本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 分配安全责任归属 [责任AWS 共担模型](https://aws.amazon.com/compliance/shared-responsibility-model/)定义了云安全和合规性责任的分担方式 AWS 及其客户。在此模型中 AWS ,保护运行中提供的所有服务的基础架构 AWS 云, AWS 客户负责保护其数据和应用程序。 您可以在组织内部镜像这种模式,并在云和应用程序团队之间分配责任。这可以帮助您更有效地扩展云安全计划,因为应用程序团队承担其应用程序的特定安全方面的责任。责任共担模式最简单的解释是,如果您有权配置资源,则应负责该资源的安全性。 将安全责任分配给应用程序团队的一个关键环节是构建自助服务安全工具,帮助您的应用程序团队实现自动化。最初,这可能是一项联合工作。安全团队可以将安全要求转换为代码扫描工具,然后应用程序团队可以使用这些工具来构建解决方案,并与其内部开发人员社区共享该解决方案。这有助于提高需要满足类似安全要求的其他团队的效率。 下表概述了将责任归属分配给应用程序团队的步骤,并提供了示例。 **** | 步骤 | Action | 示例 | | --- | --- | --- | | 1 | 定义您的安全要求:您尝试实现什么? 这可能来自安全标准或合规性要求。 | 例如,安全要求是应用程序身份的最低权限访问。 | | 2 | 枚举安全要求的控制措施:从控制的角度来看,此要求实际上意味着什么? 我需要做什么才能实现这一目标? | 为了实现应用程序身份的最低权限,以下是两个示例控制措施:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/prescriptive-guidance/latest/vulnerability-management/distribute-ownership.html) | | 3 | 控制措施文档指导:有了这些控制措施,您可以向开发人员提供哪些指导来帮助他们遵守控制措施? | 首先,您可以从记录简单的示例策略开始,包括安全和不安全的 IAM 策略和 Amazon Simple Storage Service(Amazon S3)存储桶策略。接下来,您可以在持续集成和持续交付(CI/CD)管线中嵌入策略扫描解决方案,例如使用 [AWS Config 规则](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config-rules.html)进行主动评估。 | | 4 | 开发可重复使用的构件:在指导下,您是否能让其变得更简单,为开发人员开发可重复使用的构件? | 您可以创建基础设施即代码(IaC),以部署遵循最低权限原则的 IAM 策略。您可以将这些可重复使用的构件存储在代码存储库中。 | 自助服务可能无法适用于所有安全要求,但其可以适用于标准场景。通过遵循这些步骤,组织可以授权其应用程序团队以可扩展的方式处理更多自身的安全职责。总体而言,分布式责任模式使许多组织内部形成更具协作性的安全实践。