本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# AMS Accelerate 中的標準控制項


以下是 AMS 中的標準控制項：

## AMS-STD-X002 - AWS Identity and Access Management (IAM)



| ID | 技術標準 | 
| --- | --- | 
| 1.0 | 逾時持續時間 | 
| 1.1 | 聯合身分使用者預設逾時工作階段為一小時，最多可增加四個小時。 | 
| 1.2 | Microsoft Windows Server 的 RDP 工作階段逾時設定為 15 分鐘，可根據使用案例進行擴展。 | 
| 2.0 | AWS 根帳戶用量 | 
| 2.1 | 如果根帳戶因任何原因使用，Amazon GuardDuty 必須設定為產生相關調查結果。 | 
| 2.2 | 不得建立根帳戶的存取金鑰。 | 
| 3.0 | 使用者建立和修改 | 
| 3.1 | 可以建立具有程式設計存取和唯讀許可的 IAM 使用者/角色，而不需要任何時間限制政策。不過，不允許許可讀取帳戶中所有 Amazon Simple Storage Service 儲存貯體中的物件 （例如 S3：GetObject)。 | 
| 3.1.1 | 用於主控台存取和具有唯讀許可的 IAM 人類使用者可以使用時間限制政策 （最多 180 天） 建立，而removal/renewal/extension時間限制政策將導致風險通知。不過，不允許讀取帳戶中所有 S3 儲存貯體中物件 （例如 S3：GetObject) 的許可。 S3  | 
| 3.2 | 在沒有接受風險的情況下，不得在客戶帳戶中建立具有任何基礎設施變更許可 （寫入和許可管理） 的主控台和程式設計存取的 IAM 使用者和角色。S3 物件層級寫入許可存在例外狀況，只要特定儲存貯體位於非 AMS 相關標籤的範圍和標記操作中，這些許可就可以接受風險。 | 
| 3.3 | 在 Microsoft Windows Server 上，僅必須建立 Microsoft 群組受管服務帳戶 (gMSA)。 | 
| 4.0 | 政策、動作和 APIs | 
| 4.4 | 政策不得以等同於「效果」：「允許」搭配「動作」：「\$1」而非「資源」：「\$1」的陳述式提供管理員存取權，而不接受風險。 | 
| 4.6 |  客戶 IAM 政策中不得針對 AMS 基礎設施金鑰對 KMS 金鑰政策進行 API 呼叫。 | 
| 4.8 | 不允許對 Amazon Route 53 中的 AMS 基礎設施 DNS 記錄進行變更的動作。 | 
| 4.9 |  具有遵循到期程序後建立主控台存取權的 IAM 人類使用者，除了信任政策、擔任角色和時間有限的政策之外，不得直接連接任何政策。 | 
| 4.10 | 您可以在相同帳戶中建立具有特定秘密或命名空間讀取存取權 AWS Secrets Manager 的 Amazon EC2 執行個體設定檔。 | 
| 4.12 | IAM 政策不得包含任何動作，其中包括在任何 AMS Amazon CloudWatch 日誌群組上允許 log：DeleteLogGroup 和 logs：DeleteLogStream 的動作。 | 
| 4.13 | 不允許建立多區域金鑰的許可。 | 
| 4.14 | 透過使用服務特定 S3 條件金鑰 s3：ResourceAccount 指定帳戶號碼，即可限制對客戶帳戶存取儲存貯體，藉此提供尚未在客戶帳戶中建立的 S3 儲存貯體 ARN 存取權。 | 
| 4.15.1 | 您可以檢視、建立、列出和刪除對 S3 儲存鏡頭自訂儀表板的存取權。 | 
| 4.16 | 可以將 SQL Workbench 相關的完整許可授予角色/使用者，以便在 Amazon Redshift 資料庫上運作。 | 
| 4.17 | 可將任何 AWS CloudShell 許可授予客戶角色，做為 CLI 的替代方案。 | 
| 4.18 |  AWS 服務為信任委託人的 IAM 角色也需要符合 IAM 技術標準。 | 
