本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# AMS Accelerate 中的安全管理
AWS Managed Services 使用多個控制項來保護您的資訊資產,並協助您保護 AWS 基礎設施的安全。AMS Accelerate 會維護 AWS Config 規則 和 修復動作的程式庫,以確保您的所有帳戶都符合業界的安全性和操作完整性標準。 AWS Config 規則 會持續追蹤所記錄資源之間的組態變更。如果變更違反任何規則條件,AMS 會報告其調查結果,並允許您根據違規的嚴重性自動或請求修復違規。 AWS Config 規則 協助符合以下標準:網際網路安全中心 (CIS)、國家標準與技術研究所 (NIST) 雲端安全架構 (CSF)、健康保險流通與責任法案 (HIPAA) 和支付卡產業 (PCI) 資料安全標準 (DSS)。
此外,AMS 利用 Amazon GuardDuty 來識別 AWS 環境中可能未經授權或惡意的活動。AMS 全年無休監控 GuardDuty 調查結果。AMS 會與您合作,以了解調查結果的影響,並根據最佳實務建議識別修復。AMS 也會使用 Amazon Macie 來保護您的敏感資料,例如個人健康資訊 (PHI)、個人身分識別資訊 (PII) 和財務資料。
**注意**
Amazon Macie 是選用服務,預設不會啟用。
AMS Accelerate 提供各種營運服務,協助您實現卓越營運 AWS。若要進一步了解 AMS 如何 AWS 雲端 透過 AMS 金鑰操作功能,包括全年無休的服務台、主動監控、安全性、修補、記錄和備份,協助您的團隊在 中實現整體卓越營運,請參閱 [AMS 參考架構圖表](https://d1.awsstatic.com/architecture-diagrams/ArchitectureDiagrams/AWS-managed-services-for-operational-excellence-ra.pdf)。
**Topics**
+ [
# 使用 Log4j SSM 文件來探索 Accelerate 中的事件
](acc-lm-log4j.md)
+ [
# AMS 中的基礎設施安全監控
](acc-sec-infra-sec.md)
+ [
# Accelerate 中的資料保護
](acc-sec-data-protect.md)
+ [
# AWS Identity and Access Management 在 AMS Accelerate 中
](acc-sec-iam.md)
+ [
# AMS 中的安全事件回應
](security-incident-response.md)
+ [
# Accelerate 中的安全事件記錄和監控
](acc-sec-log-mon.md)
+ [
# Accelerate 中的組態合規
](acc-sec-compliance.md)
+ [
# Accelerate 中的事件回應
](acc-sec-incident.md)
+ [
# Accelerate 中的彈性
](acc-sec-resilience.md)
+ [
# end-of-support作業系統的安全控制
](ams-eos-sec-controls-os.md)
+ [
# Accelerate 中的安全最佳實務
](acc-sec-best-practice.md)
+ [
# 變更請求安全性審查
](acc-sec-change-request-review.md)
+ [
# 安全性常見問答集
](security-access-faq.md)
# 使用 Log4j SSM 文件來探索 Accelerate 中的事件
Log4j AWS Systems Manager 文件 (SSM 文件) 可協助您在擷取的工作負載中搜尋 Apache Log4j2 程式庫。自動化文件提供 Log4j2 程式庫作用中之 Java 應用程式 (Java) 的程序 ID 報告。
此報告包含 Java Archives (JAR 檔案) 的相關資訊,可在包含 JndiLookup 類別的指定環境中找到。最佳實務是將探索到的程式庫升級至最新的可用版本。此升級可減少透過 CVE-2021-44228 識別的遠端程式碼執行 (RCE)。從 Apache 下載最新版的 Log4j 程式庫。如需詳細資訊,請參閱[下載 Apache Log4j 2](https://logging.apache.org/log4j/2.x/download.html)。
文件會與加入 Accelerate 的所有區域共用。若要存取文件,請完成下列步驟:
1. 在 https://[https://console.aws.amazon.com/systems-manager/](https://console.aws.amazon.com/systems-manager/) 開啟 AWS Systems Manager 主控台。
1. 在導覽窗格中,選擇 **Documents (文件)**。
1. 選擇**與我共用**。
1. 在搜尋方塊中,輸入 **AWSManagedServices-GatherLog4jInformation**。
1. 使用[速率控制](https://docs.aws.amazon.com/systems-manager/latest/userguide/automation-working-targets-and-rate-controls.html)大規模執行文件。
AWSManagedServices-GatherLog4jInformation 文件會收集下列參數:
+ **InstanceId**:(必要) EC2 執行個體的 ID。
+ **S3Bucket**體:(選用) 上傳結果的 S3 預先簽章 URL 或 S3 URI (s3://BUCKET\$1NAME)。
+ ** AutomationAssumeRole**:(必要) 允許自動轉換代表您執行動作之角色的 ARN。
最佳實務是使用速率控制執行本文件。您可以將速率控制參數設定為 **InstanceId**,並為其指派執行個體清單,或套用標籤索引鍵組合以鎖定具有特定標籤的所有 EC2 執行個體。AWS Managed Services 也建議您提供 Amazon Simple Storage Service (Amazon S3) 儲存貯體來上傳結果,以便從存放在 S3 中的資料建置報告。如需如何在 S3 中彙總結果的範例,請參閱 [EC2 執行個體堆疊 \$1 收集 Log4j 資訊](https://docs.aws.amazon.com/managedservices/latest/ctref/management-advanced-ec2-instance-stack-gather-log4j-information.html)。
如果您無法升級套件,請遵循[使用 AWS 安全服務保護、偵測和回應 Log4j 漏洞](https://aws.amazon.com/blogs/security/using-aws-security-services-to-protect-against-detect-and-respond-to-the-log4j-vulnerability/)中 AWS 安全性概述的指導方針。若要透過移除 JndiLookup 類別功能來緩解漏洞,請使用 Java 應用程式 (內嵌) 執行 Log4j 熱修補程式。如需熱修補程式的詳細資訊,請參閱 [Apache Log4j 的熱修補程式](https://aws.amazon.com/fr/blogs/opensource/hotpatch-for-apache-log4j/)。
有關自動化輸出或如何繼續其他緩解措施的問題,請提交服務請求。
# AMS 中的基礎設施安全監控
當您加入 AMS Accelerate 時, AWS 部署下列 AWS Config 基準基礎設施和一組規則,AMS Accelerate 會使用這些規則來監控您的帳戶。
+ **AWS Config 服務連結角色**:AMS Accelerate 部署名為 **AWSServiceRoleForConfig** 的服務連結角色, AWS Config 供 用來查詢其他服務的狀態 AWS 。**AWSServiceRoleForConfig** 服務連結角色信任 AWS Config 服務擔任該角色。**AWSServiceRoleForConfig** 角色的許可政策包含 AWS Config 資源的唯讀和唯讀許可,以及 AWS Config 支援之其他服務中資源的唯讀許可。如果您已使用 AWS Config Recorder 設定角色,AMS Accelerate 會驗證現有角色是否已連接 AWS Config 受管政策。如果沒有,AMS Accelerate 會將角色取代為服務連結角色 **AWSServiceRoleForConfig**。
+ **AWS Config 記錄器和交付通道**: AWS Config 使用組態記錄器偵測資源組態中的變更,並將這些變更擷取為組態項目。AMS Accelerate 在所有服務中部署組態記錄器 AWS 區域,並持續記錄所有資源。AMS Accelerate 也會建立組態交付管道,即 Amazon S3 儲存貯體,用於記錄 AWS 資源中發生的變更。組態記錄器會透過交付管道更新組態狀態。需要組態記錄器和交付管道 AWS Config 才能運作。AMS Accelerate 會在所有 中建立記錄器 AWS 區域,並在單一 中建立交付管道 AWS 區域。如果您已在 中擁有記錄器和交付管道 AWS 區域,則 AMS Accelerate 不會刪除現有 AWS Config 資源,而是在驗證其已正確設定之後,AMS Accelerate 會使用您現有的記錄器和交付管道。如需如何降低成本的詳細資訊 AWS Config ,請參閱[降低 Accelerate 中的 AWS Config 成本](acc-sec-compliance.md#acc-sec-compliance-reduct-config-spend)。
+ **AWS Config 規則**:AMS Accelerate 會維護 AWS Config 規則 和 修補動作的程式庫,以協助您符合業界的安全性和操作完整性標準。 AWS Config 規則 會持續追蹤所記錄資源之間的組態變更。如果變更違反任何規則條件,AMS 會報告其調查結果,並允許您根據違規的嚴重性自動或透過請求修復違規。 可 AWS Config 規則 促進符合以下標準:網際網路安全中心 (CIS)、國家標準與技術研究所 (NIST) 雲端安全架構 (CSF)、健康保險流通與責任法案 (HIPAA) 和支付卡產業 (PCI) 資料安全標準 (DSS)。
+ **AWS Config 彙總工具授權**:彙總工具是一種 AWS Config 資源類型,可從多個帳戶和多個區域收集 AWS Config 組態和合規資料。AMS Accelerate 會將您的帳戶加入組態彙總器,AMS Accelerate 會從中彙總您帳戶的資源組態資訊和組態合規資料,並產生合規報告。如果在 AMS 擁有的帳戶中設定了現有的彙總工具,則 AMS Accelerate 會部署額外的彙總工具,而且不會修改現有的彙總工具。
**注意**
您的帳戶中未設定 Config 彙總工具;而是在 AMS 擁有的帳戶中設定 (並且您的帳戶已加入)。
若要進一步了解 AWS Config,請參閱:
+ AWS Config:[什麼是 Config?](https://docs.aws.amazon.com/config/latest/developerguide/WhatIsConfig.html)
+ AWS Config 規則:[使用 規則評估資源](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html)
+ AWS Config 規則:[動態合規檢查: AWS Config 規則 – 雲端資源的動態合規檢查](https://aws.amazon.com/blogs/aws/aws-config-rules-dynamic-compliance-checking-for-cloud-resources/)
+ AWS Config 彙總工具:[多帳戶多區域資料彙總](https://docs.aws.amazon.com/config/latest/developerguide/aggregate-data.html)
如需報告的資訊,請參閱 [AWS Config 控制合規報告](acc-report-config-control-compliance.md)。
# 使用 AMS Accelerate 的服務連結角色
AMS Accelerate 使用 AWS Identity and Access Management (IAM) [服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role)。服務連結角色 (SLR) 是直接連結至 AMS Accelerate 的唯一 IAM 角色類型。服務連結角色由 AMS Accelerate 預先定義,並包含該服務代表您呼叫其他 AWS 服務所需的所有許可。
服務連結角色可讓您更輕鬆地設定 AMS Accelerate,因為您不必手動新增必要的許可。AMS Accelerate 定義其服務連結角色的許可,除非另有定義,否則只有 AMS Accelerate 可以擔任其角色。定義的許可包括信任政策和許可政策,且該許可政策無法附加至其他 IAM 實體。
如需有關支援服務連結角色的其他 服務的資訊,請參閱[AWS 使用 IAM 的服務](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html),並在**服務連結角色**欄中尋找具有**是**的服務。選擇具有連結的**是**,以檢視該服務的服務連結角色文件。
## AMS Accelerate 的部署工具組服務連結角色
AMS Accelerate 使用名為 **AWSServiceRoleForAWSManagedServicesDeploymentToolkit** 的服務連結角色 (SLR) – 此角色會將 AMS Accelerate 基礎設施部署到客戶帳戶。
**注意**
此政策最近已更新;如需詳細資訊,請參閱 [加速服務連結角色的更新](#slr-updates)。
### AMS Accelerate 部署工具組 SLR
AWSServiceRoleForAWSManagedServicesDeploymentToolkit 服務連結角色信任下列服務擔任該角色:
+ `deploymenttoolkit.managedservices.amazonaws.com`
名為 [AWSManagedServicesDeploymentToolkitPolicy](security-iam-awsmanpol.html#security-iam-awsmanpol-DeploymentToolkitPolicy) 的政策允許 AMS Accelerate 對下列資源執行動作:
+ `arn:aws*:s3:::ams-cdktoolkit*`
+ `arn:aws*:cloudformation:*:*:stack/ams-cdk-toolkit*`
+ `arn:aws:ecr:*:*:repository/ams-cdktoolkit*`
此 SLR 授予 Amazon S3 許可,以建立和管理 AMS 使用的部署儲存貯體,將 CloudFormation 範本或 Lambda 資產套件等資源上傳至元件部署的帳戶中。此 SLR 授予 CloudFormation 許可,以部署定義部署儲存貯體的 CloudFormation 堆疊。如需詳細資訊或下載政策,請參閱 [AWSManagedServices\$1DeploymentToolkitPolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-DeploymentToolkitPolicy)。
您必須設定許可,IAM 實體 (如使用者、群組或角色) 才可建立、編輯或刪除服務連結角色。如需詳細資訊,請參閱《*IAM 使用者指南*》中的[服務連結角色許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions)。
### 建立適用於 AMS Accelerate 的部署工具組 SLR
您不需要手動建立一個服務連結角色。當您在 AWS 管理主控台 AWS CLI、 或 AWS API 中加入 AMS 時,AMS Accelerate 會為您建立服務連結角色。
**重要**
如果您在 2022 年 6 月 9 日之前使用 AMS Accelerate 服務,而該服務連結角色開始支援服務連結角色,則 AMS Accelerate 會在您的帳戶中建立 AWSServiceRoleForAWSManagedServicesDeploymentToolkit 角色。若要進一步了解,請參閱[我的 IAM 帳戶中出現的新角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared)。
若您刪除此服務連結角色,之後需要再次建立,您可以在帳戶中使用相同程序重新建立角色。當您加入 AMS 時,AMS Accelerate 會再次為您建立服務連結角色。
### 編輯 AMS Accelerate 的部署工具組 SLR
AMS Accelerate 不允許您編輯 AWSServiceRoleForAWSManagedServicesDeploymentToolkit 服務連結角色。因為有各種實體可能會參考服務連結角色,所以您無法在建立角色之後變更角色名稱。然而,您可使用 IAM 來編輯角色描述。如需詳細資訊,請參閱[「IAM 使用者指南」](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)的*編輯服務連結角色*。
### 刪除 AMS Accelerate 的部署工具組 SLR
您不需要手動刪除 AWSServiceRoleForAWSManagedServicesDeploymentToolkit 角色。當您從 AWS 管理主控台 AWS CLI、 或 AWS API 的 AMS 離職時,AMS Accelerate 會為您清除資源並刪除服務連結角色。
您也可以使用 IAM 主控台、 AWS CLI 或 AWS API 手動刪除服務連結角色。若要執行此操作,您必須先手動清除服務連結角色的資源,然後才能手動刪除它。
**注意**
如果您嘗試刪除資源時,AMS Accelerate 服務正在使用該角色,則刪除可能會失敗。若此情況發生,請等待數分鐘後並再次嘗試操作。
**刪除 AWSServiceRoleForAWSManagedServicesDeploymentToolkit 服務連結角色所使用的 AMS Accelerate 資源**
在 AMS 中刪除您帳戶加入的所有區域中的`ams-cdk-toolkit`堆疊 (您可能需要先手動清空 S3 儲存貯體)。
**使用 IAM 手動刪除服務連結角色**
使用 IAM 主控台 AWS CLI、 或 AWS API 來刪除 AWSServiceRoleForAWSManagedServicesDeploymentToolkit 服務連結角色。如需詳細資訊,請參閱[《IAM 使用者指南》中的刪除服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)。 **
## AMS Accelerate 的 Detective 控制服務連結角色
AMS Accelerate 使用名為 **AWSServiceRoleForManagedServices\$1DetectiveControlsConfig** 的服務連結角色 (SLR) – AWS Managed Services 使用此服務連結角色來部署 config-recorder、config 規則和 S3 儲存貯體偵測控制項。
連接至 **AWSServiceRoleForManagedServices\$1DetectiveControlsConfig** 服務連結角色的受管政策如下:[AWSManagedServices\$1DetectiveControlsConfig\$1ServiceRolePolicy](security-iam-awsmanpol.html#security-iam-awsmanpol-DetectiveControlsConfig)。如需更新此政策,請參閱「[加速 AWS 受管政策的更新](security-iam-awsmanpol.md#security-iam-awsmanpol-updates)」。
### AMS Accelerate 的偵測控制 SLR 許可
AWSServiceRoleForManagedServices\$1DetectiveControlsConfig 服務連結角色信任下列服務擔任該角色:
+ `detectivecontrols.managedservices.amazonaws.com`
連接到此角色是 `AWSManagedServices_DetectiveControlsConfig_ServiceRolePolicy` AWS 受管政策 [AWS 受管政策:AWSManagedServices\$1DetectiveControlsConfig\$1ServiceRolePolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-DetectiveControlsConfig) (請參閱 服務使用 角色在您的帳戶中建立設定 AMS Detective 控制項,這需要部署 資源,例如 s3 儲存貯體、組態規則和 彙總工具。 您必須設定許可,以允許 IAM 實體 (例如使用者、群組或角色) 建立、編輯或刪除服務連結角色。如需詳細資訊,請參閱《 *AWS Identity and Access Management* 使用者指南》中的[服務連結角色許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions)。
### 建立 AMS Accelerate 的偵測控制 SLR
您不需要手動建立一個服務連結角色。當您在 AWS 管理主控台 AWS CLI、 或 AWS API 中加入 AMS 時,AMS Accelerate 會為您建立服務連結角色。
**重要**
如果您在 2022 年 6 月 9 日之前使用 AMS Accelerate 服務,則此服務連結角色會出現在您的帳戶中,當它開始支援服務連結角色時,AMS Accelerate 會在您的帳戶中建立 AWSServiceRoleForManagedServices\$1DetectiveControlsConfig 角色。若要進一步了解,請參閱[我的 IAM 帳戶中出現的新角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared)。
若您刪除此服務連結角色,之後需要再次建立,您可以在帳戶中使用相同程序重新建立角色。當您加入 AMS 時,AMS Accelerate 會再次為您建立服務連結角色。
### 編輯 AMS Accelerate 的偵測控制項 SLR
AMS Accelerate 不允許您編輯 AWSServiceRoleForManagedServices\$1DetectiveControlsConfig 服務連結角色。因為有各種實體可能會參考服務連結角色,所以您無法在建立角色之後變更角色名稱。然而,您可使用 IAM 來編輯角色描述。如需詳細資訊,請參閱[《IAM 使用者指南》中的編輯服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)。 **
### 刪除 AMS Accelerate 的偵測性控制項 SLR
您不需要手動刪除 AWSServiceRoleForManagedServices\$1DetectiveControlsConfig 角色。當您從 AWS 管理主控台 AWS CLI、 或 AWS API 的 AMS 離職時,AMS Accelerate 會為您清除資源並刪除服務連結角色。
您也可以使用 IAM 主控台、 AWS CLI 或 AWS API 手動刪除服務連結角色。若要執行此操作,您必須先手動清除服務連結角色的資源,然後才能手動刪除它。
**注意**
如果您嘗試刪除資源時,AMS Accelerate 服務正在使用該角色,則刪除可能會失敗。若此情況發生,請等待數分鐘後並再次嘗試操作。
**刪除 AWSServiceRoleForManagedServices\$1DetectiveControlsConfig 服務連結角色所使用的 AMS Accelerate 資源**
在 AMS 中刪除您帳戶加入的所有區域中的 `ams-detective-controls-config-recorder``ams-detective-controls-config-rules-cdk`和 `ams-detective-controls-infrastructure-cdk`堆疊 (您可能必須先手動清空 S3 儲存貯體)。
**使用 IAM 手動刪除服務連結角色**
使用 IAM 主控台 AWS CLI、 或 AWS API 來刪除 AWSServiceRoleForManagedServices\$1DetectiveControlsConfig 服務連結角色。如需詳細資訊,請參閱「IAM 使用者指南」**中的[刪除服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)。
## AMS Accelerate 的 Amazon EventBridge 規則服務連結角色
AMS Accelerate 使用名為 **AWSServiceRoleForManagedServices\$1Events** 的服務連結角色 (SLR)。此角色信任其中一個 AWS Managed Services 服務主體 (events.managedservices.amazonaws.com://) 為您擔任該角色。服務會使用 角色來建立 Amazon EventBridge 受管規則。此規則是您 AWS 帳戶中將警示狀態變更資訊從您的帳戶交付至 AWS Managed Services 所需的基礎設施。
### 適用於 AMS Accelerate 的 EventBridge SLR 許可
AWSServiceRoleForManagedServices\$1Events 服務連結角色信任下列服務擔任該角色:
+ `events.managedservices.amazonaws.com`
連接到此角色是 `AWSManagedServices_EventsServiceRolePolicy` AWS 受管政策 (請參閱 [AWS 受管政策:AWSManagedServices\$1EventsServiceRolePolicy](security-iam-awsmanpol.md#EventsServiceRolePolicy))。服務會使用 角色,將警示狀態變更資訊從您的帳戶傳遞至 AMS。您必須設定許可,IAM 實體 (如使用者、群組或角色) 才可建立、編輯或刪除服務連結角色。如需詳細資訊,請參閱*AWS Identity and Access Management 《 使用者指南*》中的[服務連結角色許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions)。
您可以在此 ZIP: EventsServiceRolePolicy.zip 中下載 JSON AWSManagedServices\$1EventsServiceRolePolicy。 [EventsServiceRolePolicy.zip](samples/EventsServiceRolePolicy.zip)
### 為 AMS Accelerate 建立 EventBridge SLR
您不需要手動建立一個服務連結角色。當您在 AWS 管理主控台 AWS CLI、 或 AWS API 中加入 AMS 時,AMS Accelerate 會為您建立服務連結角色。
**重要**
如果您在 2023 年 2 月 7 日之前使用 AMS Accelerate 服務,則此服務連結角色會出現在您的帳戶中,當它開始支援服務連結角色時,AMS Accelerate 會在您的帳戶中建立 AWSServiceRoleForManagedServices\$1Events 角色。若要進一步了解,請參閱[我的 IAM 帳戶中出現的新角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared)。
若您刪除此服務連結角色,之後需要再次建立,您可以在帳戶中使用相同程序重新建立角色。當您加入 AMS 時,AMS Accelerate 會再次為您建立服務連結角色。
