本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 使用验证 PCI DSS 4.0 的最佳操作实践 AWS Config
*Tala Qraitem 和 Alex Goff,Amazon Web Services*
## Summary
[支付卡行业数据安全标准(PCI DSS)](https://www.pcisecuritystandards.org/standards/pci-dss/)概述了可帮助保护支付数据的基本技术协议和运营协议。PCI DSS 的开发旨在促进和增强支付卡账户的数据安全性。这一标准还有助于在全球范围内广泛采用一致的安全措施。尽管 PCI DSS 是专为支付卡账户数据环境而设计的,但您也可以使用这一标准来防范威胁,并保护支付生态系统中的其他元素。
PCI DSS 版本 4.0 的发布旨在满足不断变化的需求、提供澄清或其他指导,以及改进这一标准的结构和格式。有关更改的更多信息,请参阅 [PCI DSS 版本 3.2.1 至 4.0 的更改摘要](https://listings.pcisecuritystandards.org/documents/PCI-DSS-Summary-of-Changes-v3_2_1-to-v4_0.pdf)。
AWS Config [一致性包](https://docs.aws.amazon.com/config/latest/developerguide/conformance-packs.html)是一系列 AWS Config 规则和补救措施,可帮助您创建安全、运营或成本优化治理检查。您可以将一致性包部署为 AWS 账户 和中的单个实体 AWS 区域,也可以在中 AWS Organizations跨组织部署。
PCI DSS 版本 4.0 的合规包是基于版本 3.2.1 的合规包而构建并进一步增强的。合规包中的规则映射到这一标准中的规则。有关详情,请参阅*附件*部分中提供的映射 您可以从此合规包的两个版本中做出选择:一个包含[全局资源类型](https://docs.aws.amazon.com/config/latest/developerguide/select-resources.html#select-resources-all),而另一个不包含这些类型。
**重要**
合规包并不能完全确保遵守特定的治理或合规标准。您负责自行评估您的使用是否符合适用的法律和法规要求。
## 先决条件和限制
**先决条件**
+ 拥有一个活跃的 AWS 账户。
+ [设置 AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/gs-console.html)。
+ 满足[合规包的先决条件](https://docs.aws.amazon.com/config/latest/developerguide/cpack-prerequisites.html)。
+ 部署 [PCI DSS 版本 3.2.1 合规包](https://github.com/awslabs/aws-config-rules/blob/master/aws-config-conformance-packs/Operational-Best-Practices-for-PCI-DSS.yaml)。
+ 有权访问 AWS Config 和管理一致性包。有关示例策略,请参阅此模式的[其他信息](#verify-ops-best-practices-pci-dss-4-additional)部分。
**限制**
+ 您的每个配额 AWS 账户 都有默认配额,以前称为*限制* AWS 服务。除非另有说明,否则每个配额都是特定于区域的。您可以请求增大某些配额,但并非所有配额都可以增大。请务必熟悉 [AWS Config 服务限制](https://docs.aws.amazon.com/config/latest/developerguide/configlimits.html),包括单个账户合规包和组织合规包的限制。
+ 此合规包包含全球资源类型的那个版本只适用于 `us-east-1` 区域中的部署。
+ 此合规包不含全球资源类型的那个版本仅适用于部署在以下区域:
+ `ap-east-1`
+ `ap-south-1`
+ `ap-northeast-2`
+ `ap-southeast-1`
+ `ap-southeast-2`
+ `ap-northeast-1`
+ `ca-central-1`
+ `eu-central-1`
+ `eu-west-1`
+ `eu-west-2`
+ `eu-west-3`
+ `eu-north-1`
+ `sa-east-1`
+ `us-east-2`
+ `us-west-1`
+ `us-west-2`
## 工具
**AWS 服务**
+ [AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/WhatIsConfig.html)提供了您的资源 AWS 账户 及其配置方式的详细视图。它可以帮助您确定资源之间的相互关系,以及它们的配置如何随时间变化。
+ [AWS Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/what-is-systems-manager.html) 可帮助您管理在 AWS 云端运行的应用程序和基础设施。它简化了应用程序和资源管理,缩短了检测和解决操作问题的时间,并帮助您大规模安全地管理 AWS 资源。
**代码存储库**
一致性包位于[AWS Config 一致性包 GitHub 存储库](https://github.com/awslabs/aws-config-rules/tree/master/aws-config-conformance-packs)中。此存储库包含与 PCI DSS 版本 4.0 相关的以下模板:
+ [PCI-dss-v4.0 的操作最佳实践-.yaml including-global-resourcetypes](https://github.com/awslabs/aws-config-rules/blob/master/aws-config-conformance-packs/Operational-Best-Practices-for-PCI-DSS-v4.0-including-global-resourcetypes.yaml)
+ [PCI-dss-v4.0 的操作最佳实践-.yaml excluding-global-resourcetypes](https://github.com/awslabs/aws-config-rules/blob/master/aws-config-conformance-packs/Operational-Best-Practices-for-PCI-DSS-v4.0-excluding-global-resourcetypes.yaml)