| 4.19 |  服務連結角色 (SLRs) 不受 AMS IAM 技術標準的約束，因為它們是由 IAM 服務團隊建置和維護。 | 
| 4.20 | IAM 政策不應允許讀取帳戶中所有 S3 儲存貯體中的物件 （例如 S3：GetObject)。 S3  | 
| 4.21 | 資源類型「savingsplan」的所有 IAM 許可都可以授予客戶。 | 
| 4.22 | AMS 工程師不得在 Amazon S3、Amazon Relational Database Service、Amazon DynamoDB 等任何資料儲存服務中，或在作業系統檔案系統中手動複製或移動客戶資料 （檔案、S3 物件、資料庫等）。 Amazon S3 | 
| 6.0 | 跨帳戶政策 | 
| 6.1 | 您可以根據客戶記錄設定屬於相同客戶的 AMS 帳戶之間的 IAM 角色信任政策。 | 
| 6.2 | 只有在非 AMS 帳戶由相同 AMS 客戶擁有時 （透過確認其位於相同 AWS Organizations 帳戶下，或將電子郵件網域與客戶的公司名稱相符），才能設定 AMS 和非 AMS 帳戶之間的 IAM 角色信任政策。 | 
| 6.3 | 未經風險接受，不得設定 AMS 帳戶與第三方帳戶之間的 IAM 角色信任政策。 | 
| 6.4 | 您可以設定跨帳戶政策，在相同客戶的 AMS 帳戶之間存取任何客戶管理的 CMKs。 | 
| 6.5 | 您可以設定跨帳戶政策，以透過 AMS 帳戶存取非 AMS 帳戶中的任何 KMS 金鑰。 | 
| 6.6 | 在未接受風險的情況下，不允許跨帳戶政策存取第三方帳戶在 AMS 帳戶中的任何 KMS 金鑰。 | 
| 6.6.1 | 只有在非 AMS 帳戶由相同 AMS 客戶擁有時，才能設定跨帳戶政策以存取 AMS 帳戶內的任何 KMS 金鑰。 | 
| 6.7 | 您可以設定跨帳戶政策，在相同客戶的 AMS 帳戶之間存取可存放資料的任何 S3 儲存貯體資料或資源 （例如 Amazon RDS、Amazon DynamoDB 或 Amazon Redshift)。 | 
| 6.8 | 可從具有唯讀存取權的 AMS 帳戶存取任何 S3 儲存貯體資料或資源的跨帳戶政策，其中的資料可存放在非 AMS 帳戶中 （例如 Amazon RDS、Amazon DynamoDB 或 Amazon Redshift)。 | 
| 6.9 | 存取任何 S3 儲存貯體資料或資源的跨帳戶政策 （例如 Amazon RDS、Amazon DynamoDB 或 Amazon Redshift)，其具有從 AMS 到非 AMS 帳戶 （或非 AMS 到 AMS 帳戶） 的寫入許可，只有在非 AMS 帳戶為相同 AMS 客戶所擁有 （透過確認其位於相同 AWS Organizations 帳戶或將電子郵件網域與客戶的公司名稱相符） 時，才必須設定。 | 
| 6.10 |  跨帳戶政策，可從具有唯讀存取權的 AMS 帳戶存取任何 S3 儲存貯體資料或可存放資料的資源 （例如 Amazon RDS、Amazon DynamoDB 或 Amazon Redshift)。 | 
| 6.11 | 從具有寫入存取權的 AMS 帳戶存取任何 S3 儲存貯體資料或資源 （例如 Amazon RDS、Amazon DynamoDB 或 Amazon Redshift) 的跨帳戶政策不得設定。 | 
| 6.12 | 在未接受風險的情況下，不得設定來自第三方帳戶的跨帳戶政策來存取可存放資料的 AMS 客戶 S3 儲存貯體或資源 (asAmazon RDS、Amazon DynamoDB 或 Amazon Redshift)。 | 
| 7.0 | User Groups (使用者群組) | 
| 7.1 | 允許具有唯讀和非變動許可的 IAM 群組。 | 
| 8.0 | 以資源為基礎的政策 | 
| 8.4 | AMS 基礎設施資源應透過附加以資源為基礎的政策，不受未經授權的身分管理。 | 
| 8.2 | 除非客戶明確指定不同的政策，否則應使用最低權限的資源型政策來設定客戶資源。 | 