### 編輯 AMS Accelerate 的 EventBridge SLR
AMS Accelerate 不允許您編輯 AWSServiceRoleForManagedServices\$1Events 服務連結角色。因為有各種實體可能會參考服務連結角色,所以您無法在建立角色之後變更角色名稱。然而,您可使用 IAM 來編輯角色描述。如需詳細資訊,請參閱[「IAM 使用者指南」](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)的*編輯服務連結角色*。
### 刪除 AMS Accelerate 的 EventBridge SLR
您不需要手動刪除 AWSServiceRoleForManagedServices\$1Events 角色。當您從 AWS 管理主控台 AWS CLI、 或 AWS API 的 AMS 離職時,AMS Accelerate 會為您清除資源並刪除服務連結角色。
您也可以使用 IAM 主控台、 AWS CLI 或 AWS API 手動刪除服務連結角色。若要執行此操作,您必須先手動清除服務連結角色的資源,然後才能手動刪除它。
**注意**
如果您嘗試刪除資源時,AMS Accelerate 服務正在使用該角色,則刪除可能會失敗。若此情況發生,請等待數分鐘後並再次嘗試操作。
**刪除 AWSServiceRoleForManagedServices\$1Events 服務連結角色所使用的 AMS Accelerate 資源**
**使用 IAM 手動刪除服務連結角色**
使用 IAM 主控台 AWS CLI、 或 AWS API 來刪除 AWSServiceRoleForManagedServices\$1Events 服務連結角色。如需詳細資訊,請參閱「IAM 使用者指南」**中的[刪除服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)。
## 聯絡 AMS Accelerate 的服務連結角色
AMS Accelerate 使用名為 **AWSServiceRoleForManagedServices\$1Contacts** 的服務連結角色 (SLR) – 此角色可讓服務讀取受影響資源的現有標籤,並擷取適當聯絡人的設定電子郵件,以便在事件發生時加速自動通知。
這是唯一使用此服務連結角色的服務。
連接至 **AWSServiceRoleForManagedServices\$1Contacts** 服務連結角色的受管政策如下:[AWSManagedServices\$1ContactsServiceRolePolicy](security-iam-awsmanpol.html#ContactsServiceManagedPolicy)。如需更新此政策,請參閱「[加速 AWS 受管政策的更新](security-iam-awsmanpol.md#security-iam-awsmanpol-updates)」。
### AMS Accelerate 的聯絡 SLR 許可
AWSServiceRoleForManagedServices\$1Contacts 服務連結角色信任下列服務擔任該角色:
+ `contacts-service.managedservices.amazonaws.com`
連接到此角色是 `AWSManagedServices_ContactsServiceRolePolicy` AWS 受管政策 (請參閱 [AWS 受管政策:AWSManagedServices\$1ContactsServiceRolePolicy](security-iam-awsmanpol.md#ContactsServiceManagedPolicy))。服務使用 角色讀取任何 AWS 資源上的標籤,並尋找標籤中包含的電子郵件,適用於事件發生時的適當聯絡點。此角色可讓 AMS 在受影響的資源上讀取該標籤並擷取電子郵件,以便在事件發生時促進自動通知。如需詳細資訊,請參閱《 *AWS Identity and Access Management* 使用者指南》中的[服務連結角色許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions)。
**重要**
請勿將個人識別資訊 (PII) 或其他機密或敏感資訊儲存在標籤中。AMS 使用標籤來為您提供管理服務。標籤不適用於私人或敏感資料。
名為 AWSManagedServices\$1ContactsServiceRolePolicy 的角色許可政策可讓 AMS Accelerate 對指定的資源完成下列動作:
+ 動作:允許 Contacts Service 讀取專門設定的標籤,以包含 AMS 在任何 AWS 資源上傳送事件通知的電子郵件。
您可以在此 ZIP:ContactsServicePolicy.zip 中下載 JSON AWSManagedServices\$1ContactsServiceRolePolicy。 [ContactsServicePolicy.zip](samples/ContactsServicePolicy.zip)
### 為 AMS Accelerate 建立聯絡人 SLR
您不需要手動建立一個服務連結角色。當您在 AWS 管理主控台、 AWS CLI或 AWS API 中加入 AMS 時,AMS Accelerate 會為您建立服務連結角色。
**重要**
如果您在 2023 年 2 月 16 日之前使用 AMS Accelerate 服務,此服務連結角色會出現在您的帳戶中,當它開始支援服務連結角色時,AMS Accelerate 會在您的帳戶中建立 AWSServiceRoleForManagedServices\$1Contacts 角色。若要進一步了解,請參閱[我的 IAM 帳戶中出現的新角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared)。
若您刪除此服務連結角色,之後需要再次建立,您可以在帳戶中使用相同程序重新建立角色。當您加入 AMS 時,AMS Accelerate 會再次為您建立服務連結角色。
### 編輯 AMS Accelerate 的聯絡人 SLR
AMS Accelerate 不允許您編輯 AWSServiceRoleForManagedServices\$1Contacts 服務連結角色。因為有各種實體可能會參考服務連結角色,所以您無法在建立角色之後變更角色名稱。然而,您可使用 IAM 來編輯角色描述。如需詳細資訊,請參閱[「IAM 使用者指南」](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)的*編輯服務連結角色*。
### 刪除 AMS Accelerate 的聯絡人 SLR
您不需要手動刪除 AWSServiceRoleForManagedServices\$1Contacts 角色。當您從 AWS 管理主控台 AWS CLI、 或 AWS API 的 AMS 離職時,AMS Accelerate 會為您清除資源並刪除服務連結角色。
您也可以使用 IAM 主控台、 AWS CLI 或 AWS API 手動刪除服務連結角色。若要執行此操作,您必須先手動清除服務連結角色的資源,然後才能手動刪除它。
**注意**
如果您嘗試刪除資源時,AMS Accelerate 服務正在使用該角色,則刪除可能會失敗。若此情況發生,請等待數分鐘後並再次嘗試操作。
**刪除 AWSServiceRoleForManagedServices\$1Contacts 服務連結角色所使用的 AMS Accelerate 資源**
**使用 IAM 手動刪除服務連結角色**
使用 IAM 主控台 AWS CLI、 或 AWS API 來刪除 AWSServiceRoleForManagedServices\$1Contacts 服務連結角色。如需詳細資訊,請參閱「IAM 使用者指南」**中的[刪除服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)。
## AMS Accelerate 服務連結角色支援的區域
AMS Accelerate 支援在提供服務的所有區域中使用服務連結角色。如需詳細資訊,請參閱 [AWS 區域與端點](https://docs.aws.amazon.com/general/latest/gr/rande.html)。
## 加速服務連結角色的更新
檢視自此服務開始追蹤這些變更以來,加速服務連結角色更新的詳細資訊。如需此頁面變更的自動提醒,請訂閱加速頁面上的 RSS 摘要[AMS Accelerate 使用者指南的文件歷史記錄](doc-history.md)。
| 變更 | 描述 | 日期 |
| --- | --- | --- |
| 更新的政策 – [部署工具組](#slr-deploy-acc) | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/managedservices/latest/accelerate-guide/using-service-linked-roles.html) | 2024 年 4 月 4 日 |
| 更新的政策 – [部署工具組](#slr-deploy-acc) | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/managedservices/latest/accelerate-guide/using-service-linked-roles.html) | 2023 年 5 月 9 日 |
| 更新的政策 – [Detective 控制項](#slr-deploy-detect-controls) | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/managedservices/latest/accelerate-guide/using-service-linked-roles.html) | 2023 年 4 月 10 日 |
| 更新的政策 – [Detective 控制項](#slr-deploy-detect-controls) | 已更新政策並新增許可界限政策。 | 2023 年 3 月 21 日 |
| 新的服務連結角色 – [聯絡 SLR](#slr-contacts-service) | 加速新增 Contacts 服務的新服務連結角色。 此角色可讓服務讀取受影響資源的現有標籤,並擷取適當聯絡人的已設定電子郵件,以便在事件發生時促進自動通知。 | 2023 年 2 月 16 日 |
| 新的服務連結角色 – [EventBridge](#slr-evb-rule) | 加速為 Amazon EventBridge 規則新增了新的服務連結角色。 此角色信任其中一個 AWS Managed Services 服務主體 (events.managedservices.amazonaws.com://) 為您擔任該角色。服務會使用 角色來建立 Amazon EventBridge 受管規則。此規則是您 AWS 帳戶中將警示狀態變更資訊從您的帳戶交付至 AWS Managed Services 所需的基礎設施。 | 2023 年 2 月 7 日 |
| 更新服務連結角色 – [部署工具組](#slr-deploy-acc) | 使用新的 S3 許可加速更新的 AWSServiceRoleForAWSManagedServicesDeploymentToolkit。 已新增這些新許可: "s3:GetLifecycleConfiguration",
"s3:GetBucketLogging",
"s3:ListBucket",
"s3:GetBucketVersioning",
"s3:PutLifecycleConfiguration",
"s3:GetBucketLocation",
"s3:GetObject*"
| 2023 年 1 月 30 日 |
| 加速開始追蹤變更 | 加速開始追蹤其服務連結角色的變更。 | 2022 年 11 月 30 日 |
| 新的服務連結角色 – [Detective 控制項](#slr-deploy-detect-controls) | Accelerate 新增了新的服務連結角色來部署 Accelerate 偵測控制項。 AWS Managed Services 使用此服務連結角色來部署組態記錄器、組態規則和 S3 儲存貯體偵測控制項。 | 2022 年 10 月 13 日 |
| 新的服務連結角色 – [部署工具組](#slr-deploy-acc) | Accelerate 新增了部署 Accelerate 基礎設施的新服務連結角色。 此角色會將 AMS Accelerate 基礎設施部署到客戶帳戶。 | 2022 年 6 月 9 日 |
# AWS AMS Accelerate 的 受管政策
AWS 受管政策是由 AWS AWS 受管政策建立和管理的獨立政策旨在為許多常用案例提供許可,以便您可以開始將許可指派給使用者、群組和角色。
請記住, AWS 受管政策可能不會授予特定使用案例的最低權限許可,因為這些許可可供所有 AWS 客戶使用。我們建議您定義使用案例專屬的[客戶管理政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies),以便進一步減少許可。
您無法變更 AWS 受管政策中定義的許可。如果 AWS 更新受 AWS 管政策中定義的許可,則更新會影響政策連接的所有委託人身分 (使用者、群組和角色)。當新的 AWS 服務 啟動或新的 API 操作可供現有服務使用時, AWS 最有可能更新 AWS 受管政策。
如需詳細資訊,請參閱《*IAM 使用者指南*》中的 [AWS 受管政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)。
如需變更資料表,請參閱 [加速 AWS 受管政策的更新](#security-iam-awsmanpol-updates)。
## AWS 受管政策:AWSManagedServices\$1AlarmManagerPermissionsBoundary
AWS Managed Services (AMS) 使用 `AWSManagedServices_AlarmManagerPermissionsBoundary` AWS 受管政策。此 AWS受管政策用於 AWSManagedServices\$1AlarmManager\$1ServiceRolePolicy,以限制由 AWSServiceRoleForManagedServices\$1AlarmManager 建立之 IAM 角色的許可。
此政策會授予建立為 一部分的 IAM 角色[警示管理員的運作方式](acc-mem-tag-alarms.md#acc-mem-how-tag-alarms-work)、執行 Config AWS 評估、擷取 Alarm Manager 組態的 AWS Config 讀取,以及建立必要 Amazon CloudWatch 警示等操作的許可。
`AWSManagedServices_AlarmManagerPermissionsBoundary` 政策會連接到`AWSServiceRoleForManagedServices_DetectiveControlsConfig`服務連結角色。如需此角色的更新,請參閱 [加速服務連結角色的更新](using-service-linked-roles.md#slr-updates)。
您可以將此政策連接至 IAM 身分。
**許可詳細資訊**
此政策包含以下許可。
+ `AWS Config` – 允許評估組態規則和選取資源組態的許可。
+ `AWS AppConfig` – 允許擷取 AlarmManager 組態的許可。
+ `Amazon S3` – 允許操作 AlarmManager 儲存貯體和物件的許可。
+ `Amazon CloudWatch` – 允許讀取和放置 AlarmManager 受管警示和指標的許可。
+ `AWS Resource Groups and Tags` – 允許讀取資源標籤的許可。
+ `Amazon EC2` – 允許讀取 Amazon EC2 資源的許可。
+ `Amazon Redshift` – 允許讀取 Redshift 執行個體和叢集的許可。
+ `Amazon FSx` – 允許描述檔案系統、磁碟區和資源標籤的許可。
+ `Amazon CloudWatch Synthetics` – 允許讀取 Synthetics 資源的許可。
+ `Amazon Elastic Kubernetes Service` – 允許描述 Amazon EKS 叢集的許可。
+ `Amazon ElastiCache` – 允許描述 資源的許可。
您可以在此 ZIP:[RecommendedPermissionBoundary.zip](samples/RecommendedPermissionBoundary.zip) 中下載政策檔案。
## AWS 受管政策:AWSManagedServices\$1DetectiveControlsConfig\$1ServiceRolePolicy
AWS Managed Services (AMS) 使用 `AWSManagedServices_DetectiveControlsConfig_ServiceRolePolicy` AWS 受管政策。此 AWS受管政策會連接至[`AWSServiceRoleForManagedServices_DetectiveControlsConfig`服務連結角色](using-service-linked-roles.html#slr-deploy-detect-controls) (請參閱 [AMS Accelerate 的 Detective 控制服務連結角色](using-service-linked-roles.md#slr-deploy-detect-controls))。如需`AWSServiceRoleForManagedServices_DetectiveControlsConfig`服務連結角色的更新,請參閱 [加速服務連結角色的更新](using-service-linked-roles.md#slr-updates)。
此政策允許服務連結角色為您完成動作。
您可以將 AWSManagedServices\$1DetectiveControlsConfig\$1ServiceRolePolicy 政策連接至您的 IAM 實體。
如需詳細資訊,請參閱[使用 AMS Accelerate 的服務連結角色](using-service-linked-roles.md)。
**許可詳細資訊**
此政策具有下列許可,允許 AWS Managed Services Detective Controls 部署和設定所有必要的資源。
+ `CloudFormation` – 允許 AMS Detective Controls 部署具有 s3 儲存貯體、組態規則和組態記錄器等資源的 CloudFormation 堆疊。
+ `AWS Config` – 允許 AMS Detective 控制項建立 AMS 組態規則、設定彙總器和標籤資源。
+ `Amazon S3` – 允許 AMS Detective Controls 管理其 s3 儲存貯體。
您可以在此 ZIP 中下載 JSON 政策檔案:[DetectiveControlsConfig\$1ServiceRolePolicy.zip](samples/DetectiveControlsConfig_ServiceRolePolicy.zip)。
## AWS 受管政策:AWSManagedServicesDeploymentToolkitPolicy
AWS Managed Services (AMS) 使用 `AWSManagedServicesDeploymentToolkitPolicy` AWS 受管政策。此 AWS受管政策會連接至[`AWSServiceRoleForAWSManagedServicesDeploymentToolkit`服務連結角色](using-service-linked-roles.html#slr-deploy-acc) (請參閱 [AMS Accelerate 的部署工具組服務連結角色](using-service-linked-roles.md#slr-deploy-acc))。此政策允許服務連結角色為您完成動作。您無法將此政策連接至 IAM 實體。如需詳細資訊,請參閱[使用 AMS Accelerate 的服務連結角色](using-service-linked-roles.md)。
如需`AWSServiceRoleForManagedServicesDeploymentToolkitPolicy`服務連結角色的更新,請參閱 [加速服務連結角色的更新](using-service-linked-roles.md#slr-updates)。
**許可詳細資訊**
此政策具有下列許可,允許 AWS Managed Services Detective Controls 部署和設定所有必要的資源。
+ `CloudFormation` – 允許 AMS Deployment Toolkit 使用 CDK 所需的 S3 資源部署 CFN 堆疊。
+ `Amazon S3` – 允許 AMS Deployment Toolkit 管理其 S3 儲存貯體。
+ `Elastic Container Registry` – 允許 AMS Deployment Toolkit 管理其 ECR 儲存庫,用於部署 AMS CDK 應用程式所需的資產。
您可以在此 ZIP 中下載 JSON 政策檔案:[AWSManagedServicesDeploymentToolkitPolicy.zip](samples/AWSManagedServices_DeploymentToolkitPolicy.zip)。
## AWS 受管政策:AWSManagedServices\$1EventsServiceRolePolicy
AWS Managed Services (AMS) 使用 `AWSManagedServices_EventsServiceRolePolicy` AWS 受管政策。此 AWS受管政策會連接至[`AWSServiceRoleForManagedServices_Events`服務連結角色](using-service-linked-roles.html#slr-evb-rule)。此政策允許服務連結角色為您完成動作。您無法將此政策連接至 IAM 實體。如需詳細資訊,請參閱[使用 AMS Accelerate 的服務連結角色](using-service-linked-roles.md)。
如需`AWSServiceRoleForManagedServices_Events`服務連結角色的更新,請參閱 [加速服務連結角色的更新](using-service-linked-roles.md#slr-updates)。
**許可詳細資訊**
此政策具有下列許可,允許 Amazon EventBridge 將警示狀態變更資訊從您的帳戶傳遞至 AWS Managed Services。
+ `events` – 允許 Accelerate 建立 Amazon EventBridge 受管規則。此規則是 中從您的帳戶 AWS 帳戶 交付警示狀態變更資訊所需的基礎設施 AWS Managed Services。
您可以在此 ZIP: [EventsServiceRolePolicy.zip](samples/EventsServiceRolePolicy.zip) 中下載 JSON 政策檔案。
## AWS 受管政策:AWSManagedServices\$1ContactsServiceRolePolicy
AWS Managed Services (AMS) 使用 `AWSManagedServices_ContactsServiceRolePolicy` AWS 受管政策。此 AWS受管政策會連接至[`AWSServiceRoleForManagedServices_Contacts`服務連結角色](using-service-linked-roles.html#slr-contacts-service) (請參閱 [為 AMS Accelerate 建立聯絡人 SLR](using-service-linked-roles.md#slr-contacts-service-create))。此政策允許 AMS Contacts SLR 在 AWS 資源上查看您的資源標籤及其值。您無法將此政策連接至 IAM 實體。如需詳細資訊,請參閱[使用 AMS Accelerate 的服務連結角色](using-service-linked-roles.md)。
**重要**
請勿將個人識別資訊 (PII) 或其他機密或敏感資訊儲存在標籤中。AMS 使用標籤來為您提供管理服務。標籤不適用於私人或敏感資料。
如需`AWSServiceRoleForManagedServices_Contacts`服務連結角色的更新,請參閱 [加速服務連結角色的更新](using-service-linked-roles.md#slr-updates)。
**許可詳細資訊**
此政策具有下列許可,允許 Contacts SLR 讀取您的資源標籤,以擷取您事先設定的資源聯絡資訊。
+ `IAM` – 允許 Contacts 服務查看 IAM 角色和 IAM 使用者的標籤。
+ `Amazon EC2` – 允許 Contacts 服務查看 Amazon EC2 資源上的標籤。
+ `Amazon S3` – 允許 Contacts Service 查看 Amazon S3 儲存貯體上的標籤。此動作使用 條件,以確保 AMS 使用 HTTP 授權標頭、使用 SigV4 簽章通訊協定,以及搭配 TLS 1.2 或更新版本使用 HTTPS 來存取您的儲存貯體標籤。如需詳細資訊,請參閱[身分驗證方法](https://docs.aws.amazon.com/AmazonS3/latest/API/sig-v4-authenticating-requests.html#auth-methods-intro)和 [Amazon S3 Signature 第 4 版身分驗證特定政策金鑰](https://docs.aws.amazon.com/AmazonS3/latest/API/bucket-policy-s3-sigv4-conditions.html)。
+ `Tag` – 允許 Contacts 服務查看其他 AWS 資源上的標籤。
+ "iam:ListRoleTags"、"iam:ListUserTags"、"tag:GetResources"、"tag:GetTagKeys"、"tag:GetTagValues"、"ec2:DescribeTags"、"s3:GetBucketTagging"
您可以在此 ZIP:[ContactsServicePolicy.zip](samples/ContactsServicePolicy.zip) 中下載 JSON 政策檔案。
## 加速 AWS 受管政策的更新
檢視自此服務開始追蹤這些變更以來的 Accelerate AWS 受管政策更新詳細資訊。
| 變更 | 描述 | 日期 |
| --- | --- | --- |
| 更新的政策 – [部署工具組](#security-iam-awsmanpol-DeploymentToolkitPolicy) | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/managedservices/latest/accelerate-guide/security-iam-awsmanpol.html) | 2024 年 4 月 4 日 |
| 更新的政策 – [部署工具組](#security-iam-awsmanpol-DeploymentToolkitPolicy) | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/managedservices/latest/accelerate-guide/security-iam-awsmanpol.html) | 2023 年 5 月 9 日 |
| 更新的政策 – [Detective 控制項](#security-iam-awsmanpol-DetectiveControlsConfig) | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/managedservices/latest/accelerate-guide/security-iam-awsmanpol.html) | 2023 年 4 月 10 日 |