## 操作说明
### 部署和管理合规包
| Task | 说明 | 所需技能 |
| --- | --- | --- |
| 下载合规包。 | 如果您要`us-east-1`在该地区部署一致性包,请下载PCI-dss-v4.0 [-.yaml操作最佳实践模板](https://github.com/awslabs/aws-config-rules/blob/master/aws-config-conformance-packs/Operational-Best-Practices-for-PCI-DSS-v4.0-including-global-resourcetypes.yaml)。including-global-resourcetypes如果您要在其他地区部署一致性包,请下载PCI-dss-v4.0 [-.yaml操作最佳实践模板](https://github.com/awslabs/aws-config-rules/blob/master/aws-config-conformance-packs/Operational-Best-Practices-for-PCI-DSS-v4.0-excluding-global-resourcetypes.yaml)。excluding-global-resourcetypes | DevOps 工程师 |
| (可选)修改合规包。 | 您可以根据贵组织的独特需求来修改合规包模板。例如,您可以创建自定义补救措施。有关如何创建和修改模板的更多信息,请参阅 AWS Config 文档中的[为自定义一致性包创建模板](https://docs.aws.amazon.com/config/latest/developerguide/custom-conformance-pack.html)。 | 常规 AWS |
| 部署合规包。 | 如果您要在目标中部署 AWS 区域, AWS 账户 或者,请按照 AWS Config 文档中[部署一致性包](https://docs.aws.amazon.com/config/latest/developerguide/conformance-pack-deploy.html)中的说明进行操作。你可以使用 AWS 管理控制台 或 AWS Command Line Interface (AWS CLI)。如果您要在中跨组织部署一致性包 AWS Organizations,请按照文档中[使用快速设置部署 AWS Config 一致性包](https://docs.aws.amazon.com/systems-manager/latest/userguide/quick-setup-cpack.html)中的 AWS Systems Manager 说明进行操作。 | 常规 AWS |
| (可选)编辑合规包。 | 如果要编辑一致性包,请按照文档中[编辑一致性包](https://docs.aws.amazon.com/config/latest/developerguide/conformance-pack-edit.html)中的 AWS Config 说明进行操作。您可以使用 AWS 管理控制台 或 AWS CLI。 | 常规 AWS |
| (可选)删除合规包。 | 如果要删除一致性包,请按照文档中[删除一致性包](https://docs.aws.amazon.com/config/latest/developerguide/conformance-pack-delete.html)中的 AWS Config 说明进行操作。您可以使用 AWS 管理控制台 或 AWS CLI。 | 常规 AWS |
## 相关资源
**AWS resources**
+ AWS Config(AWS Config 文档)[的一致性包](https://docs.aws.amazon.com/config/latest/developerguide/conformance-packs.html)
+ [使用快速设置部署 AWS Config 一致性包](https://docs.aws.amazon.com/systems-manager/latest/userguide/quick-setup-cpack.html)(Systems Manager 文档)
+ AWS(网站)[AWS 上的 PCI DSS 合规性](https://aws.amazon.com/compliance/pci-dss-level-1-faqs/)
+ [AWS上的 PCI DSS 版本 4.0](https://d1.awsstatic.com/whitepapers/compliance/pci-dss-compliance-on-aws-v4-102023.pdf)(合规指南)
**PCI DSS 资源**
+ [PCI DSS 版本 4.0 资源中心](https://blog.pcisecuritystandards.org/pci-dss-v4-0-resource-hub)
+ [PCI 安全标准委员会文档库](https://www.pcisecuritystandards.org/document_library/)
+ [PCI DSS 版本 3.2.1 至 4.0 的更改摘要](https://listings.pcisecuritystandards.org/documents/PCI-DSS-Summary-of-Changes-v3_2_1-to-v4_0.pdf)
## 附加信息
以下是允许用户访问 AWS Config 和管理合规包的示例 AWS Identity and Access Management (IAM) 策略:
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"config:PutConfigRule",
"config:PutConformancePack",
"config:DeleteConfigRule",
"config:DeleteRemediationConfiguration",
"config:DeleteConformancePack",
"config:PutRemediationConfigurations",
"config:BatchGetAggregateResourceConfig",
"config:BatchGetResourceConfig",
"config:Get*",
"config:Describe*",
"config:Deliver*",
"config:List*",
"config:Select*"
],
"Resource": "*"
}
]
}
```
## 附件
要访问与此文档相关联的其他内容,请解压以下文件:[attachment.zip](samples/p-attach/7f4b4311-2606-44e9-b9a2-8c2472643008/attachments/attachment.zip)