0 的最佳操作实践 AWS Config - AWS 规范指引
Summary先决条件和限制工具操作说明相关资源附加信息附件

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用验证 PCI DSS 4.0 的最佳操作实践 AWS Config

Tala Qraitem 和 Alex Goff,Amazon Web Services

Summary

支付卡行业数据安全标准(PCI DSS)概述了可帮助保护支付数据的基本技术协议和运营协议。PCI DSS 的开发旨在促进和增强支付卡账户的数据安全性。这一标准还有助于在全球范围内广泛采用一致的安全措施。尽管 PCI DSS 是专为支付卡账户数据环境而设计的,但您也可以使用这一标准来防范威胁,并保护支付生态系统中的其他元素。

PCI DSS 版本 4.0 的发布旨在满足不断变化的需求、提供澄清或其他指导,以及改进这一标准的结构和格式。有关更改的更多信息,请参阅 PCI DSS 版本 3.2.1 至 4.0 的更改摘要

AWS Config 一致性包是一系列 AWS Config 规则和补救措施,可帮助您创建安全、运营或成本优化治理检查。您可以将一致性包部署为 AWS 账户 和中的单个实体 AWS 区域,也可以在中 AWS Organizations跨组织部署。

PCI DSS 版本 4.0 的合规包是基于版本 3.2.1 的合规包而构建并进一步增强的。合规包中的规则映射到这一标准中的规则。有关详情,请参阅附件部分中提供的映射 您可以从此合规包的两个版本中做出选择:一个包含全局资源类型,而另一个不包含这些类型。

重要

合规包并不能完全确保遵守特定的治理或合规标准。您负责自行评估您的使用是否符合适用的法律和法规要求。

先决条件和限制

先决条件

限制

  • 您的每个配额 AWS 账户 都有默认配额,以前称为限制 AWS 服务。除非另有说明,否则每个配额都是特定于区域的。您可以请求增大某些配额,但并非所有配额都可以增大。请务必熟悉 AWS Config 服务限制,包括单个账户合规包和组织合规包的限制。

  • 此合规包包含全球资源类型的那个版本只适用于 us-east-1 区域中的部署。

  • 此合规包不含全球资源类型的那个版本仅适用于部署在以下区域:

    • ap-east-1

    • ap-south-1

    • ap-northeast-2

    • ap-southeast-1

    • ap-southeast-2

    • ap-northeast-1

    • ca-central-1

    • eu-central-1

    • eu-west-1

    • eu-west-2

    • eu-west-3

    • eu-north-1

    • sa-east-1

    • us-east-2

    • us-west-1

    • us-west-2

工具

AWS 服务

  • AWS Config提供了您的资源 AWS 账户 及其配置方式的详细视图。它可以帮助您确定资源之间的相互关系,以及它们的配置如何随时间变化。

  • AWS Systems Manager 可帮助您管理在 AWS 云端运行的应用程序和基础设施。它简化了应用程序和资源管理,缩短了检测和解决操作问题的时间,并帮助您大规模安全地管理 AWS 资源。

代码存储库

一致性包位于AWS Config 一致性包 GitHub 存储库中。此存储库包含与 PCI DSS 版本 4.0 相关的以下模板:

操作说明

Task说明所需技能

下载合规包。

如果您要us-east-1在该地区部署一致性包,请下载PCI-dss-v4.0 -.yaml操作最佳实践模板。including-global-resourcetypes

如果您要在其他地区部署一致性包,请下载PCI-dss-v4.0 -.yaml操作最佳实践模板。excluding-global-resourcetypes

DevOps 工程师

(可选)修改合规包。

您可以根据贵组织的独特需求来修改合规包模板。例如,您可以创建自定义补救措施。有关如何创建和修改模板的更多信息,请参阅 AWS Config 文档中的为自定义一致性包创建模板

常规 AWS

部署合规包。

如果您要在目标中部署 AWS 区域, AWS 账户 或者,请按照 AWS Config 文档中部署一致性包中的说明进行操作。你可以使用 AWS 管理控制台 或 AWS Command Line Interface (AWS CLI)。

如果您要在中跨组织部署一致性包 AWS Organizations,请按照文档中使用快速设置部署 AWS Config 一致性包中的 AWS Systems Manager 说明进行操作。

常规 AWS

(可选)编辑合规包。

如果要编辑一致性包,请按照文档中编辑一致性包中的 AWS Config 说明进行操作。您可以使用 AWS 管理控制台 或 AWS CLI。

常规 AWS

(可选)删除合规包。

如果要删除一致性包,请按照文档中删除一致性包中的 AWS Config 说明进行操作。您可以使用 AWS 管理控制台 或 AWS CLI。

常规 AWS

相关资源

AWS resources

PCI DSS 资源

附加信息

以下是允许用户访问 AWS Config 和管理合规包的示例 AWS Identity and Access Management (IAM) 策略:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "config:PutConfigRule",
                "config:PutConformancePack",
                "config:DeleteConfigRule",
                "config:DeleteRemediationConfiguration",
                "config:DeleteConformancePack",
                "config:PutRemediationConfigurations",
                "config:BatchGetAggregateResourceConfig",
                "config:BatchGetResourceConfig",
                "config:Get*",
                "config:Describe*",
                "config:Deliver*",
                "config:List*",
                "config:Select*"
            ],
            "Resource": "*"
        }
    ]
}

附件

要访问与此文档相关联的其他内容,请解压以下文件:attachment.zip