| 更新的政策 – [Detective 控制項](#security-iam-awsmanpol-DetectiveControlsConfig) | `ListAttachedRolePolicies` 動作會從政策中移除。動作具有資源做為萬用字元 (\$1)。由於「清單」是非變動動作,因此可以存取所有資源,而且不允許萬用字元。 | 2023 年 3 月 28 日 |
| 更新的政策 – [Detective 控制項](#security-iam-awsmanpol-DetectiveControlsConfig) | 已更新政策並新增許可界限政策。 | 2023 年 3 月 21 日 |
| 新政策 – [Contacts Service](#ContactsServiceManagedPolicy) | 加速新增政策,以查看來自資源標籤的帳戶聯絡資訊。 加速新增政策以讀取您的資源標籤,讓它可以擷取您事先設定的資源聯絡資訊。 | 2023 年 2 月 16 日 |
| 新政策 – [Events Service](#EventsServiceRolePolicy) | 加速新增政策,將警示狀態變更資訊從您的帳戶傳遞至 AWS Managed Services。 授予在[警示管理員的運作方式](acc-mem-tag-alarms.md#acc-mem-how-tag-alarms-work)許可中建立的 IAM 角色,以建立必要的 Amazon EventBridge 受管規則。 | 2023 年 2 月 7 日 |
| 更新的政策 – [部署工具組](#security-iam-awsmanpol-DeploymentToolkitPolicy) | 新增 S3 許可,以支援客戶從 Accelerate 離職。 | 2023 年 1 月 30 日 |
| 新政策 – [Detective 控制項](#security-iam-awsmanpol-DetectiveControlsConfig) | 允許服務連結角色 [AMS Accelerate 的 Detective 控制服務連結角色](using-service-linked-roles.md#slr-deploy-detect-controls)為您完成部署加速偵測控制項的動作。 | 2022 年 12 月 19 日 |
| 新政策 – [Alarm Manager](#security-iam-awsmanpol-AlarmManagerPermissionsBoundary) | 加速新增政策,以允許執行警示管理員任務的許可。 授予在[警示管理員的運作方式](acc-mem-tag-alarms.md#acc-mem-how-tag-alarms-work)許可中建立的 IAM 角色,以執行 Config AWS 評估、 AWS Config 讀取以擷取警示管理員組態、建立必要的 Amazon CloudWatch 警示等操作。 | 2022 年 11 月 30 日 |
| 加速開始追蹤變更 | 加速開始追蹤其 AWS 受管政策的變更。 | 2022 年 11 月 30 日 |
| 新政策 – [部署工具組](#security-iam-awsmanpol-DeploymentToolkitPolicy) | 加速為部署任務新增此政策。 授予服務連結角色 [AWSServiceRoleForAWSManagedServicesDeploymentToolkit](using-service-linked-roles.md#slr-deploy-acc) 存取和更新部署相關 Amazon S3 儲存貯體和 CloudFormation 堆疊的許可。 | 2022 年 6 月 9 日 |
# Accelerate 中的資料保護
AMS Accelerate 利用原生 AWS 服務 Amazon GuardDuty、Amazon Macie (選用) 和其他內部專屬工具和程序,持續監控您的受管帳戶。警示觸發後,AMS Accelerate 會承擔初始分類和警示回應的責任。AMS 回應程序是以 NIST 標準為基礎。AMS Accelerate 會使用安全事件回應模擬定期測試回應程序,讓您的工作流程與現有的客戶安全回應計劃保持一致。
當 AMS Accelerate 偵測到 或您的安全政策違規 AWS 或即將發生的違規威脅時,Accelerate 會收集資訊,包括受影響的資源和任何組態相關變更。AMS Accelerate 每週 365 天、每天 24 小時提供follow-the-sun支援,並搭配專門的運算子,主動審查和調查所有受管帳戶的監控儀表板、事件佇列和服務請求。Accelerate 會與內部安全專家調查調查結果,以分析活動,並透過您帳戶中列出的安全呈報聯絡人通知您。
根據調查結果,加速主動與您互動。如果您發現活動未經授權或可疑,AMS 會與您一起調查並修復或包含問題。GuardDuty 會產生某些問題清單類型,需要您在 Accelerate 採取任何動作之前確認影響。例如,GuardDuty 調查結果類型 **UnauthorizedAccess:IAMUser/ConsoleLogin** 表示您的其中一個使用者已從異常位置登入;AMS 會通知您,並要求您檢閱調查結果以確認此行為是否合法。
## 使用 Amazon Macie 監控
AMS Accelerate 支援,而且最佳實務是使用 Amazon Macie 來偵測大量且完整的敏感資料清單,例如個人健康資訊 (PHI)、個人身分識別資訊 (PII) 和財務資料。
您可以設定 Macie 在任何 Amazon S3 儲存貯體上定期執行。這會自動評估儲存貯體中隨時間變化的新物件或修改過的物件。產生安全性問題清單時,AMS 會通知您,並視需要與您合作修復問題清單。
如需詳細資訊,請參閱[分析 Amazon Macie 調查結果](https://docs.aws.amazon.com/macie/latest/user/findings.html)。
## 使用 GuardDuty 監控
GuardDuty 是一種持續的安全監控服務,使用威脅情報摘要,例如惡意 IP 地址和網域的清單,以及機器學習,以識別您 AWS 環境中非預期和可能未經授權的惡意活動。這可能包括權限提升、使用公開的登入資料,或與惡意 IP 地址或網域的通訊等問題。GuardDuty 會監控 AWS 帳戶 存取行為是否有入侵跡象,例如未經授權的基礎設施部署、部署在 中的執行個體、您從未使用的 AWS 區域。GuardDuty 也會偵測不尋常的 API 呼叫,例如變更密碼政策以降低密碼強度。如需詳細資訊,請參閱 [GuardDuty 使用者指南](https://docs.aws.amazon.com/guardduty/latest/ug/what-is-guardduty.html)。
若要檢視和分析 GuardDuty 調查結果,請完成下列步驟:
1. 前往 [https://console.aws.amazon.com/guardduty/](https://console.aws.amazon.com/guardduty/) 開啟 GuardDuty 主控台。
1. 選擇**問題清單**,然後選擇特定問題清單以檢視詳細資訊。每個調查結果的詳細資訊會根據調查結果類型、涉及的資源和活動的性質而有所不同。
如需可用調查結果欄位的詳細資訊,請參閱 [GuardDuty 調查結果詳細資訊](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_findings-summary.html)。
### 使用 GuardDuty 禁止規則來篩選問題清單
禁止規則是一組條件,其中包含與值配對的篩選條件屬性。您可以使用隱藏規則來篩選您不打算採取行動的低價值問題清單,例如誤報問題清單或已知活動。篩選問題清單有助於更輕鬆地識別可能對您的環境影響最大的安全威脅。
若要篩選問題清單,隱藏規則會自動封存符合您指定條件的新問題清單。封存的問題清單不會傳送至 AWS Security Hub、Amazon S3 或 CloudTrail Events。因此,如果您透過 Security Hub 或第三方 SIEM 警示和票證應用程式取用 GuardDuty 調查結果,抑制篩選條件可減少不可行的資料。
AMS 具有一組已定義的條件來識別受管帳戶的禁止規則。當受管帳戶符合此條件時,AMS 會套用篩選條件並建立服務請求 (SR),其中會詳細說明部署的禁止篩選條件。
您可以透過 SR 與 AMS 通訊,以修改或還原抑制篩選條件。
**檢視封存的問題清單**
GuardDuty 會持續產生調查結果,即使這些調查結果符合您的禁止規則。隱藏的問題清單會標示為**已封存**。GuardDuty 會將封存的問題清單存放 90 天。您可以在 GuardDuty 主控台中檢視這 90 天的已封存問題清單,方法是從問題清單表格中選取**已封存**。或者,使用 [ListFindings](https://docs.aws.amazon.com/guardduty/latest/APIReference/API_ListFindings.html) API 搭配 **findingCriteria** of **service.archived 等於** **true**,透過 GuardDuty API 檢視封存的問題清單。
**禁止規則的常見使用案例**
下列調查結果類型具有套用抑制規則的常見使用案例。
+ **Recon:EC2/Portscan**:使用授權漏洞掃描器時,使用抑制規則自動封存問題清單。
+ **UnauthorizedAccess:EC2/SSHBruteForce**:當問題清單以堡壘執行個體為目標時,請使用抑制規則自動封存問題清單。
+ **Recon:EC2/PortProbeUnprotectedPort**:當問題清單鎖定在刻意公開的執行個體時,請使用隱藏規則自動封存問題清單。
## 使用 Amazon Route 53 Resolver DNS 防火牆進行監控
Amazon Route 53 Resolver 會以遞迴方式回應來自公開記錄、Amazon VPC 特定 DNS 名稱和 Amazon Route 53 私有託管區域的 AWS 資源的 DNS 查詢,且預設可在所有 VPCs 中使用。使用 Route 53 Resolver DNS 防火牆,您可以篩選和調節 Virtual Private Cloud (VPC) 的傳出 DNS 流量。為此,您可以在 DNS 防火牆規則群組中建立可重複使用的篩選規則集合、將規則群組與 VPC 產生關聯,然後監控 DNS 防火牆日誌和指標中的活動。根據活動,您可以相應地調整 DNS 防火牆的行為。如需詳細資訊,請參閱[使用 DNS 防火牆篩選傳出 DNS 流量](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-dns-firewall.html)。
若要檢視和管理 Route 53 Resolver DNS 防火牆組態,請使用下列程序:
1. 登入 AWS 管理主控台 ,並在 [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/):// 開啟 Amazon VPC 主控台。
1. 在 **DNS 防火牆**下,選擇**規則群組**。
1. 檢閱、編輯或刪除現有的組態,或建立新的規則群組。如需詳細資訊,請參閱 [Route 53 Resolver DNS Firewall 的運作方式](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-dns-firewall-overview.html)。
### Amazon Route 53 Resolver DNS 防火牆監控和安全性
Amazon Route 53 DNS Firewall 使用規則關聯、規則動作和規則評估優先順序的概念。網域清單是一組可重複使用的網域規格,可在規則群組的 DNS Firewall 規則中使用。當您將規則群組與 VPC 建立關聯時,DNS 防火墻會比較您的 DNS 查詢與規則中使用的網域清單。如果 DNS 防火牆找到相符項目,則會根據相符規則的動作來處理 DNS 查詢。如需規則群組和規則的詳細資訊,請參閱 [DNS 防火牆規則群組和規則](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-dns-firewall-rule-groups.html)。
網域清單可分為兩個主要類別:
+ 受管網域清單,可為您 AWS 建立和維護。
+ 您自己的網域清單,由您建立和維護。
規則群組會根據其關聯優先順序索引進行評估。
根據預設,AMS 會部署基準組態,其中包含下列規則和規則群組:
+ 一個名為 的規則群組`DefaultSecurityMonitoringRule`。規則群組具有最高關聯優先順序,可在建立時針對每個啟用的每個現有 VPC 使用 AWS 區域。
+ 在規則群組中使用`AWSManagedDomainsAggregateThreatList`受管網域清單搭配動作 **ALERT**,名為 且優先順序`DefaultSecurityMonitoringRule`為 **1** 的`DefaultSecurityMonitoringRule`規則。
如果您有現有的組態,則會以低於現有組態的優先順序部署基準組態。您現有的組態是預設值。如果您現有的組態不提供如何處理查詢解析的較高優先順序指示,則可以使用 AMS 基準組態做為全部截獲。若要變更或移除基準組態,請執行下列其中一項操作:
+ 請聯絡您的 Cloud Service Delivery Manager (CSDM) 或 Cloud Architect (CA)。
+ 建立服務請求。
## AMS Accelerate 中的資料加密
AMS Accelerate 使用數個 AWS 服務 進行資料加密。
Amazon Simple Storage Service 提供多種物件加密選項,可保護傳輸中和靜態的資料。伺服器端加密會先加密您的物件,再將該物件儲存至其資料中心內的磁碟,接著在下載物件時予以解密。只要您驗證要求並具備存取許可,存取加密物件或未加密物件的方式並無不同。如需詳細資訊,請參閱 [Amazon S3 中的資料保護](https://docs.aws.amazon.com/AmazonS3/latest/userguide/DataDurability.html)。
# AWS Identity and Access Management 在 AMS Accelerate 中
AWS Identity and Access Management 是一種 Web 服務,可協助您安全地控制對 AWS 資源的存取。您可以使用 IAM 來控制 (已登入) 的身分驗證和授權使用資源的 (許可)。在 AMS Accelerate 加入期間,您有責任在每個受管帳戶中建立跨帳戶 IAM 管理員角色。
在 AMS Accelerate 中,您負責管理對 AWS 帳戶 及其基礎資源的存取,例如存取管理解決方案、存取政策和相關程序。這表示您管理使用者生命週期、目錄服務和聯合身分驗證系統中的許可,以存取 AWS 主控台或 AWS APIs。為了協助您管理存取解決方案,AMS Accelerate 部署偵測常見 IAM 錯誤組態的 AWS Config 規則,並提供修補通知。如需詳細資訊,請參閱 [AWS Config 受管服務](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config_use-managed-rules.html)。
## 在 AMS Accelerate 中使用身分進行驗證
AMS 使用 IAM 角色,這是一種 IAM 身分。IAM 角色類似於使用者,因為它是具有許可政策的身分,可決定身分可以和不可以執行的操作 AWS。不過,角色沒有與其相關聯的登入資料,而不是與一個人唯一關聯,而是由任何需要它的人擔任。IAM 使用者可擔任一個角色,為了特定任務來臨時採用不同許可。
存取角色由內部群組成員資格控制,由 Operations Management 管理並定期審查。AMS 使用以下 IAM 角色。
**注意**
AMS 存取角色可讓 AMS 運算子存取您的 資源,以提供 AMS 功能 (請參閱 [服務描述](acc-sd.md))。變更這些角色可能會抑制我們提供這些功能的能力。如果您需要變更 AMS 存取角色,請洽詢您的雲端架構師。
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/managedservices/latest/accelerate-guide/acc-sec-iam.html)
**注意**
這是 ams-access-management 角色的範本。這是雲端架構師 (CAs) 在加入時在您的帳戶中手動部署的堆疊: [management-role.yaml](https://ams-account-access-templates.s3.amazonaws.com/management-role.yaml)。
這是不同存取角色和存取層級的範本:ams-access-read-only、ams-access-operations、ams-access-admin-operations、ams-access-admin:[accelerated-roles.yaml](https://ams-account-access-templates.s3.amazonaws.com/accelerate-roles.yaml)。
若要進一步了解 AWS Cloud Development Kit (AWS CDK) (AWS CDK) 識別符,包括雜湊,請參閱 [UniqueIDs](https://docs.aws.amazon.com/cdk/latest/guide/identifiers.html#identifiers_unique_ids)
AMS Accelerate 功能服務會擔任帳戶程式設計存取的 **ams-access-admin** 角色,但工作階段政策會針對個別功能服務縮小範圍 (例如修補程式、備份、監控等)。
AMS Accelerate 遵循業界最佳實務,以符合和維護合規資格。AMS Accelerate 存取您的帳戶會記錄在 CloudTrail 中,也可透過變更追蹤供您檢閱。如需有關可用來取得此資訊之查詢的資訊,請參閱 [追蹤 AMS Accelerate 帳戶中的變更](acc-change-record.md)。
## 使用政策管理存取權
各種 AMS Accelerate 支援團隊,例如 Operations Engineers、Cloud Architects 和 Cloud Service Delivery Manager (CSDMs),有時需要存取您的帳戶,才能回應服務請求和事件。其存取權由內部 AMS 存取服務管理,該服務會強制執行控制,例如業務理由、服務請求、操作項目和支援案例。預設存取為唯讀,所有存取都會受到追蹤和記錄;另請參閱 [追蹤 AMS Accelerate 帳戶中的變更](acc-change-record.md)。
### 驗證 IAM 資源
AMS Accelerate 存取系統會定期擔任您帳戶中的角色 (至少每 24 小時一次),並驗證我們所有的 IAM 資源是否如預期。
為了保護您的帳戶,AMS Accelerate 有一個「canary」,可監控和警示 IAM 角色的存在和狀態,以及上述的附加政策。Canary 會定期擔任 **ams-access-read-only** 角色,並對您的帳戶啟動 CloudFormation 和 IAM API 呼叫。Canary 會評估 AMS Accelerate 存取角色的狀態,以確保這些角色一律未修改且up-to-date狀態。此活動會在帳戶中建立 CloudTrail 日誌。
Canary 的 AWS Security Token Service (AWS STS) 工作階段名稱為 **AMS-Access-Roles-Auditor-\$1uuid4()\$1**,如 CloudTrail 所示,並發生下列 API 呼叫:
+ Cloud Formation API 呼叫: `describe_stacks()`
+ IAM API 呼叫:
+ `get_role()`
+ `list_attached_role_policies()`
+ `list_role_policies()`
+ `get_policy()`
+ `get_policy_version()`
+ `get_role_policy()`
# AMS 中的安全事件回應
安全是 AWS Managed Services (AMS) 的首要任務。AMS 會在您的帳戶中部署資源和控制項來管理這些資源和控制項。 AWS 具有共同的責任模型: AWS 管理雲端的安全性,而您需負責雲端的安全性。AMS 會使用安全控制和主動監控安全問題,來保護您的資料和資產,並協助確保 AWS 基礎設施的安全。這些功能可協助您為在 AWS 雲端中執行的應用程式建立安全基準。AMS 透過安全事件回應與您合作來評估效果,然後根據最佳實務建議執行遏制和修復。
發生與基準的偏差時,例如組態錯誤或外部因素變更,您需要回應和調查。若要成功執行此作業,您需要了解 AMS 環境中安全事件回應的基本概念。您還必須了解在發生安全問題之前準備、教育和培訓雲端團隊的需求。請務必了解您可以使用的控制項和功能、為使用者帳戶入侵或濫用特權帳戶等常見安全問題準備回應計劃,以及識別使用自動化來改善回應速度和一致性的修補方法。此外,您需要了解您的合規和法規要求,因為它們與建置安全事件回應計劃相關,以滿足這些要求。
安全事件回應可能很複雜,但透過實作反覆方法,您可以簡化程序,並允許事件回應團隊透過提供早期和持續的偵測和回應來保持資產利益相關者的滿意度。在本指南中,我們為您提供 AMS 用於事件回應的方法、AMS 責任矩陣 (RACI)、如何為安全事件做好準備、如何在安全事件期間與 AMS 互動,以及 AMS 使用的一些事件回應執行手冊。
# AMS 安全事件回應的運作方式
AWS Managed Services 符合 NIST 800-61 [電腦安全事件處理指南](https://csrc.nist.gov/publications/detail/sp/800-61/rev-2/final)的安全事件回應。透過符合此產業標準,我們提供一致的安全事件管理方法,並遵循最佳實務來保護和回應雲端中的安全事件。
![\[事件回應生命週期\]](http://docs.aws.amazon.com/zh_tw/managedservices/latest/accelerate-guide/images/sec-inc-response-1.png)
**事件回應生命週期**
當偵測識別並產生安全提醒,或您請求安全協助時,AWS Managed Services Operations 團隊會確保及時調查、執行自動化以執行資料收集、分類和分析、通知您分析、執行調查和任何遏制活動,然後發佈事件分析。
在事件回應期間執行的資料收集、分類、分析和遏制活動會根據正在調查的安全事件類型而有所不同。特定案例的安全事件回應工作流程範例位於本文件結尾。
在事件期間,AMS 會動態判斷正確的動作過程,這可能會導致適當時重新排序或繞過記錄的步驟,以確保產生正確的結果。
# 準備
隨著威脅態勢的演進,AMS 持續擴展偵測和回應功能。新增偵測時,AMS 會將來自這些新偵測的提醒納入偵測和回應平台。AMS 安全回應者經過訓練,可調查並在整個安全事件回應生命週期中與您合作。
由於這種合作夥伴關係,您的安全和應用程式團隊必須準備好與 AMS 互動,在這些事件發生時處理安全事件。本文件說明安全事件期間預期會發生的情況,並協助您準備在安全事件發生時快速回應。
本文件使用**事件**的 NIST 800-61 定義作為系統或網路中任何可觀察到的事件,並將**事件**作為違反或即將發生的違反政策、可接受的使用政策或標準安全實務威脅。
## 準備作業核對清單
與您的 AMS 雲端解決方案交付管理員 (CSDM) 和 AMS 雲端架構師 (CA) 一起完成下列檢查清單:
+ 了解哪些 帳戶中正在執行哪些工作負載。
+ 了解哪些內部團隊負責各種工作負載,並在工作負載中適當標記這些工作負載。
+ 為在安全事件調查期間可能需要的其他團隊和遏制決策保留內部聯絡詳細資訊。
+ 確認安全聯絡人是最新的,並新增至所有受管 AWS 帳戶。聯絡人是以每個帳戶為基礎進行管理。
+ 了解如何向 AMS 引發安全事件,並熟悉嚴重性和預期的回應時間。
+ 確保收到安全通知時,它們會路由到適當的人員和系統,例如分頁器或您的安全操作中心。
+ 了解您可以使用哪些日誌來源、這些來源儲存在您的帳戶中,以及誰可以存取它們。
+ 了解如何在調查期間使用 CloudWatch Insights 查詢日誌。
+ 了解資源 (EC2、IAM、S3 和 son on) 可用的遏制選項,以及遏制時工作負載可用性的後果。
# 偵測
在管理 AWS 您的帳戶期間,AMS 會使用從偵測來源和控制項收集的資料來監控使用者行為、帳戶活動和潛在安全事件的異常,包括但不限於 Amazon CloudWatch、Amazon GuardDuty、VPC Flow Logs、Amazon Macie AWS Config 和 Amazon 內部威脅情報摘要。
AMS 同時使用原生 AWS 服務和其他偵測技術來回應由下列人員建立的安全事件:
+ 組態一致性調查結果類型
+ GuardDuty 調查結果類型
+ Macie 調查結果類型
+ Amazon Route 53 Resolver DNS 防火牆事件
+ AMS 安全事件 (雲端監看警示)
隨著服務、產品和威脅生態系統的演進,會新增其他問題清單。
## 向 AMS 報告安全事件
透過 AMS 支援入口網站或 支援 中心引發事件,以通知 AMS 安全事件或請求調查。
# 分析
識別並報告安全事件後,下一個步驟是分析報告的事件是誤報還是實際事件。AMS 使用自動化和手動調查技術來處理安全事件。分析包括調查來自不同偵測來源的日誌,例如網路流量日誌、主機日誌、CloudTrail 事件、 AWS 服務日誌等。分析也會尋找透過相互關聯顯示異常行為的模式。
需要您的合作夥伴關係,才能了解帳戶環境的特定內容,並確定帳戶和工作負載的正常情況。這有助於 AMS 更快地識別異常並加速事件回應。
## 處理來自 AMS 有關安全事件的通訊
AMS 透過事件票證與您的安全聯絡人互動,在調查期間通知您。您的 AMS 雲端服務交付管理員 (CSDM) 和 AMS 雲端架構師 (CA) 是主動安全調查期間任何通訊的聯絡窗口。
通訊包括產生安全提醒時的自動通知、事件分析後的通訊、建立呼叫橋接和持續交付成品,例如日誌檔案、受感染資源的快照,以及在安全事件期間取得調查結果。
AMS 安全性提醒通知中包含的標準欄位如下所列。這些欄位為您提供資訊,讓您可以將事件路由到組織內的適當團隊以進行修復。
+ 問題清單類型
+ 問題清單識別符 (相關)
+ 問題清單嚴重性
+ 問題清單描述
+ 調查結果建立的日期和時間
+ AWS 帳戶 ID
+ 區域 (在相關區域)
+ AWS 資源 (IAM user/role/policy、EC2, S3、EKS)
根據調查結果類型提供其他欄位,例如 EKS 調查結果,包括 Pod、容器和叢集詳細資訊。
# 包含
AMS 的遏制方法是與您建立合作夥伴關係。您了解您的業務以及因網路隔離、IAM 使用者或角色取消佈建、執行個體重新建置等遏制活動而可能發生的工作負載影響。
抑制的重要部分是決策。例如,關閉系統、隔離資源與網路,或關閉存取或結束工作階段。如果有預先決定的策略和程序來包含事件,這些決策會更容易做出。AMS 提供遏制策略,然後在您考慮實作遏制動作所涉及的風險之後,實作解決方案。
根據分析中的資源,有不同的遏制選項。AMS 預期在事件調查期間會同時部署多種類型的遏制。其中一些範例包括:
+ 套用保護規則來封鎖未經授權的流量 (安全群組、NACL、WAF 規則、SCP 規則、拒絕清單、將簽章動作設定為隔離或封鎖)
+ 資源隔離
+ 網路隔離
+ 停用 IAM 使用者、角色和政策
+ 修改/減少 IAM 使用者、角色權限
+ 終止/暫停/刪除運算資源
+ 限制來自受影響資源的公開存取
+ 輪換存取金鑰、API 金鑰和密碼
+ 刷新已公開的登入資料和敏感資訊
AMS 鼓勵您考慮在其風險偏好範圍內的每個主要事件類型的遏制策略類型,並清楚記錄有助於在事件發生時做出決策的條件。決定適當策略的條件包括:
+ 資源可能受損
+ 保留證據
+ 服務無法使用 (例如,網路連線、提供給外部各方的服務)
+ 實作策略所需的時間和資源
+ 策略的有效性 (例如,部分遏制、完全遏制)
+ 解決方案的持久性 (例如,單向門與雙向門決策)
+ 解決方案的持續時間 (例如,四小時內要移除的緊急解決方法、兩週內要移除的暫時解決方法、永久解決方案)。
+ 套用您可以開啟的安全控制,以降低風險,並留出時間來定義和實作更有效的遏制。
遏制的速度至關重要,AMS 建議分階段方法,透過制定短期和長期方法的策略來實現高效和有效的遏制。
使用本指南來考慮根據資源類型涉及不同技術的遏制策略。
+ 遏制策略
+ AMS 是否可以識別安全事件的範圍?