## AMS-STD-X003 - 網路安全


以下是 X003 - 網路安全的標準控制項：


| ID | 技術標準 | 
| --- | --- | 
|  | 聯網 | 
| 1.0 | 預留供未來控制 | 
| 2.0 | 允許 EC2 執行個體上的彈性 IP | 
| 3.0 | 必須使用 AMS 控制平面和資料平面 TLS 1.2\$1 中的延伸。 | 
| 5.0 | 如果根據 9.0 未連接到負載平衡器，則安全群組在傳入規則中不得具有 0.0.0.0/0 的來源 | 
| 6.0 | 未經風險接受，不得公開 S3 儲存貯體或物件。 | 
| 7.0 | 連接埠 SSH/22 或 SSH/2222 （非 SFTP/2222)、TELNET/23、RDP/3389、WinRM/5985-5986、VNC/ 5900-5901 TS/CITRIX/1494 或 1604、LDAP/389 或 636 和 RPC/135、NETBIOS/137-139 上的伺服器管理存取權不得透過安全群組從 VPC 外部進行。 | 
| 8.0 | 連接埠 (MySQL/3306、PostgreSQL/5432、Oracle/1521、MSSQL/1433) 或自訂連接埠上的資料庫管理存取權，不得允許來自未透過 DX、VPC 對等或 VPN 透過安全群組路由至 VPC 的公IPs。 | 
| 8.1 | 任何可存放客戶資料的資源都不應直接公開至公有網際網路。 | 
| 9.0 | 透過連接埠 HTTP/80、HTTPS/8443 和 HTTPS/443 從網際網路存取的直接應用程式僅允許載入平衡器，但不允許直接存取任何運算資源，例如 EC2 執行個體、ECS/EKS/Fargate 容器等。 | 
| 10.0 | 允許從客戶私有 IP 範圍透過連接埠 HTTP/80 和 HTTPS/443 存取應用程式。 | 
| 11.0 | 未經風險接受，不得允許對控制 AMS 基礎設施存取的安全群組進行任何變更。 | 
| 12.0 | 每次請求將安全群組連接到執行個體時，AMS Security 都會參考標準。 | 
| 14.0 | 只有在相同 AMS 客戶擁有非 AMS 帳戶時 （透過確認它們位於相同的 AWS Organization 帳戶下，或將電子郵件網域與客戶的公司名稱相符），才能使用內部工具，設定私有託管區域與 VPCs 從 AMS 到非 AMS 帳戶 （或非 AMS 到 AMS 帳戶） 的跨帳戶關聯。 | 
| 15.0 | 您可以允許屬於相同客戶之帳戶之間的 VPC 對等互連。 | 
| 16.0 | AMS 基礎 AMIs 可以使用內部工具與非 AMS 帳戶共用，只要這兩個帳戶都由相同客戶擁有 （透過確認他們位於相同 AWS Organizations 帳戶下，或將電子郵件網域與客戶的公司名稱相符）。 | 
| 17.0 | 未經風險接受，不得在任何安全群組中設定 FTP 連接埠 21。 | 
| 18.0 | 只要客戶擁有所有帳戶，就可以透過傳輸閘道進行跨帳戶網路連線。 | 
| 19.0 | 不允許將私有子網路設為公有 | 
| 20.0 | 不允許與第三方帳戶 （非客戶擁有） 建立 VPC 互連連線。 | 
| 21.0 | 不允許透過第三方帳戶 （非客戶擁有） 連接 Transit Gateway。 | 
| 22.0 | AMS 為客戶提供服務所需的任何網路流量，不得在客戶網路輸出點遭到封鎖。 | 
| 23.0 | 從客戶基礎設施向 Amazon EC2 發出的傳入 ICMP 請求將需要風險通知。 | 
| 24.0 | 允許透過 DX、VPC 對等或 VPN 透過安全群組路由至 Amazon VPC 的公IPs 傳入請求。 | 
| 25.0 | 未透過 DX、VPC 對等或 VPN 透過安全群組路由至 Amazon VPC 的公IPs 傳入請求需要接受風險。 | 
| 26.0 |  允許從 Amazon EC2 到任何目的地的傳出 ICMP 請求。 | 
| 27.0 | 安全群組共用 | 
| 27.1 | 如果安全群組符合此安全標準，則可以在相同帳戶中VPCs 和相同組織中的 帳戶之間共用。 | 
| 27.2 | 如果安全群組不符合此標準，且此安全群組先前需要接受風險，則不允許在相同帳戶中的 VPCs 之間或相同組織中的 帳戶之間使用安全群組共用功能，而不接受該 VPC 或帳戶的新帳戶的風險。 | 