+ 如果是,請識別所有資源 (使用者、系統、資源)。
+ 如果否,請平行調查並對已識別的資源執行下一個步驟。
+ 資源可以隔離嗎?
+ 如果是,請繼續隔離受影響的資源。
+ 如果否,則與系統擁有者和管理員合作,以決定包含問題所需的進一步動作。
+ 是否將所有受影響的資源與未受影響的資源隔離?
+ 如果是,請繼續下一個步驟。
+ 如果否,則繼續隔離受影響的資源,直到完成短期遏制,以防止事件進一步升級。
+ 系統備份
+ 是否為進一步分析而建立受影響系統的備份副本?
+ 鑑識複本是否加密並存放在安全的位置?
+ 如果是,請繼續下一個步驟。
+ 如果否,請加密鑑識影像,然後將它們存放在安全的位置,以防止意外使用、損壞和竄改。
# 根除
包含事件之後,可能需要消除威脅來源,才能保護系統,然後再繼續進行下一個復原階段。根除步驟可能包括刪除惡意軟體和移除遭到入侵的使用者帳戶,以及識別和緩解所有遭到利用的漏洞。在根除期間,請務必識別環境中所有受影響的帳戶、資源和執行個體,以便進行修復。
最佳實務是以分階段方法完成根除和復原,以排定修復步驟的優先順序。對於大規模事件,復原可能需要幾個月的時間。早期階段的用意必須是透過相對快速 (數天到數週) 的高價值變更來提高整體安全性,以防止未來發生事件。後期階段必須專注於長期變更 (例如,基礎設施變更) 和持續工作,以盡可能確保企業的安全。
對於某些事件,不需要根除或在復原期間執行。
考慮下列各項:
+ 系統是否可以重新製作映像,然後使用修補程式或其他對策進行強化,以防止或降低攻擊風險?
+ 是否移除攻擊者留下的所有惡意軟體和其他成品,並強化受影響的系統以抵禦進一步的攻擊?
# 復原
AMS 會與您合作,將系統還原至正常操作、確認系統正常運作,以及 (如適用) 修復漏洞以防止類似事件。
考慮下列各項:
+ 受影響的系統是否已修補和強化 (針對最近的攻擊和可能的未來攻擊)?
+ 何時可以將受影響的系統還原到生產環境?
+ 您將使用哪些工具來測試、監控和驗證您還原至生產環境的系統是否不容易受到初始攻擊技術的影響?
# 事件後報告
在事件發生後,AMS 會針對所有安全事件執行調查審查程序。此外,AMS 會啟動錯誤校正 (COE) 程序,以解決系統造成的安全事件,或可合理改善的程序遺漏。AMS 會與您合作,持續改善安全調查體驗。COE 程序可協助 AMS 識別影響客戶事件的促成因素,並將這些原因連接到下一個動作項目,以防止類似事件重複發生,或協助減輕影響的持續時間或層級。
安全性事件的調查審查程序會處理下列項目,以識別改進的機會:
+ 從事件開始到事件探索、初始影響評估,以及事件處理程序的每個階段 (例如,遏制、復原) 經過了多少時間?
+ 事件回應團隊需要多長時間才能回應事件的初始報告?
+ 執行初始影響分析需要多長時間?
+ 這可以預防嗎?如何預防? 是否有可以防止這種情況的工具或程序?
+ 我們可以更快地及如何偵測到此問題嗎?
+ 什麼可以讓調查更快進行?
+ 是否遵循記錄的事件回應程序? 它們是否足夠?
+ 與其他利益相關者的資訊共用是否及時完成 如何改進?
+ 與其他團隊 (AWS 安全、客戶團隊、 AWS 開發團隊和客戶安全團隊) 的協作是否有效? 如果沒有,可以改善哪些項目?
+ 缺少哪些可能有幫助的準備步驟、呈報矩陣、RACI、共同責任模型等? 是否需要更新任何 Runbook?
+ 初始影響評估和最終影響評估之間的差異是什麼? 我們可以如何改善事件回應中稍早評估的準確性?
+ 所學課程的動作項目有哪些?
# AMS 中的安全事件回應 Runbook
本節包含兩個 Runbook:
+ [對根使用者活動的回應](sir-root-user.md)
+ [對惡意軟體事件的回應](sir-malware.md)
# 對根使用者活動的回應
[根使用者](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html)是您 AWS 帳戶中的超級使用者。請注意,AMS 會監控根用量。最佳實務是僅針對需要根使用者的少數任務使用根使用者,例如變更您的帳戶設定、啟用 AWS Identity and Access Management (IAM) 存取帳單和成本管理、變更根密碼,以及開啟多重要素驗證 (MFA)。如需詳細資訊,請參閱[需要根使用者憑證的任務](https://docs.aws.amazon.com/general/latest/gr/root-vs-iam.html#aws_tasks-that-require-root)。
如需如何通知 AMS 計劃根用量的詳細資訊,請參閱[何時以及如何在 AMS 中使用根帳戶](https://docs.aws.amazon.com/managedservices/latest/userguide/how-when-to-use-root.html)。
偵測到根使用者活動時,嘗試登入失敗,這可能表示成功登入後帳戶中發生暴力攻擊或活動,會產生事件,並將事件傳送至您定義的安全聯絡人。
AWS Managed Services Operations 會調查意外的根使用者活動、執行資料收集、分類和分析,以及依照您的方向執行遏制活動,然後執行事件後分析。
如果您有 AMS Advanced 操作模型,您會收到來自 AMS CSDM 和 AMS Ops 工程師的額外通訊,確認意外的根使用者活動,因為 AMS 有責任保護根使用者憑證。AMS 會調查根使用者活動,直到您確認路徑向前為止。
## 準備
向 AMS 告知任何計劃使用的根使用者,方法是使用計劃事件的資料和時間提交 AMS 服務請求,以防止不必要的事件回應活動。
定期使用 AMS 執行 GameDays,以驗證 AMS 的客戶事件回應程序、人員和系統是最新的,並與負責的人員建立肌肉記憶體,以實現更快的事件回應。
## 階段 A:偵測
AMS 透過偵測來源監控帳戶中的根活動,包括 GuardDuty 和 AMS 監控。
如果您有 AMS Accelerate,操作模型會回應請求調查非預期根使用者活動的事件。發生這種情況時,AMS Operations 會啟動遭入侵的帳戶 Runbook。
如果您有 AMS Advanced,操作模型會回應事件,或通知 CSDM 任何計劃的根使用者活動,以終止作用中的帳戶入侵調查。
## 階段 B:分析
AMS 會在判斷活動未獲授權時,對根使用者事件進行徹底調查。使用自動化和 AMS 安全回應團隊,會針對根使用者的異常和非預期行為來分析日誌和事件。日誌會提供給您,以協助判斷活動是否未知、是否為授權的根使用者事件,或是否需要進一步調查。
調查期間為支援內部檢查而提供的資訊範例包括:
+ 帳戶資訊:根帳戶用於哪個帳戶?
+ 根使用者的電子郵件地址:每個根使用者都與您組織的電子郵件地址相關聯
+ 身分驗證詳細資訊:根使用者從何處和何時存取您的環境?
+ 活動記錄:使用者以根登入時做了什麼? 這些記錄的格式為 CloudWatch 事件。了解如何閱讀這些日誌有助於調查。
最佳實務是,您已準備好接收分析資訊,並規劃如何聯絡組織內帳戶的授權聯絡人。由於根使用者不會命名為個人,因此判斷誰可以存取組織中用於帳戶的根電子郵件地址,有助於快速在內部路由問題。
## 階段 C:包含和消除
AMS 與您的安全團隊合作,在您授權的客戶安全聯絡人指示下執行遏制。遏制選項包括:
+ 輪換適當的登入資料和金鑰。
+ 終止對帳戶和資源的作用中工作階段。
+ 消除已建立的資源。
在遏制活動期間,AMS 與您的安全團隊緊密合作,以確保工作負載的任何中斷都最小化,並且根登入資料得到適當的保護。
遏制計畫完成後,您可以視需要與 AMS Operations 團隊合作執行任何復原動作。
## 事件後報告
AMS 會視需要啟動調查審查程序,以識別學到的任何教訓。在完成 COE 的過程中,AMS 會將任何相關調查結果傳達給受影響的客戶,以協助他們改善事件回應程序。
AMS 會記錄調查的所有最終詳細資訊、收集適當的指標,然後將事件報告給需要資訊的任何 AMS 內部團隊,包括您指派的 CSDM 和 CA。
# 對惡意軟體事件的回應
Amazon EC2 執行個體用於託管各種工作負載,包括第三方軟體和由組織內應用程式團隊部署的自訂開發軟體。AMS 提供並鼓勵您在 AMS 持續修補和維護的映像上部署工作負載。
在執行個體操作期間,AMS 會透過各種安全偵測控制來監控行為或活動的異常,包括 Amazon GuardDuty、Network Traffic 和 Amazon internal Threat Intelligence 饋送。
AMS 也會監控 GuardDuty 惡意軟體調查結果。如果啟用,這些都可以在 AMS Advanced 和 AMS Accelerate 上使用。如需詳細資訊,請參閱 [Amazon GuardDuty 中的惡意軟體防護](https://docs.aws.amazon.com/guardduty/latest/ug/malware-protection.html)。
**注意**
如果您選擇[使用自有 EPS](https://docs.aws.amazon.com/managedservices/latest/userguide/ams-byoeps.html),則事件回應的程序會與此頁面上概述的程序不同。如需詳細資訊,請參閱參考的文件。
偵測到惡意軟體時,會建立事件並通知您該事件。此通知後面接著發生的任何修復活動。AMS Operations 會調查、執行資料收集、分類和分析,然後依照您的指示執行遏制活動,接著執行事件後分析。
## 階段 A:偵測
AMS 會使用 GuardDuty 監控執行個體上的事件。AMS 會決定適當的擴充和分類活動,以協助您根據調查結果或提醒類型做出遏制或風險接受決策。
資料收集是根據調查結果類型執行。資料收集涉及查詢受影響帳戶內部和外部的多個資料來源,以建立觀察到的活動或關注組態的影像。
AMS 會執行調查結果與任何受影響帳戶或 AMS 威脅情報平台之任何其他警示和警示或遙測的相互關聯。
## 階段 B:分析
收集資料後,會對其進行分析,以識別任何活動或關注指標。在調查的這個階段,AMS 會與您合作,整合執行個體和工作負載的商業和網域知識,以協助了解預期內容和異常情況。
調查期間為支援內部檢查而提供的資訊範例包括:
+ 帳戶資訊:在哪個帳戶上觀察到惡意軟體活動?
+ 執行個體詳細資訊:哪些 (些) 執行個體與惡意軟體事件有關?
+ 事件時間戳記:警示何時觸發?
+ 工作負載資訊:執行個體上執行什麼項目?
+ 惡意軟體詳細資訊,如果相關:惡意軟體系列和有關惡意軟體的開放原始碼資訊。
+ 使用者或角色詳細資訊:哪些使用者或角色受到活動的影響和參與活動?
+ 活動記錄:執行個體上會記錄哪些活動? 這些是 CloudWatch 事件的形式,以及來自執行個體的系統事件。了解如何讀取這些日誌將協助您進行調查
+ 網路活動:哪些端點正在連接到執行個體、執行個體正在連接到什麼,以及流量分析是什麼?
最佳實務是準備接收調查資訊,並規劃如何聯絡組織內帳戶、執行個體和工作負載的適當聯絡窗口。了解您的網路拓撲和預期的連線有助於加速影響分析。了解環境中規劃的滲透測試,以及應用程式擁有者執行的最新部署,也可以加速調查。
如果您確定活動已規劃並授權,則會更新事件並結束調查。如果已確認入侵,您和 AMS 會決定適當的遏制計畫。
## Phace C:包含和消除
AMS 會與您合作,根據收集的資料和已知資訊來判斷適當的遏制活動。遏制選項包括但不限於:
+ 透過快照保留資料
+ 修改網路規則以限制傳入或傳出執行個體的流量
+ 修改 SCP、IAM 使用者和角色政策以限制存取
+ 終止、暫停或關閉執行個體
+ 終止任何持久性連線
+ 輪換適當的登入資料/金鑰
如果您選擇對執行個體執行根除活動,則 AMS 會支援您達成此目標。選項包括但不限於:
+ 移除任何不需要的軟體
+ 從乾淨的完全修補映像重建執行個體,並重新部署應用程式和組態
+ 從先前的備份還原執行個體
+ 將應用程式和服務部署到您帳戶中可能適合託管工作負載的另一個執行個體。
在還原服務之前,請務必判斷惡意軟體在執行個體上交付和執行的方式,以確保套用任何其他控制,以防止執行個體上的惡意軟體再次發生。AMS 會視需要為您的鑑識合作夥伴或團隊提供額外的洞見或資訊,以支援鑑識。
此時,您會使用 AMS Operations 進行復原活動。AMS 與您緊密合作,將對工作負載的干擾降至最低,並保護執行個體。
## 事件後報告
AMS 會視需要啟動調查審查程序,以識別學到的經驗教訓。在完成 COE 的過程中,AMS 會與您溝通相關調查結果,以協助您改善事件回應程序。
AMS 會記錄調查的最終詳細資訊、收集適當的指標,並向需要資訊的 AMS 內部團隊報告事件,包括您指派的 CSDM 和 CA。
# Accelerate 中的安全事件記錄和監控
在 AMS Accelerate 中註冊的帳戶設定了 CloudWatch [Events](https://docs.aws.amazon.com/AmazonCloudWatch/latest/events/WhatIsCloudWatchEvents.html) [和警示](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/AlarmThatSendsEmail.html)的基準部署,這些警示已經過最佳化,可降低雜訊並識別真實事件的跡象。AMS Accelerate 也採用 GuardDuty 進行帳戶監控。如需詳細資訊,請參閱[使用 GuardDuty 監控](acc-sec-data-protect.md#acc-sec-data-protect-gd)。
# Accelerate 中的組態合規
AMS Accelerate 可協助您將資源設定為高標準的安全性和操作完整性,並符合下列業界標準:
+ 網際網路安全中心 (CIS)
+ 國家標準技術研究所 (NIST) 雲端安全架構 (CSF)
+ 美國健康保險流通與責任法案 (HIPAA)
+ 支付卡產業 (PCI) 資料安全標準 (DSS)
我們透過將整個合規 AWS Config 規則集部署到您的帳戶來執行此操作,請參閱 [AMS Config 規則程式庫](#acc-sec-compliance-rules)。 AWS Config 規則代表資源所需的組態,並根據 AWS 資源設定的組態變更進行評估。任何組態變更都會觸發大量規則來測試合規性。例如,假設您建立 Amazon S3 儲存貯體,並將其設定為可公開讀取,而違反 NIST 標準。[ams-nist-cis-s3-bucket-public-read-prohibited 規則](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-public-read-prohibited.html)會偵測違規情況,並在組態報告中標記 S3 儲存貯體**不合規**。由於此規則屬於 **Auto Incident** 修復類別,因此會立即建立 Incident Report,提醒您此問題。其他更嚴重的規則違規可能會導致 AMS 自動修復問題。請參閱 [在 Accelerate 中回應違規](#acc-sec-compliance-responses)。
**重要**
如果您希望我們執行更多操作,例如,如果您希望 AMS 為您修復違規,無論其修復類別為何,請提交服務請求,要求 AMS 為您修復不合規的資源。在服務請求中,包含註解,例如「作為 AMS 組態規則修復的一部分,請修復非投訴資源 *RESOURCE\$1ARNS\$1OR\$1IDs*、在帳戶中設定規則 *CONFIG\$1RULE\$1NAME*」,並新增必要的輸入以修復違規。
如果您希望我們做較少的事,例如,如果您不希望我們對需要設計公開存取的特定 S3 儲存貯體採取動作,您可以建立例外狀況,請參閱 [在 Accelerate 中建立規則例外狀況](#acc-sec-compliance-config-reports-exception)。
## AMS Config 規則程式庫
加速部署 AMS 組態規則的程式庫,以保護您的帳戶。這些組態規則以 開頭`ams-`。您可以從 AWS Config 主控台、 AWS CLI 或 AWS Config API 檢視帳戶中的規則及其合規狀態。如需使用 的一般資訊 AWS Config,請參閱 [ ViewingConfiguration 合規](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config_view-compliance.html)。
**注意**
對於選擇加入 AWS 區域和 Gov 雲端區域,由於區域限制,我們只會部署一部分的組態規則。檢查 AMS Accelerate 組態規則表中與識別符相關聯的連結,以檢查區域中的規則可用性。
您無法移除任何已部署的 AMS Config 規則。
### 規則表
下載為 [ams\$1config\$1rules.zip](samples/ams_config_rules.zip)。
**AMS 組態規則**
| 規則名稱 | 服務 | 觸發條件 | 動作 | 架構 |
| --- | --- | --- | --- | --- |
| [ams-nist-cis-guardduty-enabled-centralized](https://docs.aws.amazon.com/config/latest/developerguide/guardduty-enabled-centralized.html) | GuardDuty | 定期 | 修復 | CIS:CIS.13,CIS.14;NIST-CSF:PR.DS-1;HIPAA:164.312(a)(2)(iv)、164.312(e)(2)(ii);PCI:2.2,3.4,8.2.1; |
| [ams-nist-cis-vpc-flow-logs-enabled](https://docs.aws.amazon.com/config/latest/developerguide/vpc-flow-logs-enabled.html) | VPC | 定期 | 修復 | CIS:CIS.6;NIST-CSF:DE.AE-1,DE.AE-3,PR.DS-5,PR.PT-1;HIPAA:164.308(a)(3)(ii)(A),164.312(b);PCI:2.2,10.1、10.3.2、10.3.3、10.3.4、10.3.5、、10.3.6; |
| [ams-eks-secrets-encrypted](https://docs.aws.amazon.com/config/latest/developerguide/eks-secrets-encrypted.html) | EKS | 定期 | 事件 | CIS:NA; NIST-CSF: NA; HIPAA: NA; PCI: NA; |
| [ams-eks-endpoint-no-public-access](https://docs.aws.amazon.com/config/latest/developerguide/eks-endpoint-no-public-access.html) | EKS | 定期 | 事件 | CIS:NA; NIST-CSF: NA; HIPAA: NA; PCI: NA; |
| [ams-nist-cis-vpc-default-security-group-closed](https://docs.aws.amazon.com/config/latest/developerguide/vpc-default-security-group-closed.html) | VPC | 組態變更 | 事件 | CIS:CIS.11、CIS.12、CIS.9;NIST-CSF:DE.AE-1、PR.AC-3、PR.AC-5、PR.PT-4;HIPAA:164.312(e)(1);PCI:1.2、1.3、2.1、2.2、1.2.1、1.3.1、1.3.2、2.2; |
| [ams-nist-cis-iam-password-policy](https://docs.aws.amazon.com/config/latest/developerguide/iam-password-policy.html) | IAM | 定期 | 事件 | CIS:NA;NIST-CSF:PR.AC-1,PR.AC-4;HIPAA:164.308(a)(3)(i),164.308(a)(3)(ii)(A),164.308(a)(3)(ii)(B),164.308(a)(4)(ii)(i),164.308(a)(4)(ii)(B),164.308(a)(4)(ii)(C),164.312(a)(1);PCI:7.1.2,7.1.3,7.2.1); |
| [ams-nist-cis-iam-root-access-key-check](https://docs.aws.amazon.com/config/latest/developerguide/iam-root-access-key-check.html) | IAM | 定期 | 事件 | CIS:CIS.16,CIS.4;NIST-CSF:PR.AC-1,PR.AC-4,PR.PT-3;HIPAA:164.308(a)(3)(i),164.308(a)(3)(ii)(A),164.308(a)(3)(ii)(B),164.308(a)(4)(ii)(A),164.308(a)(4)(ii)(B),164.308(a)(4)(ii)(C),164.312(a);PCI:2.2,7.1.2,7.1.3,7.1.2; |
| [ams-nist-cis-iam-user-mfa-enabled](https://docs.aws.amazon.com/config/latest/developerguide/iam-user-mfa-enabled.html) | IAM | 定期 | 事件 | CIS:CIS.16;NIST-CSF:PR.AC-1,PR.AC-4;HIPAA:164.308(a)(3)(i),164.308(a)(3)(ii)(A),164.308(a)(3)(ii)(B),164.308(a)(4)(i),164.308(a)(4)(ii)(B),164.308(a)(4)(ii)(C),164.312(a)(1);PCI:2.2,7.1.2,7.1.3,7.2.2; |
| [ams-nist-cis-restricted-ssh](https://docs.aws.amazon.com/config/latest/developerguide/restricted-ssh.html) | 安全群組 | 組態變更 | 事件 | CIS:CIS.16;NIST-CSF:PR.AC-1,PR.AC-4;HIPAA:164.308(a)(3)(i),164.308(a)(4)(ii)(A),164.308(a)(4)(ii)(B),164.308(a)(4)(ii)(C),164.312(a)(1);PCI:2.2,7.2.1,8.1.4; |
| [ams-nist-cis-restricted-common-ports](https://docs.aws.amazon.com/config/latest/developerguide/restricted-common-ports.html) | 安全群組 | 組態變更 | 事件 | CIS:CIS.11,CIS.12,CIS.9;NIST-CSF: DE.AE-1,PR.AC-3,PR.AC-5,PR.PT-4;HIPAA: 164.308(a)(3)(i),164.308(a)(3)(ii)(B),164.308(a)(4)(i),164.308(a)(4)(ii)(A),164.308(a)(4)(ii)(C),164.312(a)(1),164.312(e)(1);PCI:1.2,1.3,2.2.2 |
| [ams-nist-cis-s3-account-level-public-access-blocks](https://docs.aws.amazon.com/config/latest/developerguide/s3-account-level-public-access-blocks.html) | S3 | 組態變更 | 事件 | CIS:CIS.9,CIS.12,CIS.14;NIST-CSF:PR.AC-3,PR.AC-4,PR.AC-5,PR.DS-5,PR.PT-3,PR.PT-4;HIPAA:164.308(a)(3)(i),164.308(a)(4)(ii)(A),164.308(a)(4)(ii)(C),164.312(a)(1),164.312(e)(1);PCI:1.2,1.2.1,1.3,1.3.1,1.3.2,1.3.4,1.3.6,2.2; |
| [ams-nist-cis-s3-bucket-public-read-prohibited](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-public-read-prohibited.html) | S3 | 組態變更 | 事件 | CIS:CIS.12,CIS.14,CIS.9;NIST-CSF:PR.AC-3,PR.AC-4,PR.AC-5,PR.DS-5,PR.PT-3,PR.PT-4;HIPAA:164.308(a)(3)(i),164.308(a)(4)(ii)(A),164.308(a)(4)(ii)(C),164.312(a)(1),164.312(e)(1);PCI:1.2,1.3,2.2,1.2.1,1.3.1,1.3.2,1.3.4,1.3.6,2.2; |
| [ams-nist-cis-s3-bucket-public-write-prohibited](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-public-write-prohibited.html) | S3 | 組態變更 | 事件 | CIS:CIS.12,CIS.14,CIS.9;NIST-CSF:PR.AC-3,PR.AC-4,PR.AC-5,PR.DS-5,PR.PT-3,PR.PT-4;HIPAA:164.308(a)(3)(i),164.308(a)(4)(ii)(A),164.308(a)(4)(ii)(C),164.312(a)(1),164.312(e)(1);PCI:1.2,1.3,2.2,1.2.1,1.3.1,1.3.2,1.3.4,1.3.6,2.2; |
| [ams-nist-cis-s3-bucket-server-side-encryption-enabled](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-server-side-encryption-enabled.html) | S3 | 組態變更 | 事件 | CIS:CIS.13,CIS.14;NIST-CSF:PR.DS-1;HIPAA:164.312(a)(2)(iv)、164.312(c)(2)、164.312(e)(2)(ii);PCI:2.2,3.4,10.5,8.2.1; |
| [ams-nist-cis-securityhub-enabled](https://docs.aws.amazon.com/config/latest/developerguide/securityhub-enabled.html) | 安全中樞 | 定期 | 事件 | CIS:CIS.3、CIS.4、CIS.6、CIS.12、CIS.16、CIS.19;NIST-CSF:PR.DS-5,PR.PT-1;HIPAA:164.312(b);PCI:NA; |
| [ams-nist-cis-ec2-instance-managed-by-systems-manager](https://docs.aws.amazon.com/config/latest/developerguide/ec2-instance-managed-by-systems-manager.html) | EC2 | 組態變更 | 報告 | CIS:CIS.2,CIS.5;NIST-CSF:ID.AM-2,PR.IP-1;HIPAA:164.308(a)(5)(ii)(B);PCI:2.4; |
| [ams-nist-cis-cloudtrail-enabled](https://docs.aws.amazon.com/config/latest/developerguide/cloudtrail-enabled.html) | CloudTrail | 定期 | 報告 | CIS:CIS.16,CIS.6;NIST-CSF:DE.AE-1,DE.AE-3,PR.DS-5,PR.MA-2,PR.PT-1;HIPAA:164.308(a)(3)(ii)(A),164.308(a)(5)(ii)(C),164.312(b);PCI:10.1、10.2.1、10.2.2、10.2.310.2.4、10.2.5、、10.2.610.2.7、10.3.1、10.3.2、、10.3.3、、10.3.4、10.3.510.3.6; |
| [ams-nist-cis-access-keys-rotated](https://docs.aws.amazon.com/config/latest/developerguide/access-keys-rotated.html) | IAM | 定期 | 報告 | CIS:CIS.16;NIST-CSF:PR.AC-1;HIPAA:164.308(a)(4)(ii)(B);PCI:2.2; |
| [ams-nist-cis-acm-certificate-expiration-check](https://docs.aws.amazon.com/config/latest/developerguide/acm-certificate-expiration-check.html) | Certificate Manager | 組態變更 | 報告 | CIS:CIS.13,CIS.14;NIST-CSF:PR.AC-5,PR.PT-4;HEAA:NA;PCI:4.1; |
| [ams-nist-cis-alb-http-to-https-redirection-check](https://docs.aws.amazon.com/config/latest/developerguide/alb-http-to-https-redirection-check.html) | ALB | 定期 | 報告 | CIS:CIS.13,CIS.14;NIST-CSF:PR.DS-2;HIPAA:164.312(a)(2)(iv)、164.312(e)(1)、164.312(e)(2)(i)、164.312(e)(2)(ii);PCI:2.3,4.1,8.2.1; |
| [ams-nist-cis-api-gw-cache-enabled-and-encrypted](https://docs.aws.amazon.com/config/latest/developerguide/api-gw-cache-enabled-and-encrypted.html) | API Gateway | 組態變更 | 報告 | CIS:CIS.13、CIS.14;NIST-CSF:PR.DS-1;HIPAA:164.312(a)(2)(iv)、164.312(e)(2)(ii);PCI:3.4; |
| [ams-nist-cis-api-gw-execution-logging-enabled](https://docs.aws.amazon.com/config/latest/developerguide/api-gw-execution-logging-enabled.html) | API Gateway | 組態變更 | 報告 | CIS:CIS.6;NIST-CSF:DE.AE-1,DE.AE-3,PR.PT-1;HIPAA:164.312(b);PCI:10.1,10.3.1,10.3.2,10.3.310.3.4,10.3.5,10.3.6,,,10.5.4; |
| [ams-nist-autoscaling-group-elb-healthcheck-required](https://docs.aws.amazon.com/config/latest/developerguide/autoscaling-group-elb-healthcheck-required.html) | ELB | 組態變更 | 報告 | CIS:NA;NIST-CSF:PR.PT-1,PR.PT-5;HIPAA:164.312(b);PCI:2.2; |
| [ams-nist-cis-cloud-trail-encryption-enabled](https://docs.aws.amazon.com/config/latest/developerguide/cloud-trail-encryption-enabled.html) | CloudTrail | 定期 | 報告 | CIS:CIS.13,CIS.14;NIST-CSF:PR.DS-1;HIPAA:164.312(a)(2)(iv)、164.312(e)(2)(ii);PCI:2.2,3.4,10.5; |
| [ams-nist-cis-cloud-trail-log-file-validation-enabled](https://docs.aws.amazon.com/config/latest/developerguide/cloud-trail-log-file-validation-enabled.html) | CloudTrail | 定期 | 報告 | CIS:CIS.6;NIST-CSF:PR.DS-6;HIPAA:164.312(c)(1)、164.312(c)(2);PCI:2.2,10.5,11.5,10.5.2,10.5.5; |
| [ams-nist-cis-cloudtrail-s3-dataevents-enabled](https://docs.aws.amazon.com/config/latest/developerguide/cloudtrail-s3-dataevents-enabled.html) | CloudTrail | 定期 | 報告 | CIS:CIS.6;NIST-CSF:DE.AE-1,DE.AE-3,PR.DS-5,PR.PT-1;HIPAA:164.308(a)(3)(ii)(A),164.312(b);PCI:2.2,10.1、10.2.1、10.2.2、10.2.3、10.2.5、10.3.110.3.2、10.3.3、10.3.4、10.3.5、、10.3.6; |
| [ams-nist-cis-cloudwatch-alarm-action-check](https://docs.aws.amazon.com/config/latest/developerguide/cloudwatch-alarm-action-check.html) | CloudWatch | 組態變更 | 報告 | CIS:CIS.13、CIS.14;NIST-CSF:NA;HIPAA:164.312(a)(2)(iv)、164.312(e)(2)(ii);PCI:3.4; |
| [ams-nist-cis-cloudwatch-log-group-encrypted](https://docs.aws.amazon.com/config/latest/developerguide/cloudwatch-log-group-encrypted.html) | CloudWatch | 定期 | 報告 | CIS:CIS.13、CIS.14;NIST-CSF:NA;HIPAA:164.312(a)(2)(iv)、164.312(e)(2)(ii);PCI:3.4; |
| [ams-nist-cis-codebuild-project-envvar-awscred-check](https://docs.aws.amazon.com/config/latest/developerguide/codebuild-project-envvar-awscred-check.html) | CodeBuild | 組態變更 | 報告 | CIS:CIS.18;NIST-CSF:PR.DS-5;HIPAA:164.308(a)(3)(i)、164.308(a)(4)(ii)(A)、164.308(a)(4)(ii)(C)、164.312(a)(1);PCI:8.2.1; |
| [ams-nist-cis-codebuild-project-source-repo-url-check](https://docs.aws.amazon.com/config/latest/developerguide/codebuild-project-source-repo-url-check.html) | CodeBuild | 組態變更 | 報告 | CIS:CIS.18;NIST-CSF:PR.DS-5;HIPAA:164.308(a)(3)(i)、164.308(a)(4)(ii)(A)、164.308(a)(4)(ii)(C)、164.312(a)(1);PCI:8.2.1; |
| [ams-nist-cis-db-instance-backup-enabled](https://docs.aws.amazon.com/config/latest/developerguide/db-instance-backup-enabled.html) | RDS | 組態變更 | 報告 | CIS:CIS.10;NIST-CSF:ID.BE-5,PR.DS-4,PR.IP-4,PR.PT-5,RC.RP-1;HIPAA:164.308(a)(7)(i)、164.308(a)(7)(ii)(A)、164.308(a)(7)(ii)(B);PCI:NA; |
| [ams-nist-cis-dms-replication-not-public](https://docs.aws.amazon.com/config/latest/developerguide/dms-replication-not-public.html) | DMS | 定期 | 報告 | CIS:CIS.12,CIS.14,CIS.9;NIST-CSF:PR.AC-3,PR.AC-4,PR.AC-5,PR.DS-5,PR.PT-3,PR.PT-4;HIPAA:164.308(a)(3)(i),164.308(a)(4)(ii)(A),164.308(a)(4)(ii)(C),164.312(a)(1),164.312(e)(1);PCI:1.2,1.3,1.2.1,1.3.1,1.3.2,1.3.4,1.3.6,2.2; |
| [ams-nist-dynamodb-autoscaling-enabled](https://docs.aws.amazon.com/config/latest/developerguide/dynamodb-autoscaling-enabled.html) | DynamoDB | 定期 | 報告 | CIS:NA;NIST-CSF:ID.BE-5,PR.DS-4,PR.PT-5,RC.RP-1;HIPAA:164.308(a)(7)(i),164.308(a)(7)(ii)(C);PCI:NA; |
| [ams-nist-cis-dynamodb-pitr-enabled](https://docs.aws.amazon.com/config/latest/developerguide/dynamodb-pitr-enabled.html) | DynamoDB | 定期 | 報告 | CIS:CIS.10;NIST-CSF:ID.BE-5,PR.DS-4,PR.IP-4,PR.PT-5,RC.RP-1;HIPAA:164.308(a)(7)(i)、164.308(a)(7)(ii)(A)、164.308(a)(7)(ii)(B);PCI:NA; |
| [ams-nist-dynamodb-throughput-limit-check](https://docs.aws.amazon.com/config/latest/developerguide/dynamodb-throughput-limit-check.html) | DynamoDB | 定期 | 報告 | CIS:NA;NIST-CSF:NA;HIPAA:164.312(b);PCI:NA; |
| [ams-nist-ebs-optimized-instance](https://docs.aws.amazon.com/config/latest/developerguide/ebs-optimized-instance.html) | EBS | 組態變更 | 報告 | CIS:NA;NIST-CSF:NA;HIPAA:164.308(a)(7)(i);PCI:NA; |
| [ams-nist-cis-ebs-snapshot-public-restorable-check](https://docs.aws.amazon.com/config/latest/developerguide/ebs-snapshot-public-restorable-check.html) | EBS | 定期 | 報告 | CIS:CIS.12,CIS.14,CIS.9;NIST-CSF:PR.AC-3,PR.AC-4,PR.AC-5,PR.DS-5,PR.PT-3,PR.PT-4;HIPAA:164.308(a)(3)(i),164.308(a)(4)(ii)(A),164.308(a)(4)(ii)(C),164.312(a)(1),164.312(e)(1);PCI:1.2,1.3,1.2.1,1.3.1,1.3.2,1.3.4,1.3.6,2.2; |
| [ams-nist-ec2-instance-detailed-monitoring-enabled](https://docs.aws.amazon.com/config/latest/developerguide/ec2-instance-detailed-monitoring-enabled.html) | EC2 | 組態變更 | 報告 | CIS:NA;NIST-CSF:DE.AE-1,PR.PT-1;HIPAA:164.312(b);PCI:NA; |
| [ams-nist-cis-ec2-instance-no-public-ip](https://docs.aws.amazon.com/config/latest/developerguide/ec2-instance-no-public-ip.html) | EC2 | 組態變更 | 報告 | CIS:CIS.12,CIS.14,CIS.9;NIST-CSF:PR.AC-3,PR.AC-4,PR.AC-5,PR.PT-3,PR.PT-4;HIPAA:164.308(a)(3)(i),164.308(a)(4)(ii)(A),164.308(a)(4)(ii)(C),164.312(a)(1),164.312(e);PCI:1.2,1.3,1.2.1,1.3.1,1.3.2,1.3.4,1.3.6,2.2; |
| [ams-nist-cis-ec2-managedinstance-association-compliance-status-check](https://docs.aws.amazon.com/config/latest/developerguide/ec2-managedinstance-association-compliance-status-check.html) | EC2 | 組態變更 | 報告 | CIS:CIS.12,CIS.9;NIST-CSF:PR.AC-3,PR.AC-4,PR.AC-5,PR.PT-3,PR.PT-4;HIPAA:164.308(a)(3)(i),164.308(a)(4)(ii)(A),164.308(a)(4)(ii)(C),164.312(e)(1);PCI:1.2,1.3,1.2.1,1.3.1,1.3.3.2,1.3.4,1.3.6,2.2; |
| [ams-nist-cis-ec2-managedinstance-patch-compliance-status-check](https://docs.aws.amazon.com/config/latest/developerguide/ec2-managedinstance-patch-compliance-status-check.html) | EC2 | 組態變更 | 報告 | CIS:CIS.2,CIS.5;NIST-CSF:ID.AM-2,PR.IP-1;HIPAA:164.308(a)(5)(ii)(B);PCI:6.2; |
| [ams-nist-cis-ec2-stopped-instance](https://docs.aws.amazon.com/config/latest/developerguide/ec2-stopped-instance.html) | EC2 | 定期 | 報告 | CIS:CIS.2;NIST-CSF:ID.AM-2,PR.IP-1;HEAA:NA;PCI:NA; |
| [ams-nist-cis-ec2-volume-inuse-check](https://docs.aws.amazon.com/config/latest/developerguide/ec2-volume-inuse-check.html) | EC2 | 組態變更 | 報告 | 順式:CIS.2;NIST-CSF:PR.IP-1;HEAA:NA;PCI:NA; |
| [ams-nist-cis-efs-encrypted-check](https://docs.aws.amazon.com/config/latest/developerguide/efs-encrypted-check.html) | EFS | 定期 | 報告 | CIS:CIS.13,CIS.14;NIST-CSF:PR.DS-1;HIPAA:164.312(a)(2)(iv)、164.312(e)(2)(ii);PCI:3.4,8.2.1; |
| [ams-nist-cis-eip-attached](https://docs.aws.amazon.com/config/latest/developerguide/eip-attached.html) | EC2 | 組態變更 | 報告 | CIS:CIS.13,CIS.14;NIST-CSF:PR.DS-1;HIPAA:164.312(a)(2)(iv)、164.312(e)(2)(ii);PCI:3.4,8.2.1; |
| [ams-nist-cis-elasticache-redis-cluster-automatic-backup-check](https://docs.aws.amazon.com/config/latest/developerguide/elasticache-redis-cluster-automatic-backup-check.html) | ElastiCache | 定期 | 報告 | CIS:CIS.10;NIST-CSF:ID.BE-5,PR.DS-4,PR.IP-4,PR.PT-5,RC.RP-1;HIPAA:164.308(a)(7)(i)、164.308(a)(7)(ii)(A)、164.308(a)(7)(ii)(B);PCI:NA; |
| [ams-nist-cis-opensearch-encrypted-at-rest](https://docs.aws.amazon.com/config/latest/developerguide/opensearch-encrypted-at-rest.html) | OpenSearch | 定期 | 報告 | CIS:CIS.14,CIS.13;NIST-CSF:PR.DS-1;HIPAA:164.312(a)(2)(iv)、164.312(e)(2)(ii);PCI:3.4,8.2.1; |
| [ams-nist-cis-opensearch-in-vpc-only](https://docs.aws.amazon.com/config/latest/developerguide/opensearch-in-vpc-only.html) | OpenSearch | 定期 | 報告 | CIS:CIS.13,CIS.14;NIST-CSF:PR.DS-1;HIPAA:164.312(a)(2)(iv)、164.312(e)(2)(ii);PCI:3.4,8.2.1; |
| [ams-nist-cis-elb-acm-certificate-required](https://docs.aws.amazon.com/config/latest/developerguide/elb-acm-certificate-required.html) | Certificate Manager | 組態變更 | 報告 | CIS:CIS.12,CIS.9;NIST-CSF:PR.AC-3,PR.AC-4,PR.AC-5,PR.DS-5,PR.PT-3,PR.PT-4;HIPAA:164.308(a)(3)(i),164.308(a)(4)(ii)(A),164.308(a)(4)(ii)(C),164.312(a)(1),164.312(e)(1);PCI:1.2,1.3,1.2.1,1.3.1,1.3.2,1.3.3.4,1.3.6,2.2; |
| [ams-nist-elb-deletion-protection-enabled](https://docs.aws.amazon.com/config/latest/developerguide/elb-deletion-protection-enabled.html) | ELB | 組態變更 | 報告 | CIS:CIS.13,CIS.14;NIST-CSF:PR.DS-2;HIPAA:164.312(a)(2)(iv)、164.312(e)(1)、164.312(e)(2)(i)、164.312(e)(2)(ii);PCI:4.1,8.2.1; |
| [ams-nist-cis-elb-logging-enabled](https://docs.aws.amazon.com/config/latest/developerguide/elb-logging-enabled.html) | ELB | 組態變更 | 報告 | CIS:CIS.6;NIST-CSF:DE.AE-1,DE.AE-3,PR.PT-1;HIPAA:164.312(b);PCI:10.1,10.3.1,10.3.2,10.3.310.3.4,10.3.5,10.3.6,,10.5.4; |
| [ams-nist-cis-emr-kerberos-enabled](https://docs.aws.amazon.com/config/latest/developerguide/emr-kerberos-enabled.html) | EMR | 定期 | 報告 | CIS:CIS.6;NIST-CSF:DE.AE-1,DE.AE-3,PR.PT-1;HIPAA:164.312(b);PCI:10.1,10.3.1,10.3.2,10.3.310.3.4,10.3.5,10.3.6,,10.5.4; |
| [ams-nist-cis-emr-master-no-public-ip](https://docs.aws.amazon.com/config/latest/developerguide/emr-master-no-public-ip.html) | EMR | 定期 | 報告 | CIS:CIS.14,CIS.16;NIST-CSF:PR.AC-1,PR.AC-4,PR.AC-6;HIPAA:164.308(a)(3)(i),164.308(a)(3)(ii)(A),164.308(a)(3)(ii)(B),164.308(a)(4)(i),164.308(a)(4)(ii)(B),164.308(a)(4)(ii)(c)(C),164.312(a);PCI:7.2.1; |
| [ams-nist-cis-encrypted-volumes](https://docs.aws.amazon.com/config/latest/developerguide/encrypted-volumes.html) | EBS | 組態變更 | 報告 | CIS:CIS.12,CIS.9;NIST-CSF:PR.AC-3,PR.AC-4,PR.AC-5,PR.PT-3,PR.PT-4;HIPAA:164.308(a)(3)(i),164.308(a)(4)(ii)(A),164.308(a)(4)(ii)(C),164.312(e)(1);PCI:1.2,1.3,1.2.1,1.3.1,1.3.3.2,1.3.4,1.3.6,2.2; |
| [ams-nist-cis-guardduty-non-archived-findings](https://docs.aws.amazon.com/config/latest/developerguide/guardduty-non-archived-findings.html) | GuardDuty | 定期 | 報告 | CIS:CIS.12,CIS.13,CIS.16,CIS.19,CIS.3,CIS.4,CIS.6,CIS.8;NIST-CSF:DE.AE-2,DE.AE-3,DE.CM-4,DE.DP-5,ID.RA-1,ID.RA-3,PR.DS-5,PR.PT-1;HIPAA:164.308(a)(5)(ii)(C),164.308(a)(6)(ii),164.312(b);PCI:6.1,11.4,5.1.2; |
| [ams-nist-iam-group-has-users-check](https://docs.aws.amazon.com/config/latest/developerguide/iam-group-has-users-check.html) | IAM | 組態變更 | 報告 | CIS:NA;NIST-CSF:PR.AC-4,PR.AC-1;HIPAA:164.308(a)(3)(i),164.308(a)(3)(ii)(A),164.308(a)(3)(ii)(B),164.308(a)(4)(ii)(i),164.308(a)(4)(ii)(B),164.308(a)(4)(ii)(C),164.312(a)(1);PCI:7.1.2,7.1.3,7.2.1); |
| [ams-nist-cis-iam-policy-no-statements-with-admin-access](https://docs.aws.amazon.com/config/latest/developerguide/iam-policy-no-statements-with-admin-access.html) | IAM | 組態變更 | 報告 | CIS:CIS.16;NIST-CSF:PR.AC-6,PR.AC-7;HIPAA:164.308(a)(4)(ii)(B),164.308(a)(5)(ii)(D),164.312(d);PCI:8.2.3,8.2.4,8.2.5; |
| [ams-nist-cis-iam-user-group-membership-check](https://docs.aws.amazon.com/config/latest/developerguide/iam-user-group-membership-check.html) | IAM | 組態變更 | 報告 | CIS:CIS.16,CIS.4;NIST-CSF:PR.AC-1,PR.AC-4,PR.PT-3;HIPAA:164.308(a)(3)(i),164.308(a)(4)(ii)(A),164.308(a)(4)(ii)(B),164.308(a)(4)(ii)(C),164.312(a)(1),164.312(a)(2)(i);PCI:2.2,7.1.2,7.2.1,8.1; |
| [ams-nist-cis-iam-user-no-policies-check](https://docs.aws.amazon.com/config/latest/developerguide/iam-user-no-policies-check.html) | IAM | 組態變更 | 報告 | CIS:CIS.16;NIST-CSF:PR.AC-1,PR.AC-7;HIPAA:164.308(a)(4)(ii)(B),164.312(d);PCI:8.3; |
| [ams-nist-cis-iam-user-unused-credentials-check](https://docs.aws.amazon.com/config/latest/developerguide/iam-user-unused-credentials-check.html) | IAM | 定期 | 報告 | CIS:CIS.16;NIST-CSF:PR.AC-1,PR.AC-4,PR.PT-3;HIPAA:164.308(a)(3)(i),164.308(a)(3)(ii)(A),164.308(a)(3)(ii)(B),164.308(a)(4)(i),164.308(a)(4)(ii)(B),164.308(a)(4)(ii)(C),164.312(a);PCI:2.2,7.1.2,7.13,7.2.2; |
| [ams-nist-cis-ec2-instances-in-vpc](https://docs.aws.amazon.com/config/latest/developerguide/ec2-instances-in-vpc.html) | EC2 | 組態變更 | 報告 | CIS:CIS.11,CIS.12,CIS.9;NIST-CSF: DE.AE-1,PR.AC-3,PR.AC-5,PR.PT-4;HIPAA: 164.308(a)(3)(i),164.308(a)(3)(ii)(B),164.308(a)(4)(i),164.308(a)(4)(ii)(A),164.308(a)(4)(ii)(C),164.312(a)(1),164.312(e)(1);PCI:1.2,1.3,2.2.2 |
| [ams-nist-cis-internet-gateway-authorized-vpc-only](https://docs.aws.amazon.com/config/latest/developerguide/internet-gateway-authorized-vpc-only.html) | 網際網路閘道 | 定期 | 報告 | CIS:CIS.9,CIS.12;NIST-CSF:NA;HEAA:NA;PCI:NA; |
| [ams-nist-cis-kms-cmk-not-scheduled-for-deletion](https://docs.aws.amazon.com/config/latest/developerguide/kms-cmk-not-scheduled-for-deletion.html) | KMS | 定期 | 報告 | CIS:CIS.13,CIS.14;NIST-CSF:PR.DS-1;HEAA:NA;PCI:3.5,3.6; |
| [ams-nist-lambda-concurrency-check](https://docs.aws.amazon.com/config/latest/developerguide/lambda-concurrency-check.html) | Lambda | 組態變更 | 報告 | CIS:NA;NIST-CSF:NA;HIPAA:164.312(b);PCI:NA; |
| [ams-nist-lambda-dlq-check](https://docs.aws.amazon.com/config/latest/developerguide/lambda-dlq-check.html) | Lambda | 組態變更 | 報告 | CIS:NA;NIST-CSF:NA;HIPAA:164.312(b);PCI:NA; |
| [ams-nist-cis-lambda-function-public-access-prohibited](https://docs.aws.amazon.com/config/latest/developerguide/lambda-function-public-access-prohibited.html) | Lambda | 組態變更 | 報告 | CIS:CIS.12,CIS.9;NIST-CSF:PR.AC-3,PR.AC-4,PR.ACPR.DS-5,PR.PT-3,PR.PT-4;HIPAA:164.308(a)(3)(i),164.308(a)(4)(ii)(A),164.308(a)(4)(ii)(C),164.312(a)(1),164.312(e)(1);PCI:1.2,1.3,1.2.1,1.3.1,1.3.2.4,2.2; |
| [ams-nist-cis-lambda-inside-vpc](https://docs.aws.amazon.com/config/latest/developerguide/lambda-inside-vpc.html) | Lambda | 組態變更 | 報告 | CIS:CIS.12,CIS.9;NIST-CSF:PR.AC-3,PR.AC-4,PR.AC-5,PR.PT-3,PR.PT-4;HIPAA:164.308(a)(3)(i),164.308(a)(4)(ii)(A),164.308(a)(4)(ii)(C),164.312(a)(1),164.312(e)(1);PCI:1.2,1.3,1.2.1,1.3.1,1.3.3.2,1.3.4,2.2; |