## AMS-STD-X004 - 滲透測試


以下是 X004 - 滲透測試的標準控制項

1. AMS 不支援 pentest 基礎設施。這是客戶的責任。例如，Kali 不是 Linux 的 AMS 支援發行版本。

1. 客戶需要遵守[滲透測試](https://aws.amazon.com/security/penetration-testing/)。

1. 如果客戶想要在帳戶中執行基礎設施滲透測試，AMS 會提前 24 小時預先通知。

1. AMS 會根據客戶在變更請求或服務請求中明確陳述的客戶需求，佈建客戶滲透基礎設施。

1. 客戶滲透基礎設施的身分管理是客戶的責任。

## AMS-STD-X005 - GuardDuty


以下是 X005 - GuardDuty 的標準控制項

1. GuardDuty 必須隨時在所有客戶帳戶中啟用。

1. GuardDuty 提醒必須存放在相同帳戶或相同組織下的任何其他受管帳戶中。

1. 不得使用 GuardDuty 的信任 IP 清單功能。反之，自動封存可以用作替代方案，這適用於稽核目的。

## AMS-STD-X007 - 記錄


以下是 X007 - 記錄的標準控制項


| ID | 技術標準 | 
| --- | --- | 
| 1.0 | 日誌類型 | 
| 1.1 | 作業系統日誌：所有主機必須至少記錄主機身分驗證事件、所有使用提升權限的存取事件，以及所有存取和權限組態變更的存取事件，包括成功和失敗。 | 
| 1.2 | AWS CloudTrail：必須啟用並設定 CloudTrail 管理事件記錄，才能將日誌交付至 S3 儲存貯體。 | 
| 1.3 | VPC 流程日誌：所有網路流量日誌都必須透過 VPC 流程日誌記錄。 | 
| 1.4 | Amazon S3 伺服器存取記錄：存放日誌的 AMS 強制 S3 儲存貯體必須啟用伺服器存取記錄。 | 
| 1.5 | AWS Config 快照： AWS Config 必須記錄所有區域中所有支援資源的組態變更，並每天至少將組態快照檔案交付至 S3 儲存貯體一次。 | 
| 1.7 | 應用程式日誌：客戶有權在其應用程式中啟用記錄，並存放在 CloudWatch Logs 日誌群組或 S3 儲存貯體中。 | 
| 1.8 | S3 物件層級記錄：客戶有權在其 S3 儲存貯體中啟用物件層級記錄。 | 
| 1.9 | 服務記錄：客戶有權啟用和轉送 SSPS 服務的日誌，例如任何核心服務。 | 
| 1.10 | Elastic Load Balancing(Classic/Application Load Balancer/Network Load Balancer) 日誌：存取和錯誤日誌項目必須存放在 AMS 2.0 受管 S3 儲存貯體中。 | 
| 2.0 | 存取控制 | 
| 2.3 | 存放日誌的 AMS 授權 S3 儲存貯體不得允許第三方將使用者視為儲存貯體政策中的原則。 | 
| 2.4 | 未經客戶授權的安全聯絡人明確核准，不得刪除來自 CloudWatch Logs 日誌群組的日誌。 | 
| 3.0 | 日誌保留 | 
| 3.1 | AMS 指定的 CloudWatch Logs 日誌群組在日誌上必須至少保留 90 天。 | 
| 3.2 | 存放日誌的 AMS 授權 S3 儲存貯體在日誌上必須至少保留 18 個月。 | 
| 3.3 | AWS Backup 快照應可在支援的 資源上至少保留 31 天。 | 
| 4.0 | 加密 | 
| 4.1 | 必須在存放日誌的 AMS 團隊所需的所有 S3 儲存貯體中啟用加密。 | 
| 4.2 | 任何從客戶帳戶轉送到任何其他帳戶的日誌都必須加密。 | 
| 5.0 | 完整性 | 
| 5.1 | 必須啟用日誌檔案完整性機制。這表示在 AMS 團隊所需的 AWS CloudTrail 線索中設定「記錄檔案驗證」。 | 
| 6.0 | 日誌轉送 | 
| 6.1 | 任何日誌都可以從一個 AMS 帳戶轉送到相同客戶的另一個 AMS 帳戶。 | 
| 6.2 | 只有在相同 AMS 客戶擁有非 AMS 帳戶時 （透過確認他們位於相同 AWS Organizations 帳戶下，或將電子郵件網域與客戶的公司名稱和 PAYER 連結帳戶相符），才能使用內部工具，從 AMS 轉送任何日誌到非 AMS 帳戶。 |