| [ams-nist-cis-mfa-enabled-for-iam-console-access](https://docs.aws.amazon.com/config/latest/developerguide/mfa-enabled-for-iam-console-access.html) | IAM | 定期 | 報告 | CIS:CIS.16;NIST-CSF:PR.AC-7;HIPAA:164.312(d);PCI:2.2,8.3; |
| [ams-nist-cis-multi-region-cloudtrail-enabled](https://docs.aws.amazon.com/config/latest/developerguide/multi-region-cloudtrail-enabled.html) | CloudTrail | 定期 | 報告 | CIS:CIS.6;NIST-CSF:DE.AE-1,DE.AE-3,PR.DS-5,PR.MA-2,PR.PT-1;HIPAA:164.308(a)(3)(ii)(A),164.312(b);PCI:2.2,10.1,10.2.1、10.2.2、10.2.3、10.2.4、10.2.510.2.6、10.2.7、、10.3.1、10.3.2、10.3.3、10.3.4、10.3.510.3.6; |
| [ams-nist-rds-enhanced-monitoring-enabled](https://docs.aws.amazon.com/config/latest/developerguide/rds-enhanced-monitoring-enabled.html) | RDS | 組態變更 | 報告 | CIS:NA;NIST-CSF:PR.PT-1;HIPAA:164.312(b);PCI:NA; |
| [ams-nist-cis-rds-instance-public-access-check](https://docs.aws.amazon.com/config/latest/developerguide/rds-instance-public-access-check.html) | RDS | 組態變更 | 報告 | CIS:CIS.12,CIS.14,CIS.9;NIST-CSF:PR.AC-3,PR.AC-4,PR.AC-5,PR.DS-5,PR.PT-3,PR.PT-4;HIPAA:164.308(a)(3)(i),164.308(a)(4)(ii)(A),164.308(a)(4)(ii)(C),164.312(a)(1),164.312(e)(1);PCI:1.2,1.3,1.2.1,1.3.1,1.3.2,1.3.4,1.3.6,2.2; |
| [ams-nist-rds-multi-az-support](https://docs.aws.amazon.com/config/latest/developerguide/rds-multi-az-support.html) | RDS | 組態變更 | 報告 | CIS:NA;NIST-CSF:ID.BE-5,PR.DS-4,PR.PT-5,RC.RP-1;HIPAA:164.308(a)(7)(i),164.308(a)(7)(ii)(C);PCI:NA; |
| [ams-nist-cis-rds-snapshots-public-prohibited](https://docs.aws.amazon.com/config/latest/developerguide/rds-snapshots-public-prohibited.html) | RDS | 組態變更 | 報告 | CIS:CIS.12,CIS.14,CIS.9;NIST-CSF:PR.AC-3,PR.AC-4,PR.AC-5,PR.DS-5,PR.PT-3,PR.PT-4;HIPAA:164.308(a)(3)(i),164.308(a)(4)(ii)(A),164.308(a)(4)(ii)(C),164.312(a)(1),164.312(e)(1);PCI:1.2,1.3,1.2.1,1.3.1,1.3.2,1.3.4,1.3.6,2.2; |
| [ams-nist-cis-rds-storage-encrypted](https://docs.aws.amazon.com/config/latest/developerguide/rds-storage-encrypted.html) | RDS | 組態變更 | 報告 | CIS:CIS.13、CIS.5、CIS.6;NIST-CSF:DE.AE-1、DE.AE-3、PR.DS-1、PR.PT-1;HIPAA:164.312(a)(2)(iv)、164.312(b)、164.312(e)(2)(ii);PCI:3.4,10.1、10.2.1、10.2.310.2.2、、10.2.4、10.2.5、10.3.1、10.3.2、10.3.3、10.3.4、、10.3.5、、10.3.6、8.2.1; |
| [ams-nist-cis-redshift-cluster-configuration-check](https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-configuration-check.html) | RedShift | 組態變更 | 報告 | CIS:CIS.6,CIS.13,CIS.5;NIST-CSF:DE.AE-1,DE.AE-3,PR.DS-1,PR.PT-1;HIPAA:164.312(a)(2)(iv),164.312(b),164.312(e)(2)(ii);PCI:3.4,8.2.1,10.1,10.2.1、10.2.2、10.2.3、10.2.4、10.2.5、、10.3.1、10.3.3、10.3.2、10.3.410.3.5、10.3.6; |
| [ams-nist-cis-redshift-cluster-public-access-check](https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-public-access-check.html) | RedShift | 組態變更 | 報告 | CIS:CIS.12,CIS.14,CIS.9;NIST-CSF:PR.AC-3,PR.AC-4,PR.AC-5,PR.DS-5,PR.PT-3,PR.PT-4;HIPAA:164.308(a)(3)(i),164.308(a)(4)(ii)(A),164.308(a)(4)(ii)(C),164.312(a)(1),164.312(e)(1);PCI:1.2,1.3,1.2.1,1.3.1,1.3.2,1.3.4,1.3.6,2.2; |
| [ams-nist-cis-redshift-require-tls-ssl](https://docs.aws.amazon.com/config/latest/developerguide/redshift-require-tls-ssl.html) | RedShift | 定期 | 報告 | CIS:CIS.13,CIS.14;NIST-CSF:PR.DS-2;HIPAA:164.312(a)(2)(iv)、164.312(e)(1)、164.312(e)(2)(i)、164.312(e)(2)(ii);PCI:2.3,4.1; |
| [ams-nist-cis-root-account-hardware-mfa-enabled](https://docs.aws.amazon.com/config/latest/developerguide/root-account-hardware-mfa-enabled.html) | IAM | 定期 | 報告 | CIS:CIS.16,CIS.4;NIST-CSF:PR.AC-7;HIPAA:164.312(d);PCI:2.2,8.3; |
| [ams-nist-cis-root-account-mfa-enabled](https://docs.aws.amazon.com/config/latest/developerguide/root-account-mfa-enabled.html) | IAM | 定期 | 報告 | CIS:CIS.16,CIS.4;NIST-CSF:PR.AC-7;HIPAA:164.312(d);PCI:2.2,8.3; |
| [ams-nist-cis-s3-bucket-default-lock-enabled](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-default-lock-enabled.html) | S3 | 組態變更 | 報告 | CIS:CIS.14,CIS.13;NIST-CSF:ID.BE-5,PR.PT-5,RC.RP-1;HEAA:NA;PCI:NA; |
| [ams-nist-cis-s3-bucket-logging-enabled](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-logging-enabled.html) | S3 | 組態變更 | 報告 | CIS:CIS.6;NIST-CSF:DE.AE-1,DE.AE-3,PR.DS-5,PR.PT-1;HIPAA:164.308(a)(3)(ii)(A),164.312(b);PCI:2.2,10.1、10.2.1、10.2.2、10.2.3、10.2.4、10.2.5、10.2.7、10.3.110.3.2、10.3.3、10.3.4、、10.3.5、10.3.6; |
| [ams-nist-cis-s3-bucket-replication-enabled](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-replication-enabled.html) | S3 | 組態變更 | 報告 | CIS:CIS.10;NIST-CSF:ID.BE-5,PR.DS-4,PR.IP-4,PR.PT-5,RC.RP-1;HIPAA:164.308(a)(7)(i)、164.308(a)(7)(ii)(A)、164.308(a)(7)(ii)(B);PCI:2.2,10.5.3; |
| [ams-nist-cis-s3-bucket-ssl-requests-only](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-ssl-requests-only.html) | S3 | 組態變更 | 報告 | CIS:CIS.13,CIS.14;NIST-CSF:PR.DS-2;HIPAA:164.312(a)(2)(iv)、164.312(c)(2)、164.312(e)(1)、164.312(e)(2)(i)、164.312(e)(2)(ii);PCI:2.2,4.1,8.2.1; |
| [ams-nist-cis-s3-bucket-versioning-enabled](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-versioning-enabled.html) | S3 | 定期 | 報告 | CIS:CIS.10;NIST-CSF:ID.BE-5,PR.DS-4,PR.DS-6,PR.IP-4,PR.PT-5,RC.RP-1;HIPAA:164.308(a)(7)(i),164.308(a)(7)(ii)(A),164.308(a)(7)(ii)(B),164.312(c)(1),164.312(c)(2);PCI:10.5.3; |
| [ams-nist-cis-sagemaker-endpoint-configuration-kms-key-configured](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-endpoint-configuration-kms-key-configured.html) | SageMaker | 定期 | 報告 | CIS:CIS.13,CIS.14;NIST-CSF:PR.DS-1;HIPAA:164.312(a)(2)(iv)、164.312(e)(2)(ii);PCI:3.4,8.2.1; |
| [ams-nist-cis-sagemaker-notebook-instance-kms-key-configured](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-endpoint-configuration-kms-key-configured.html) | SageMaker | 定期 | 報告 | CIS:CIS.13,CIS.14;NIST-CSF:PR.DS-1;HIPAA:164.312(a)(2)(iv)、164.312(e)(2)(ii);PCI:3.4,8.2.1; |
| [ams-nist-cis-sagemaker-notebook-no-direct-internet-access](https://docs.aws.amazon.com/config/latest/developerguide/sagemaker-notebook-no-direct-internet-access.html) | SageMaker | 定期 | 報告 | CIS:CIS.12,CIS.9;NIST-CSF:PR.AC-3,PR.AC-4,PR.ACPR.DS-5,PR.PT-3,PR.PT-4;HIPAA:164.308(a)(3)(i),164.308(a)(4)(ii)(A),164.308(a)(4)(ii)(C),164.312(a)(1),164.312(e)(1);PCI:1.2,1.3,1.2.1,1.3.1,1.3.1,1.3.2,1.3.4,1.3.6,2.2; |
| [ams-nist-cis-secretsmanager-rotation-enabled-check](https://docs.aws.amazon.com/config/latest/developerguide/secretsmanager-rotation-enabled-check.html) | Secrets Manager | 組態變更 | 報告 | CIS:CIS.16;NIST-CSF:PR.AC-1;HIPAA:164.308(a)(4)(ii)(B);PCI:NA; |
| [ams-nist-cis-secretsmanager-scheduled-rotation-success-check](https://docs.aws.amazon.com/config/latest/developerguide/secretsmanager-scheduled-rotation-success-check.html) | Secrets Manager | 組態變更 | 報告 | CIS:CIS.16;NIST-CSF:PR.AC-1;HIPAA:164.308(a)(4)(ii)(B);PCI:NA; |
| [ams-nist-cis-sns-encrypted-kms](https://docs.aws.amazon.com/config/latest/developerguide/sns-encrypted-kms.html) | SNS | 組態變更 | 報告 | CIS:CIS.13、CIS.14;NIST-CSF:PR.DS-1;HIPAA:164.312(a)(2)(iv)、164.312(e)(2)(ii);PCI:8.2.1; |
| [ams-nist-cis-vpc-sg-open-only-to-authorized-ports](https://docs.aws.amazon.com/config/latest/developerguide/vpc-sg-open-only-to-authorized-ports.html) | VPC | 組態變更 | 報告 | CIS:CIS.11、CIS.12、CIS.9;NIST-CSF:DE.AE-1、PR.AC-3、PR.AC-5、PR.PT-4;HIPAA:164.312(e)(1);PCI:1.2、1.3、1.2.1、1.3.1、1.3.2、2.2.2; |
| [ams-nist-vpc-vpn-2-tunnels-up](https://docs.aws.amazon.com/config/latest/developerguide/vpc-vpn-2-tunnels-up.html) | VPC | 組態變更 | 報告 | CIS:NA;NIST-CSF:ID.BE-5,PR.DS-4,PR.PT-5,RC.RP-1;HIPAA:164.308(a)(7)(i);PCI:NA; |
| [ams-cis-ec2-ebs-encryption-by-default](https://docs.aws.amazon.com/config/latest/developerguide/ec2-ebs-encryption-by-default.html) | EC2 | 定期 | 報告 | CIS:CIS.13,CIS.14;NIST-CSF:PR.DS-1;HIPAA:164.312(a)(2)(iv)、164.312(e)(2)(ii);PCI:2.2,3.4,8.2.1; |
| [ams-cis-rds-snapshot-encrypted](https://docs.aws.amazon.com/config/latest/developerguide/rds-snapshot-encrypted.html) | RDS | 組態變更 | 報告 | CIS:CIS.13,CIS.14;NIST-CSF:PR.DS-1;HIPAA:164.312(a)(2)(iv)、164.312(e)(2)(ii);PCI:3.4,8.2.1; |
| [ams-cis-redshift-cluster-maintenancesettings-check](https://docs.aws.amazon.com/config/latest/developerguide/redshift-cluster-maintenancesettings-check.html) | RedShift | 組態變更 | 報告 | CIS:CIS.5;NIST-CSF:PR.DS-4,PR.IP-1,PR.IP-4;HIPAA:164.308(a)(5)(ii)(A),164.308(a)(7)(ii)(A);PCI:6.2; |
## 在 Accelerate 中回應違規
所有組態規則違規都會出現在您的組態報告中。這是通用回應。根據規則的*修復類別 *(嚴重性),AMS 可能會採取其他動作,摘要如下表所示。如需如何為特定規則自訂*動作程式碼*的詳細資訊,請參閱 [自訂問題清單回應](custom-findings-responses.md)。
**修復動作**
| 動作代碼 | AMS 動作 |
| --- |--- |
| Report | [新增至 Config 報告](#acc-sec-compliance-response-universal) |
| Incident | [新增至 Config 報告](#acc-sec-compliance-response-universal) [Accelerate 中的自動事件報告](#acc-sec-compliance-response-incident) |
| Remediate | [新增至 Config 報告](#acc-sec-compliance-response-universal) [Accelerate 中的自動事件報告](#acc-sec-compliance-response-incident) [Accelerate 中的自動修復](#acc-sec-compliance-response-autoremediate) |
**請求其他說明**
**注意**
AMS 可以為您修復任何違規,無論其修復類別為何。若要請求協助,請提交服務請求,並指出您希望 AMS 使用「作為 AMS 設定規則修復的一部分」等評論來修復哪些資源,請修復非投訴資源 *RESOURCE\$1ARNS\$1OR\$1IDs* 資源 ARNs/IDs>,在帳戶中設定規則 *CONFIG\$1RULE\$1NAME*,並新增必要的輸入來修復違規。
AMS Accelerate 具有 AWS Systems Manager 自動化文件和 Runbook 的程式庫,可協助修復不合規的資源。
### 新增至 Config 報告
AMS 會產生 Config 報告,追蹤您帳戶中所有規則和資源的合規狀態。您可以從 CSDM 請求報告。您也可以從 AWS Config 主控台、 AWS CLI 或 AWS Config API 檢閱合規狀態。您的 Config 報告包括:
+ 在您的環境中發現潛在威脅和設定錯誤的首要不合規資源
+ 一段時間內資源和組態規則的合規
+ 設定規則描述、規則嚴重性,以及修正不合規資源的建議修補步驟
當任何資源進入不合規狀態時,資源狀態 (和規則狀態) 會在您的 Config 報告中變成**不合規**。如果規則屬於 **Config Report Only** 修復類別,根據預設,AMS 不會採取進一步動作。您可以隨時建立服務請求,向 AMS 請求其他協助或修復。
如需詳細資訊,請參閱[AWS 組態報告](https://docs.aws.amazon.com/managedservices/latest/accelerate-guide/on-request-reporting.html#acc-report-config-control-compliance)。
### Accelerate 中的自動事件報告
對於中度嚴重的規則違規,AMS 會自動建立事件報告,通知您資源已進入不合規狀態,並詢問您要執行的動作。在回應事件時,您有下列選項:
+ 請求 AMS 修復事件中列出的不合規資源。然後,我們會嘗試修復不合規的資源,並在解決基礎事件後通知您。
+ 您可以在 主控台或透過自動化部署系統 (例如 CI/CD 管道範本更新) 手動解決不合規項目;然後,您可以解決事件。不合規資源會根據規則的排程重新評估,如果資源評估為不合規,則會建立新的事件報告。
+ 您可以選擇不解析不合規資源,只解析事件。如果您稍後更新資源的組態, AWS Config 會觸發重新評估,並再次提醒您評估該資源的不合規情況。
### Accelerate 中的自動修復
最關鍵的規則屬於 **Auto Remediate** 類別。不遵守這些規則可能會嚴重影響帳戶的安全性和可用性。當資源違反下列其中一個規則時:
1. AMS 會自動透過事件報告通知您。
1. AMS 使用我們的自動化 SSM 文件開始自動化修復。
1. AMS 會在自動修復成功或失敗時更新事件報告。
1. 如果自動修復失敗,AMS 工程師會調查問題。
## 在 Accelerate 中建立規則例外狀況
AWS Config 規則 資源例外狀況功能可讓您針對特定規則禁止報告特定、不合規的資源。
**注意**
豁免的資源仍會在您的 Config Service AWS 主控台中顯示為**不合規**。豁免的資源會在 Config 報告 (resource\$1exception:True) 中出現特殊旗標。產生報告時,您的 CSDMs 可以根據該資料欄篩選掉這些資源。
如果您有已知不合規的資源,您可以在其組態報告中消除特定組態規則的特定資源。若要執行此作業:
提交服務請求以針對您的帳戶加速,其中包含要從報告中排除的組態規則和資源清單。您必須提供明確的業務理由 (例如,不需要報告未備份 *resource\$1name\$11* 和 *resource\$1name\$12*,因為我們不希望備份它們)。如需提交 Accelerate 服務請求的說明,請參閱 [在 Accelerate 中建立服務請求](creating-a-sr.md)。
將下列輸入 (針對每個資源新增包含所有必要欄位的個別區塊,如下所示) 貼到請求中,然後提交:
```
[
{
"resource_name": "resource_name_1",
"config_rule_name": "config_rule_name_1",
"business_justification": "REASON_TO_EXEMPT_RESOURCE",
"resource_type": "resource_type"
},
{
"resource_name": "resource_name_2",
"config_rule_name": "config_rule_name_2",
"business_justification": "REASON_TO_EXEMPT_RESOURCE",
"resource_type": "resource_type"
}
]
```
## 降低 Accelerate 中的 AWS Config 成本
您可以使用 選項定期記錄`AWS::EC2::Instance`資源類型,以減少 AWS Config 成本。定期記錄會每 24 小時擷取一次資源的最新組態變更,減少交付的變更數量。啟用時, AWS Config 只會在 24 小時期間結束時記錄資源的最新組態。這可讓您根據特定營運規劃、合規和稽核使用案例量身打造組態資料,而不需要持續監控。只有在您有依賴暫時性架構的應用程式時,才建議進行此變更,這表示您持續擴展或縮減執行個體的數量。
若要選擇加入`AWS::EC2::Instance`資源類型的定期記錄,請聯絡您的 AMS 交付團隊。
# 自訂問題清單回應
您可以選擇您希望 AMS Accelerate 如何回應某些問題清單 (不合規的 Config 規則)。您可以設定 AMS 來回應問題清單,方法是修復問題清單、請求您的核准進行修復,或在下一次的每月商業審查 (MBR) 中向您報告。您可以變更 AMS Accelerate Config 規則的預設回應。若要查看規則,請前往[組態合規 > 規則表](https://docs.aws.amazon.com/managedservices/latest/accelerate-guide/acc-sec-compliance.html),或將規則表下載為 ZIP 檔案 [ams\$1config\$1rules.zip](samples/ams_config_rules.zip)。
變更預設回應可讓您修復更多問題清單,以協助您提高帳戶的安全性和合規狀態。當您修復更多問題清單時,需要等待手動檢閱和核准的案例較少。廣泛的 AMS 修復 Runbook 程式庫會持續修正不合規的資源,而且只會在需要時與您聯絡。
自訂回應只會與新資源或具有新事件的現有資源搭配使用。例如,在變更後變成不合規的資源。這是因為較舊的資源在修復之前往往需要更深入的檢查,並且更容易在建立或變更資源修復時強制執行資源修復。若要隨時請求修復任何資源的問題清單,請提交服務請求。
## 請求變更預設回應
雲端架構師 (CAs) 會在加入期間與您合作,以收集您的偏好設定。CAs 接著會在內部 AMS 系統上設定初始組態。加入後,建立服務請求以請求更新組態。您可以視需要請求任意次數的組態更新。請注意,操作只會更新建立服務請求之帳戶的組態。如果您需要同時更新多個帳戶,請聯絡您的 Cloud Architect。您的 CA 會要求您使用偏好設定來剪下服務請求,以供稽核之用。
## 變更問題清單和帳戶的預設回應
您一律需要每個帳戶和調查結果的回應偏好設定。AMS 提供預設回應 (請參閱[組態合規](https://docs.aws.amazon.com/managedservices/latest/accelerate-guide/acc-sec-compliance.html)),因此此組態是選用的。您可以將每個問題清單的預設回應變更為下列選項:
+ 修復:AMS 手動或自動修復問題清單。AMS 會檢閱修復,並讓您知道是否失敗。
+ 請求核准:AMS 會建立傳出案例,以通知您調查結果。當您想要在核准或排除問題清單之前檢閱問題清單時,請使用此選項。AMS 接著會執行您偏好的動作。
+ 無動作 (僅限報告):AMS 不採取任何動作來修復或呈報問題清單。問題清單可能仍然會出現在主控台上,以及在 MBRs期間呈現的報告。
**注意**
您無法變更 AMS 必須修復的規則組態。例如,啟用 Amazon GuardDuty 和 VPC 流程日誌。
## 依資源變更預設回應
您可以使用標籤進一步設定對特定資源的回應。您可以使用預先存在的標籤,或使用 Resource Tagger 標記資源。如需詳細資訊,請參閱 [加速資源交錯](acc-resource-tagger.md))。具有標籤的資源組態優先於問題清單的預設動作。當資源具有多個具有不同關聯組態的標籤時,AMS 無法執行自訂修復。反之,AMS 會傳送傳出服務請求給您,通知您此情況。例如,對於 [s3-bucket-server-side-encryption-enabled](https://docs.aws.amazon.com/config/latest/developerguide/s3-bucket-server-side-encryption-enabled.html) 調查結果,您可以:
+ 使用標籤鍵值對 "Regulated: True" 將回應變更為 'remediate' unencrypted S3 儲存貯體
+ 當未加密的 S3 儲存貯體具有 "Regulated: False" 標籤時,將回應變更為「no action」,以及
+ 將未加密 S3 儲存貯體的預設回應變更為「請求核准」。這適用於所有沒有「管制:True」或「管制:False」標籤的 S3 儲存貯體
您也可以新增執行自訂問題清單回應所需的輸入。例如,對於需要加密金鑰的修復,您可以將金鑰 IDs提供給 AMS。您可以變更修復 Runbook 的輸入參數,但 AMS 不支援與自訂 Runbook 整合。如需 Config 報告中 AMS 修復 Runbook 的說明,請參閱 [AWS Config 控制合規報告](acc-report-config-control-compliance.md)。
# Accelerate 中的事件回應
收到提醒時,AMS 團隊會使用自動化和手動修補,將資源恢復為正常運作狀態。如果修復失敗,AMS 會啟動事件管理程序,以與您的團隊協作。您可以透過更新組態檔案中的預設組態來變更基準。
## AMS Accelerate 中的事件回應和加入
在加入期間,AMS Accelerate 會隱藏現有不合規資源的自動事件建立;反之,您的 Cloud Service Deliver Manager (CSDM) 會提供一份報告,其中包含所有不合規規則和資源供您檢閱。在您識別您希望 AMS 修復的規則之後,請在 支援 中心主控台中建立服務請求,指出這些規則和資源。下列服務請求範本是客戶向 AMS 請求以手動修復不合規資源的範例。如果 AMS 有其他問題,我們會在服務請求中與您合作,以收集所需的資訊。
```
Hello,
Please remediate the following resources for the Config Rule "ENCRYPTED_VOLUMES".
Resource List:
"Vol-12345678"
"Vol-87654312"
Thank you
```
加入程序完成後,AMS Accelerate 會自動為標示為自動事件之規則的每個不合規資源建立事件。
# Accelerate 中的彈性
AWS 全球基礎設施是以 AWS 區域 和 可用區域為基礎建置。 AWS 區域 提供多個實體隔離和隔離的可用區域,這些區域與低延遲、高輸送量和高度備援的聯網連接。透過可用區域,您可以設計和操作在區域之間自動容錯移轉的應用程式和資料庫,而不會中斷。相較於傳統的單一或多個資料中心基礎設施,可用區域具有更高的可用性、容錯能力和可擴展性。
如需 AWS 區域 和可用區域的詳細資訊,請參閱 [AWS 全球基礎設施](https://aws.amazon.com/about-aws/global-infrastructure)。
如需 AMS Accelerate 持續性管理的資訊,請參閱 [AMS Accelerate 中的持續性管理](acc-backup.md)。
# end-of-support作業系統的安全控制
在作業系統製造商「end-of-support」或 EOS 一般支援期間之外且未收到安全更新的作業系統,會有更高的安全風險。
AWS 提供一些 服務,以協助處理end-of-support作業系統。如需 Windows end-of-support的相關資訊,請參閱 [ Windows Server End-of-Support遷移計劃](https://aws.amazon.com/emp-windows-server/)。
**注意**
如需本主題的其他資訊,請參閱 AWS Artifact 報告。如需詳細資訊,請參閱[在 AWS Artifact 中下載報告](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html)。若要存取 AWS Artifact,您可以聯絡 CSDM 以取得指示,或前往 [AWS Artifact 入門](https://aws.amazon.com/artifact/getting-started)。此資訊不包含在本使用者指南中,因為它包含敏感的安全內容。
# Accelerate 中的安全最佳實務
AMS Accelerate 使用一致性套件,提供一般用途的合規架構,可讓您使用受管或自訂 AWS Config 規則 和 AWS Config 修補動作來建立安全、營運或成本最佳化控管檢查。如需如何最佳設定這些一致性套件的資訊,請參閱 NIST CSF AWS Config的操作最佳實務和 [CIS 前 20 名的操作最佳實務](https://docs.aws.amazon.com/config/latest/developerguide/operational-best-practices-for-cis_top_20.html)。 [https://docs.aws.amazon.com/config/latest/developerguide/operational-best-practices-for-nist-csf.html](https://docs.aws.amazon.com/config/latest/developerguide/operational-best-practices-for-nist-csf.html)
# 變更請求安全性審查
AWS Managed Services 變更請求審核程序可確保 AMS 在代表您在帳戶中實作請求的變更時,對請求的變更執行安全審核。
[AMS Accelerate 技術標準](acc-sec-technical-standards.md) 定義最低安全標準、組態和程序,以建立帳戶的基準安全性。當 AMS 實作請求的變更時,我們會遵循這些標準。
AMS 會根據 AMS 技術標準評估所有變更請求。任何可能因為偏離技術標準而降低您帳戶安全性狀態的變更都會經過安全性審查程序。在此過程中,AMS 會反白顯示相關風險,並由您授權的風險核准者審查和核准,以平衡安全和業務需求。
# 客戶安全風險管理程序
AMS Accelerate Customer Security Risk Management (CSRM) 程序有助於清楚地識別風險,並向正確的擁有者傳達風險。此程序可將您環境中的安全風險降至最低,並減少已識別風險的持續營運開銷。
根據預設,當組織的人員請求 AMS 對您的受管環境實作變更時,AMS 會檢閱變更,以判斷請求是否超出技術標準,這可能會改變您帳戶的安全狀態。如果安全風險很高或非常高,則您的授權安全人員會接受或拒絕變更審查。也會評估請求的變更,是否對 AMS 操作帳戶的能力造成負面影響。如果審查發現可能的負面影響,則需要在 AMS 內進行額外的審查和核准。
對於高風險或極高風險,您可以在 CSRM 程序中選擇退出核准型工作流程。若要將特定帳戶的 CSRM 選項從**標準 CSRM** 變更為**僅限通知**,請與您的 Cloud Service Delivery Manager 合作,建立一次性風險接受。如果您選擇繼續**僅通知**選項,則無論風險類別為何,AMS 都會實作請求的變更。此外,AMS 會向您的授權風險核准者傳送風險通知,而不是在變更實作之前尋求核准。如需 AMS CSRM 程序、如何在加入新的 AMS 帳戶時變更預設 CSRM 選項,或如何更新現有帳戶的詳細資訊,請洽詢您的 Cloud Architects 或 Cloud Service Delivery Manager。
**注意**
AMS 強烈建議您在所有帳戶中使用**標準 CSRM** 的預設選項。
# AMS Accelerate 技術標準
以下是加速技術標準類別:
| ID | 類別 |
| --- | --- |
| AMS-STD-X002 | AWS Identity and Access Management |
| AMS-STD-X003 | 網路安全 |
| AMS-STD-X004 | 滲透測試 |
| AMS-STD-X005 | Amazon GuardDuty |
| AMS-STD-X007 | 日誌 |
# AMS Accelerate 中的標準控制項
以下是 AMS 中的標準控制項:
## AMS-STD-X002 - AWS Identity and Access Management (IAM)
| ID | 技術標準 |
| --- | --- |
| 1.0 | 逾時持續時間 |
| 1.1 | 聯合身分使用者預設逾時工作階段為一小時,最多可增加四個小時。 |
| 1.2 | Microsoft Windows Server 的 RDP 工作階段逾時設定為 15 分鐘,可根據使用案例進行擴展。 |
| 2.0 | AWS 根帳戶用量 |
| 2.1 | 如果根帳戶因任何原因使用,Amazon GuardDuty 必須設定為產生相關調查結果。 |
| 2.2 | 不得建立根帳戶的存取金鑰。 |
| 3.0 | 使用者建立和修改 |
| 3.1 | 可以建立具有程式設計存取和唯讀許可的 IAM 使用者/角色,而不需要任何時間限制政策。不過,不允許許可讀取帳戶中所有 Amazon Simple Storage Service 儲存貯體中的物件 (例如 S3:GetObject)。 |
| 3.1.1 | 用於主控台存取和具有唯讀許可的 IAM 人類使用者可以使用時間限制政策 (最多 180 天) 建立,而removal/renewal/extension時間限制政策將導致風險通知。不過,不允許讀取帳戶中所有 S3 儲存貯體中物件 (例如 S3:GetObject) 的許可。 S3 |
| 3.2 | 在沒有接受風險的情況下,不得在客戶帳戶中建立具有任何基礎設施變更許可 (寫入和許可管理) 的主控台和程式設計存取的 IAM 使用者和角色。S3 物件層級寫入許可存在例外狀況,只要特定儲存貯體位於非 AMS 相關標籤的範圍和標記操作中,這些許可就可以接受風險。 |
| 3.3 | 在 Microsoft Windows Server 上,僅必須建立 Microsoft 群組受管服務帳戶 (gMSA)。 |
| 4.0 | 政策、動作和 APIs |
| 4.4 | 政策不得以等同於「效果」:「允許」搭配「動作」:「\$1」而非「資源」:「\$1」的陳述式提供管理員存取權,而不接受風險。 |
| 4.6 | 客戶 IAM 政策中不得針對 AMS 基礎設施金鑰對 KMS 金鑰政策進行 API 呼叫。 |
| 4.8 | 不允許對 Amazon Route 53 中的 AMS 基礎設施 DNS 記錄進行變更的動作。 |
| 4.9 | 具有遵循到期程序後建立主控台存取權的 IAM 人類使用者,除了信任政策、擔任角色和時間有限的政策之外,不得直接連接任何政策。 |
| 4.10 | 您可以在相同帳戶中建立具有特定秘密或命名空間讀取存取權 AWS Secrets Manager 的 Amazon EC2 執行個體設定檔。 |
| 4.12 | IAM 政策不得包含任何動作,其中包括在任何 AMS Amazon CloudWatch 日誌群組上允許 log:DeleteLogGroup 和 logs:DeleteLogStream 的動作。 |
| 4.13 | 不允許建立多區域金鑰的許可。 |
| 4.14 | 透過使用服務特定 S3 條件金鑰 s3:ResourceAccount 指定帳戶號碼,即可限制對客戶帳戶存取儲存貯體,藉此提供尚未在客戶帳戶中建立的 S3 儲存貯體 ARN 存取權。 |
| 4.15.1 | 您可以檢視、建立、列出和刪除對 S3 儲存鏡頭自訂儀表板的存取權。 |
| 4.16 | 可以將 SQL Workbench 相關的完整許可授予角色/使用者,以便在 Amazon Redshift 資料庫上運作。 |
| 4.17 | 可將任何 AWS CloudShell 許可授予客戶角色,做為 CLI 的替代方案。 |
| 4.18 | AWS 服務為信任委託人的 IAM 角色也需要符合 IAM 技術標準。 |
| 4.19 | 服務連結角色 (SLRs) 不受 AMS IAM 技術標準的約束,因為它們是由 IAM 服務團隊建置和維護。 |
| 4.20 | IAM 政策不應允許讀取帳戶中所有 S3 儲存貯體中的物件 (例如 S3:GetObject)。 S3 |
| 4.21 | 資源類型「savingsplan」的所有 IAM 許可都可以授予客戶。 |
| 4.22 | AMS 工程師不得在 Amazon S3、Amazon Relational Database Service、Amazon DynamoDB 等任何資料儲存服務中,或在作業系統檔案系統中手動複製或移動客戶資料 (檔案、S3 物件、資料庫等)。 Amazon S3 |
| 6.0 | 跨帳戶政策 |
| 6.1 | 您可以根據客戶記錄設定屬於相同客戶的 AMS 帳戶之間的 IAM 角色信任政策。 |
| 6.2 | 只有在非 AMS 帳戶由相同 AMS 客戶擁有時 (透過確認其位於相同 AWS Organizations 帳戶下,或將電子郵件網域與客戶的公司名稱相符),才能設定 AMS 和非 AMS 帳戶之間的 IAM 角色信任政策。 |
| 6.3 | 未經風險接受,不得設定 AMS 帳戶與第三方帳戶之間的 IAM 角色信任政策。 |
| 6.4 | 您可以設定跨帳戶政策,在相同客戶的 AMS 帳戶之間存取任何客戶管理的 CMKs。 |
| 6.5 | 您可以設定跨帳戶政策,以透過 AMS 帳戶存取非 AMS 帳戶中的任何 KMS 金鑰。 |
| 6.6 | 在未接受風險的情況下,不允許跨帳戶政策存取第三方帳戶在 AMS 帳戶中的任何 KMS 金鑰。 |
| 6.6.1 | 只有在非 AMS 帳戶由相同 AMS 客戶擁有時,才能設定跨帳戶政策以存取 AMS 帳戶內的任何 KMS 金鑰。 |
| 6.7 | 您可以設定跨帳戶政策,在相同客戶的 AMS 帳戶之間存取可存放資料的任何 S3 儲存貯體資料或資源 (例如 Amazon RDS、Amazon DynamoDB 或 Amazon Redshift)。 |
| 6.8 | 可從具有唯讀存取權的 AMS 帳戶存取任何 S3 儲存貯體資料或資源的跨帳戶政策,其中的資料可存放在非 AMS 帳戶中 (例如 Amazon RDS、Amazon DynamoDB 或 Amazon Redshift)。 |
| 6.9 | 存取任何 S3 儲存貯體資料或資源的跨帳戶政策 (例如 Amazon RDS、Amazon DynamoDB 或 Amazon Redshift),其具有從 AMS 到非 AMS 帳戶 (或非 AMS 到 AMS 帳戶) 的寫入許可,只有在非 AMS 帳戶為相同 AMS 客戶所擁有 (透過確認其位於相同 AWS Organizations 帳戶或將電子郵件網域與客戶的公司名稱相符) 時,才必須設定。 |
| 6.10 | 跨帳戶政策,可從具有唯讀存取權的 AMS 帳戶存取任何 S3 儲存貯體資料或可存放資料的資源 (例如 Amazon RDS、Amazon DynamoDB 或 Amazon Redshift)。 |
| 6.11 | 從具有寫入存取權的 AMS 帳戶存取任何 S3 儲存貯體資料或資源 (例如 Amazon RDS、Amazon DynamoDB 或 Amazon Redshift) 的跨帳戶政策不得設定。 |
| 6.12 | 在未接受風險的情況下,不得設定來自第三方帳戶的跨帳戶政策來存取可存放資料的 AMS 客戶 S3 儲存貯體或資源 (asAmazon RDS、Amazon DynamoDB 或 Amazon Redshift)。 |
| 7.0 | User Groups (使用者群組) |
| 7.1 | 允許具有唯讀和非變動許可的 IAM 群組。 |
| 8.0 | 以資源為基礎的政策 |
| 8.4 | AMS 基礎設施資源應透過附加以資源為基礎的政策,不受未經授權的身分管理。 |
| 8.2 | 除非客戶明確指定不同的政策,否則應使用最低權限的資源型政策來設定客戶資源。 |
## AMS-STD-X003 - 網路安全
以下是 X003 - 網路安全的標準控制項:
| ID | 技術標準 |
| --- | --- |
| | 聯網 |
| 1.0 | 預留供未來控制 |
| 2.0 | 允許 EC2 執行個體上的彈性 IP |
| 3.0 | 必須使用 AMS 控制平面和資料平面 TLS 1.2\$1 中的延伸。 |
| 5.0 | 如果根據 9.0 未連接到負載平衡器,則安全群組在傳入規則中不得具有 0.0.0.0/0 的來源 |
| 6.0 | 未經風險接受,不得公開 S3 儲存貯體或物件。 |
| 7.0 | 連接埠 SSH/22 或 SSH/2222 (非 SFTP/2222)、TELNET/23、RDP/3389、WinRM/5985-5986、VNC/ 5900-5901 TS/CITRIX/1494 或 1604、LDAP/389 或 636 和 RPC/135、NETBIOS/137-139 上的伺服器管理存取權不得透過安全群組從 VPC 外部進行。 |
| 8.0 | 連接埠 (MySQL/3306、PostgreSQL/5432、Oracle/1521、MSSQL/1433) 或自訂連接埠上的資料庫管理存取權,不得允許來自未透過 DX、VPC 對等或 VPN 透過安全群組路由至 VPC 的公IPs。 |
| 8.1 | 任何可存放客戶資料的資源都不應直接公開至公有網際網路。 |
| 9.0 | 透過連接埠 HTTP/80、HTTPS/8443 和 HTTPS/443 從網際網路存取的直接應用程式僅允許載入平衡器,但不允許直接存取任何運算資源,例如 EC2 執行個體、ECS/EKS/Fargate 容器等。 |
| 10.0 | 允許從客戶私有 IP 範圍透過連接埠 HTTP/80 和 HTTPS/443 存取應用程式。 |
| 11.0 | 未經風險接受,不得允許對控制 AMS 基礎設施存取的安全群組進行任何變更。 |
| 12.0 | 每次請求將安全群組連接到執行個體時,AMS Security 都會參考標準。 |
| 14.0 | 只有在相同 AMS 客戶擁有非 AMS 帳戶時 (透過確認它們位於相同的 AWS Organization 帳戶下,或將電子郵件網域與客戶的公司名稱相符),才能使用內部工具,設定私有託管區域與 VPCs 從 AMS 到非 AMS 帳戶 (或非 AMS 到 AMS 帳戶) 的跨帳戶關聯。 |
| 15.0 | 您可以允許屬於相同客戶之帳戶之間的 VPC 對等互連。 |
| 16.0 | AMS 基礎 AMIs 可以使用內部工具與非 AMS 帳戶共用,只要這兩個帳戶都由相同客戶擁有 (透過確認他們位於相同 AWS Organizations 帳戶下,或將電子郵件網域與客戶的公司名稱相符)。 |
| 17.0 | 未經風險接受,不得在任何安全群組中設定 FTP 連接埠 21。 |
| 18.0 | 只要客戶擁有所有帳戶,就可以透過傳輸閘道進行跨帳戶網路連線。 |
| 19.0 | 不允許將私有子網路設為公有 |
| 20.0 | 不允許與第三方帳戶 (非客戶擁有) 建立 VPC 互連連線。 |
| 21.0 | 不允許透過第三方帳戶 (非客戶擁有) 連接 Transit Gateway。 |
| 22.0 | AMS 為客戶提供服務所需的任何網路流量,不得在客戶網路輸出點遭到封鎖。 |
| 23.0 | 從客戶基礎設施向 Amazon EC2 發出的傳入 ICMP 請求將需要風險通知。 |
| 24.0 | 允許透過 DX、VPC 對等或 VPN 透過安全群組路由至 Amazon VPC 的公IPs 傳入請求。 |
| 25.0 | 未透過 DX、VPC 對等或 VPN 透過安全群組路由至 Amazon VPC 的公IPs 傳入請求需要接受風險。 |
| 26.0 | 允許從 Amazon EC2 到任何目的地的傳出 ICMP 請求。 |
| 27.0 | 安全群組共用 |
| 27.1 | 如果安全群組符合此安全標準,則可以在相同帳戶中VPCs 和相同組織中的 帳戶之間共用。 |
| 27.2 | 如果安全群組不符合此標準,且此安全群組先前需要接受風險,則不允許在相同帳戶中的 VPCs 之間或相同組織中的 帳戶之間使用安全群組共用功能,而不接受該 VPC 或帳戶的新帳戶的風險。 |
## AMS-STD-X004 - 滲透測試
以下是 X004 - 滲透測試的標準控制項
1. AMS 不支援 pentest 基礎設施。這是客戶的責任。例如,Kali 不是 Linux 的 AMS 支援發行版本。
1. 客戶需要遵守[滲透測試](https://aws.amazon.com/security/penetration-testing/)。
1. 如果客戶想要在帳戶中執行基礎設施滲透測試,AMS 會提前 24 小時預先通知。
1. AMS 會根據客戶在變更請求或服務請求中明確陳述的客戶需求,佈建客戶滲透基礎設施。
1. 客戶滲透基礎設施的身分管理是客戶的責任。
## AMS-STD-X005 - GuardDuty
以下是 X005 - GuardDuty 的標準控制項
1. GuardDuty 必須隨時在所有客戶帳戶中啟用。
1. GuardDuty 提醒必須存放在相同帳戶或相同組織下的任何其他受管帳戶中。
1. 不得使用 GuardDuty 的信任 IP 清單功能。反之,自動封存可以用作替代方案,這適用於稽核目的。
## AMS-STD-X007 - 記錄
以下是 X007 - 記錄的標準控制項
| ID | 技術標準 |
| --- | --- |
| 1.0 | 日誌類型 |
| 1.1 | 作業系統日誌:所有主機必須至少記錄主機身分驗證事件、所有使用提升權限的存取事件,以及所有存取和權限組態變更的存取事件,包括成功和失敗。 |
| 1.2 | AWS CloudTrail:必須啟用並設定 CloudTrail 管理事件記錄,才能將日誌交付至 S3 儲存貯體。 |
| 1.3 | VPC 流程日誌:所有網路流量日誌都必須透過 VPC 流程日誌記錄。 |
| 1.4 | Amazon S3 伺服器存取記錄:存放日誌的 AMS 強制 S3 儲存貯體必須啟用伺服器存取記錄。 |
| 1.5 | AWS Config 快照: AWS Config 必須記錄所有區域中所有支援資源的組態變更,並每天至少將組態快照檔案交付至 S3 儲存貯體一次。 |
| 1.7 | 應用程式日誌:客戶有權在其應用程式中啟用記錄,並存放在 CloudWatch Logs 日誌群組或 S3 儲存貯體中。 |
| 1.8 | S3 物件層級記錄:客戶有權在其 S3 儲存貯體中啟用物件層級記錄。 |
| 1.9 | 服務記錄:客戶有權啟用和轉送 SSPS 服務的日誌,例如任何核心服務。 |
| 1.10 | Elastic Load Balancing(Classic/Application Load Balancer/Network Load Balancer) 日誌:存取和錯誤日誌項目必須存放在 AMS 2.0 受管 S3 儲存貯體中。 |
| 2.0 | 存取控制 |
| 2.3 | 存放日誌的 AMS 授權 S3 儲存貯體不得允許第三方將使用者視為儲存貯體政策中的原則。 |
| 2.4 | 未經客戶授權的安全聯絡人明確核准,不得刪除來自 CloudWatch Logs 日誌群組的日誌。 |
| 3.0 | 日誌保留 |
| 3.1 | AMS 指定的 CloudWatch Logs 日誌群組在日誌上必須至少保留 90 天。 |
| 3.2 | 存放日誌的 AMS 授權 S3 儲存貯體在日誌上必須至少保留 18 個月。 |
| 3.3 | AWS Backup 快照應可在支援的 資源上至少保留 31 天。 |
| 4.0 | 加密 |
| 4.1 | 必須在存放日誌的 AMS 團隊所需的所有 S3 儲存貯體中啟用加密。 |
| 4.2 | 任何從客戶帳戶轉送到任何其他帳戶的日誌都必須加密。 |
| 5.0 | 完整性 |
| 5.1 | 必須啟用日誌檔案完整性機制。這表示在 AMS 團隊所需的 AWS CloudTrail 線索中設定「記錄檔案驗證」。 |
| 6.0 | 日誌轉送 |
| 6.1 | 任何日誌都可以從一個 AMS 帳戶轉送到相同客戶的另一個 AMS 帳戶。 |
| 6.2 | 只有在相同 AMS 客戶擁有非 AMS 帳戶時 (透過確認他們位於相同 AWS Organizations 帳戶下,或將電子郵件網域與客戶的公司名稱和 PAYER 連結帳戶相符),才能使用內部工具,從 AMS 轉送任何日誌到非 AMS 帳戶。 |
# 在您的環境中帶來高或極高安全風險的變更
下列變更會在您的環境中帶來高或非常高的安全風險:
**AWS Identity and Access Management**
+ High\$1Risk-IAM-001:建立根帳戶的存取金鑰
+ High\$1Risk-IAM-002:修改 SCP 政策以允許其他存取
+ High\$1Risk-IAM-003:修改 SCP 政策可能會破壞 AMS 基礎設施
+ High\$1Risk-IAM-004:在客戶帳戶中建立具有基礎設施變動許可 (寫入、許可管理或標記) 的角色/使用者
+ High\$1Risk-IAM-005:IAM 角色信任 AMS 帳戶與第三方帳戶之間的政策 (非客戶所擁有)
+ High\$1Risk-IAM-006:跨帳戶政策,透過第三方帳戶從 AMS 帳戶存取任何 KMS 金鑰)
+ High\$1Risk-IAM-007:來自第三方帳戶的跨帳戶政策,用於存取可存放資料的 AMS 客戶 S3 儲存貯體或資源 (例如 Amazon RDS、Amazon DynamoDB 或 Amazon Redshift)
+ High\$1Risk-IAM-008:指派具有客戶帳戶中任何基礎設施變動許可的 IAM 許可
+ High\$1Risk-IAM-009:允許列出和讀取帳戶中的所有 S3 儲存貯體
**網路安全**
+ High\$1Risk-NET-001:從網際網路開啟作業系統管理連接埠 SSH/22 或 SSH/2222 (非 SFTP/2222)、TELNET/23、RDP/3389、WinRM/5985-5986、VNC/5900-5901 TS/CITRIX/1494 或 1604、LDAP/389 或 636 和 NETBIOS/137-139
+ High\$1Risk-NET-002:從網際網路開啟資料庫管理連接埠 MySQL/3306、PostgreSQL/5432、Oracle/1521、MSSQL/1433 或任何管理客戶連接埠
+ High\$1Risk-NET-003:直接在任何運算資源上開啟應用程式連接埠 HTTP/80、HTTPS/8443 和 HTTPS/443。例如,EC2 執行個體、ECS/EKS/Fargate 容器等來自網際網路
+ High\$1Risk-NET-004:安全群組的任何變更,可控制對 AMS 基礎設施的存取
+ High\$1Risk-NET-006:VPC 與第三方帳戶互連 (非客戶擁有)
+ High\$1Risk-NET-007:新增客戶防火牆作為所有 AMS 流量的輸出點
+ High\$1Risk-NET-008:不允許與第三方帳戶連接 Transit Gateway
+ High\$1Risk-S3-001:在 S3 儲存貯體中佈建或啟用公開存取
**日誌**
+ High\$1Risk-LOG-001:停用 CloudTrail。
+ High\$1Risk-LOG-002:停用 VPC 流程日誌。
+ High\$1Risk-LOG-003:透過任何方法 (S3 事件通知、SIEM 代理程式提取、SIEM 代理程式推送等) 將日誌從 AMS 受管帳戶轉送至第三方帳戶 (非客戶擁有)
+ High\$1Risk-LOG-004:針對 CloudTrail 使用非 AMS 追蹤
**Miscellaneous (其他)**
+ High\$1Risk-ENC-001:啟用任何資源時停用加密
# 安全性常見問答集
AMS 透過全球營運中心提供全年無休follow-the-sun支援。專用 AMS 操作工程師會主動監控儀表板和事件佇列。AMS 通常會透過自動化管理您的帳戶。在極少數需要特定故障診斷或部署專業知識的情況下,AMS 操作工程師可能會存取 AWS 您的帳戶。
以下是有關 AMS Accelerate 在 AMS 操作工程師或自動化存取您的帳戶時所使用的安全最佳實務、控制項、存取模型和稽核機制的常見問題。
## AMS 操作工程師何時存取我的環境?
AMS 操作工程師無法持續存取您的帳戶或執行個體。只有在合理的商業使用案例中,例如提醒、事件、變更請求等,才能授予 AMS 營運商存取客戶帳戶的權限。存取會記錄在 AWS CloudTrail 日誌中。
如需存取理由、觸發和觸發啟動器的詳細資訊,請參閱 [AMS 客戶帳戶存取觸發條件](access-justification.md#access-mgmt-triggers)。
## AMS 操作工程師在存取我的帳戶時擔任哪些角色?
在極少數情況下 (\$15%),在您的環境中需要人工介入的情況下,AMS 操作工程師會使用預設的唯讀存取角色登入您的帳戶。預設角色無法存取任何常存放在資料存放區的內容,例如 Amazon Simple Storage Service、Amazon Relational Database Service、Amazon DynamoDB、Amazon Redshift 和 Amazon ElastiCache。
如需 AMS 操作工程師和系統在帳戶中提供服務所需的角色清單,請參閱 [AMS 客戶帳戶存取 IAM 角色](access-justification.md#access-mgmt-iam-roles)。
## AMS 操作工程師如何存取我的帳戶?
若要存取客戶帳戶,AMS 操作工程師會使用 AWS 內部 AMS 存取服務。此內部服務只能透過安全的私有管道提供,以便安全地存取您的帳戶並進行稽核。
1. AMS 操作工程師使用內部 AMS 存取服務身分驗證以及雙重驗證。此外,營運工程師必須提供業務理由 (事件票證或服務請求 ID),概述存取 AWS 您的帳戶的需求。
1. 根據操作工程師的授權,AMS 存取服務為工程師提供適當的角色 (only/Operator/Admin) 和 AWS 主控台的登入 URL。存取您的帳戶是短期且有時間限制的。
1. 若要存取 Amazon EC2 執行個體,AMS 操作工程師會使用與代理程式相同的內部 AMS 存取服務。授予存取權後,AMS 操作工程師會使用 AWS Systems Manager Session Manager 來存取具有短期工作階段登入資料的執行個體。
為了提供 Windows 執行個體的 RDP 存取權,操作工程師會使用 Amazon EC2 Systems Manager 在執行個體上建立本機使用者,並建立連接埠轉送至執行個體。操作工程師會使用本機使用者登入資料來存取執行個體。本機使用者登入資料會在工作階段結束時移除。
下圖概述 AMS 操作工程師用來存取您 帳戶的程序:
![\[AMS Accelerate 主控台存取方法。\]](http://docs.aws.amazon.com/zh_tw/managedservices/latest/accelerate-guide/images/acc-op-console-access-method2.png)
## 如何追蹤 AMS 在我的 AMS 受管 AWS 帳戶中所做的變更?
**帳戶存取**
為了協助您追蹤自動化或 AMS Accelerate 操作團隊所做的變更,AMS 會在 Amazon Athena 主控台和 AMS Accelerate 日誌中提供**變更記錄** SQL 界面。這些資源提供下列資訊:
+ 存取您帳戶的對象。
+ 存取帳戶的時間。
+ 使用哪些權限來存取您的帳戶。
+ AMS Accelerate 在您帳戶中所做的變更。
+ 為什麼在您的 帳戶中進行了變更。
**資源組態**
檢視 CloudTrail 日誌以追蹤過去 90 天內 AWS 資源中的組態。如果您的組態超過 90 天,請存取 Amazon S3 中的日誌。
**執行個體日誌**
Amazon CloudWatch Agent 會收集作業系統日誌。檢視 CloudWatch 日誌,以查看作業系統支援的登入和其他動作日誌。
如需詳細資訊,請參閱[追蹤 AMS Accelerate 帳戶中的變更](acc-change-record.md)。
## AMS 操作工程師存取我帳戶的程序控制是什麼?
在加入 AMS 之前,營運工程師會進行刑事背景檢查。由於 AMS 工程師管理客戶基礎設施,因此他們還必須進行年度背景檢查。如果工程師未通過背景檢查,則會撤銷存取權。
所有 AMS 操作工程師都必須完成必要的安全訓練,例如基礎設施安全性、資料安全性和事件回應,才能獲得資源的存取權。
## 如何管理特殊權限存取?
一部分使用者必須完成額外的訓練,並維護特殊存取權限,以提高存取權。會檢查和稽核存取和用量。AMS 限制特殊情況或最低權限存取無法滿足您的請求時的特權存取。特殊權限存取也會有時間限制。
## AMS 操作工程師是否使用 MFA?
是。所有使用者都必須使用 MFA 和存在證明來為您提供服務。
## 當 AMS 員工離開組織或變更任務角色時,他們的存取權會發生什麼情況?
透過內部群組成員資格佈建對客戶帳戶和資源的存取權。成員資格是以嚴格的條件為基礎,包括 AMS 中的特定任務角色、報告管理員和僱用狀態。如果操作工程師的工作系列變更或其使用者 ID 已停用,則會撤銷存取權。
## 哪些存取控制會管理 AMS 操作工程師對我帳戶的存取?
有多層技術控制可強制執行「需要知道」和「最低權限」原則來存取您的環境。以下是存取控制的清單:
+ 所有操作工程師都必須是特定內部 AWS 群組的一部分,才能存取客戶帳戶和資源。群組成員資格嚴格基於需要知道的基礎,並使用預先定義的條件自動化。
+ AMS 會實務「非持久性」存取您的環境。這表示透過 AMS 操作存取 AWS 您的帳戶是「just-in-time」,具有短期憑證。只有在提交並檢閱內部業務案例理由 (服務請求、事件、變更管理請求等) 之後,才會提供帳戶的存取權。
+ AMS 遵循最低權限原則。因此,授權操作工程師預設會擔任唯讀存取。只有在因事件或變更請求而需要變更環境時,工程師才會使用寫入存取權。
+ AMS 使用易於識別的標準角色,這些 AWS Identity and Access Management 角色使用「ams」字首來監控和管理您的帳戶。所有存取都會登入 AWS CloudTrail 供您稽核。
+ AMS 使用自動化後端工具,在變更執行的客戶資訊驗證階段偵測您帳戶的未經授權變更。
## AMS 如何監控根使用者存取?
根存取一律會觸發事件回應程序。AMS 使用 Amazon GuardDuty 偵測來監控根使用者活動。如果 GuardDuty 產生警示,則 AMS 會建立事件以進行進一步調查。如果偵測到非預期的根帳戶活動,AMS 會通知您,且 AMS 安全團隊會啟動調查。
## AMS 如何回應安全事件?
AMS 會調查從 Amazon GuardDuty、Amazon Macie 等偵測服務以及客戶回報的安全問題所產生的安全事件。AMS 與您的安全回應團隊合作,以執行安全事件回應 (SIR) 程序。AMS SIR 程序以 [NIST SP 800-61 修訂版 2 電腦安全事件處理指南架構為基礎,](https://csrc.nist.gov/pubs/sp/800/61/r2/final)並提供全年無休follow-the-sun回應。AMS 會與您一起快速分析和控制安全事件。
## AMS 遵循哪些產業標準認證和架構?
如同其他服務 AWS ,AWS Managed Services 已通過 OSPAR、HIPAA、HITRUST、GDPR、SOC\$1、ISO\$1、FedRAMP (中/高)、IRP 和 PCI 認證。如需 AWS 符合的客戶合規認證、法規和架構的詳細資訊,請參閱 [AWS 合規](https://aws.amazon.com/compliance/)。
**安全護欄**
AWS Managed Services 使用多個控制項來保護您的資訊資產,並協助您確保 AWS 基礎設施的安全。AMS Accelerate 會維護 AWS Config 規則和修補動作的程式庫,協助您確保帳戶符合安全與操作完整性的產業標準。 AWS Config 規則會持續追蹤所記錄資源的組態變更。如果變更違反規則的條件,則 AMS 會向您報告其調查結果。您可以根據違規的嚴重性,自動或根據請求修復違規。
AMS 使用 AWS Config 規則來協助滿足下列標準的要求:
+ 網際網路安全中心 (CIS)
+ 國家標準技術研究所 (NIST) 雲端安全架構 (CSF)
+ 美國健康保險流通與責任法案 (HIPAA)
+ 支付卡產業 (PCI) 資料安全標準 (DSS)
如需詳細資訊,請參閱[AMS Accelerate 中的安全管理](acc-sec.md)
## 如何存取有關安全認證、架構和合規的最新報告 AWS?
您可以使用下列方法找到 AWS 服務的目前安全與合規報告:
+ 您可以使用 [AWS Artifact](https://aws.amazon.com/artifact/) 下載 AWS 服務安全性、可用性和機密性的最新報告。
+ 如需符合全球合規架構的大多數 AWS 服務清單,包括 AWS Managed Services,請參閱 [https://aws.amazon.com/compliance/services-in-scope/](https://aws.amazon.com/compliance/services-in-scope/)。例如,選取 **PCI** 並搜尋 **AWS Managed Services**。
您可以搜尋「AMS」,從 AMS 受管 AWS 帳戶尋找 AMS 特定的安全成品。AWS Managed Services 在 [SOC 3 ](https://d1.awsstatic.com/whitepapers/compliance/AWS_SOC3.pdf)的範圍內。
+ AWS SOC 2 (系統和組織控制) 報告會發佈至 AWS Artifact 儲存庫。此報告會在美國註冊公眾會計協會 (AICPA) TSP 第 100 節信任服務標準中,評估符合安全性、可用性和機密性標準的 AWS 控制項。
## AMS 是否會共用 AMS 功能不同層面的參考架構圖表?
若要檢視 AMS 參考架構,請下載 [AWS Managed Services for Proactive Monitoring PDF](samples/AWS-managed-services-for-operational-excellence-ra.zip)。
## AMS 如何追蹤誰存取我的帳戶,以及存取所需的業務需求?
為了支援服務持續性和帳戶的安全性,AMS 只會為了回應主動運作狀態或維護、運作狀態或安全事件、計劃活動或客戶請求而存取您的帳戶或執行個體。如 AMS [Accelerate 的存取模型所述,透過 AMS](acc-access-operator.md) 程序授權存取您的帳戶。這些授權流程包含防護機制,以防止意外或不適當的存取。作為存取流程的一部分,AMS 為授權系統提供業務需求。此業務需求可能是與您的帳戶相關聯的工作項目,例如您使用 AMS 開啟的案例。或者,業務需求可能是授權的工作流程,例如修補解決方案。所有存取都需要由內部 AMS 系統根據業務規則即時驗證、驗證和授權的正當性,才能使存取請求符合業務需求。
如果沒有有效的業務需求,AMS 操作工程師就無法存取您的帳戶。所有帳戶存取和相關聯的業務需求都會傳送到您 AWS 帳戶內的 AWS CloudTrail 項目。這可提供完整的透明度,並讓您有機會執行自己的稽核和檢查。除了您的檢查之外,AMS 還具有自動檢查,並視需要執行存取請求的手動檢查,並對工具和人工存取執行稽核,以檢閱異常存取。
## AMS 工程師是否可以存取存放在資料儲存服務中的 AWS 資料,例如 Amazon S3、Amazon RDS、DynamoDB 和 Amazon Redshift?
AMS 工程師無法存取存放在常用於資料儲存 AWS 的服務中的客戶內容。用於讀取、寫入、修改或刪除這些服務中資料的 AWS APIs 存取,受限於與用於 AMS 工程師存取的 IAM 角色相關聯的明確 IAM 拒絕政策。此外,內部 AMS 護欄和自動化可防止 AMS 操作工程師移除或修改拒絕條件。
## AMS 工程師是否可以存取存放在 Amazon EBS、Amazon EFS 和 Amazon FSx 中的客戶資料?
AMS 工程師可以管理員身分登入 Amazon EC2 執行個體。在某些情況下需要管理員存取權才能修復,包括但不限於作業系統 (OS) 問題和修補程式失敗。AMS 工程師通常會存取系統磁碟區來修復偵測到的問題。不過,AMS 工程師的存取不會限制或受限於系統磁碟區。
## 如何限制或控制對我的環境具有高權限的自動化角色的存取?
此`ams-access-admin`角色僅供 AMS 自動化使用。這些自動化會部署、管理和維護 AMS 用來部署到您的環境的必要資源,以用於遙測、運作狀態和安全資料收集,以執行操作功能。AMS 工程師無法擔任自動化角色,且受到內部系統中角色映射的限制。在執行時間,AMS 會動態將範圍縮小的最低權限工作階段政策套用至每個自動化。此工作階段政策會限制自動化的功能和許可。
## AMS 如何實作 AWS Well-Architected Framework for Automation Role 中倡議的最低權限原則?
在執行時間,AMS 會將範圍縮小的最低權限工作階段政策套用至每個自動化。此縮小範圍的工作階段政策會限制自動化的功能和許可。具有建立 IAM 資源許可的工作階段政策也需要連接許可界限。此許可界限可降低權限提升風險。每個團隊都會加入僅供該團隊使用的工作階段政策。
## 哪些記錄和監控系統用於偵測未經授權的存取嘗試或涉及自動化角色的可疑活動?
AWS 會維護集中式儲存庫,提供核心日誌封存功能供 AWS 服務團隊內部使用。這些日誌存放在 Amazon S3 中,以實現高可擴展性、耐用性和可用性。 AWS 服務團隊接著可以在中央日誌服務中收集、封存和檢視服務日誌。
的生產主機 AWS 是使用主基準映像進行部署。基準映像配備一組標準組態和函數,包括基於安全目的的記錄和監控。 AWS 安全團隊會存放和存取這些日誌,以便在發生可疑的安全事件時進行根本原因分析。
指定主機的日誌可供擁有該主機的團隊使用。團隊可以搜尋其日誌以進行操作和安全性分析。
## 如何處理與自動化基礎設施相關的安全事件或違規,以及哪些通訊協定有助於快速回應和緩解?
AWS 應變計畫和事件回應程序手冊已定義並測試工具和程序,以偵測、緩解、調查和評估安全事件。這些計劃和手冊包含根據合約和法規要求回應潛在資料外洩的指導方針。
## 是否定期在自動化基礎設施上執行安全評估、漏洞掃描和滲透測試?
AWS 安全性會使用各種工具,在 AWS 環境中主機作業系統、Web 應用程式和資料庫上執行定期漏洞掃描。 AWS 安全團隊也會訂閱適用廠商瑕疵的新聞摘要,並主動監控廠商的網站和其他相關管道,以取得新修補程式。
## 如何限制只有授權人員才能存取自動化基礎設施?
AWS 系統存取權是根據最低權限配置,並由獲授權的個人核准。職責和責任領域 (例如,存取請求和核准、變更管理請求和核准、變更開發、測試和部署等) 會隔離到不同的個人,以減少未經授權或無意修改或濫用 AWS 系統。系統界限內不允許群組或共用帳戶。
## 實作哪些措施來維護安全標準,並防止自動化管道中未經授權的存取或資料外洩?
資源的存取,包括服務、主機、網路裝置,以及 Windows 和 UNIX 群組,已由適當的擁有者或管理員在 AWS 專屬許可管理系統中核准。許可管理工具日誌會擷取存取變更的請求。任務函數變更會自動撤銷員工對 資源的存取權。必須請求並核准該員工的持續存取權。
AWS 需要透過核准的密碼編譯管道進行雙重驗證,才能從遠端位置對內部 AWS 網路進行身分驗證。防火牆裝置會限制對運算環境的存取、強制執行運算叢集的界限,以及限制對生產網路的存取。
實作程序是為了保護稽核資訊和稽核工具免於未經授權的存取、修改和刪除。稽核記錄包含一組資料元素,以支援必要的分析需求。此外,稽核記錄可供授權使用者隨需檢查或分析,並回應安全相關或影響業務的事件。
AWS 系統 (例如網路、應用程式、工具等) 的使用者存取權會在終止或停用後 24 小時內撤銷。停用和/或移除非作用中使用者帳戶至少每 90 天一次。
## 是否針對存取或稽核記錄開啟異常偵測或監控,以偵測權限提升或存取濫用,以主動提醒 AMS 團隊?
的生產主機 AWS 具有記錄功能,以維護安全。此服務會在主機上記錄人類動作,包括登入、失敗的登入嘗試和登出。 AWS 安全團隊會存放和存取這些日誌,以便在發生可疑的安全事件時進行根本原因分析。擁有該主機的團隊也可以使用指定主機的日誌。前端日誌分析工具可供服務團隊搜尋其日誌以進行操作和安全性分析。實作程序有助於保護日誌和稽核工具免於未經授權的存取、修改和刪除。 AWS 安全團隊會執行日誌分析,根據定義的風險管理參數來識別事件。
## 從 AMS 受管帳戶擷取哪些類型的客戶資料,以及如何使用和儲存這些資料?
AMS 不會出於任何目的存取或使用您的內容。AMS 將客戶內容定義為軟體 (包括機器映像)、資料、文字、音訊、視訊或影像,客戶或任何最終使用者透過使用 而從上述衍生的任何運算結果,透過 AWS 服務 傳輸到 AWS 來處理、儲存或託管 AWS 服務。