| 標準 | 是否會中斷 | 風險 | 建議 |
|---|---|---|---|
| 所有 AMS 擁有的資源都必須具有下列鍵值對 | 是。CloudFormation、CloudTrail、EFS、OpenSearch、CloudWatch Logs、SQS、SSM、標記 api 的中斷 - 因為這些服務不支援限制 AMS 命名空間標記`aws:TagsKey`的條件。 下表 **AMS-STD-003** 中提供的標準說明您可以變更 AppId、Environment 和 AppName,但不能變更 AMS 擁有的資源。無法透過 IAM 許可達成。 | AMS 資源的不正確標記可能會對 AMS 端的資源的報告、提醒和修補操作產生不利影響。 | 必須重新分配存取權,才能對 AMS 團隊以外的任何人對 AMS 預設標記要求進行任何變更。 |
| 除了上述標籤之外,所有 AMS 擁有的標籤都必須具有字首,例如 AMS\*或MC\*upper/lower/mix大小寫。 | |||
| 不得根據您的變更請求刪除 AMS 擁有的堆疊上的任何標籤。 | 是。CloudFormation 不支援限制 AMS 命名空間標籤aws:TagsKey的條件。 | ||
| 不允許您在基礎設施中使用 AMS 標籤命名慣例,如下表 AMS-STD-002 所述。 | 是。中斷 CloudFormation、CloudTrail、Amazon Elastic File System (EFS)、OpenSearch、CloudWatch Logs、Amazon Simple Queue Service (SQS)、Amazon EC2 Systems Manager (SSM)、標記 API;這些服務不支援限制 AMS 命名空間標記aws:TagsKey的條件。 |
| 標準 | 是否會中斷 | 風險 | 建議 |
|---|---|---|---|
| S2. EC2 執行個體上的彈性 IP 只能與正式的風險接受協議或內部團隊的有效使用案例搭配使用。 | 是。自助服務動作可讓您關聯和取消關聯彈性 IP 地址 (EIP)。 | 將彈性 IP 新增至執行個體會公開至網際網路。這會增加資訊公開和未經授權的活動的風險。 | 透過安全群組封鎖對該執行個體的任何不必要的流量,並確認您的安全群組已與執行個體連接,以確保只允許基於業務原因而需要的流量。 |
| S14. 您可以允許屬於相同客戶的帳戶之間的 VPC 對等互連和端點連線。 | 是。無法透過 IAM 政策進行。 | 離開帳戶界限後,不會監控離開您 AMS 帳戶的流量。 | 我們建議僅與您擁有的 AMS 帳戶進行對等互連。如果您的使用案例需要,請使用安全群組和路由表來限制哪些流量範圍、資源和類型可以透過相關連線輸出。 |
| AMS 基礎 AMIs 可以在 AMS 受管和未受管帳戶之間共用,只要我們可以驗證它們是否屬於同一個 AWS 組織即可。 | AMIs可能包含敏感資料,而且可能會公開給非預期的帳戶。 | 僅與組織擁有的帳戶共用 AMIs,或在組織外部共用之前驗證使用案例和帳戶資訊。 |
| 標準 | 是否會中斷 | 風險 | 建議 |
|---|---|---|---|
| 19. 任何日誌都可以從一個 AMS 帳戶轉送到相同客戶的另一個 AMS 帳戶。 | 是。無法透過 IAM 政策實現客戶日誌的潛在不安全,因為無法驗證同一組織中的客戶帳戶。 | 日誌可能包含敏感資料,而且可能會公開給非預期的帳戶。 | 僅與 AWS 組織管理的帳戶共用日誌,或在組織外部共用之前驗證使用案例和帳戶資訊。我們可以透過多種方式驗證,請洽詢您的雲端服務交付管理員 (CSDM)。 |
| 20. 只有在非 AMS 帳戶由相同 AMS 客戶擁有 (透過確認他們位於相同 AWS Organizations 帳戶下,或將電子郵件網域與客戶的公司名稱和 PAYER 連結帳戶相符) 時,才能使用內部工具,從 AMS 轉送任何日誌到非 AMS 帳戶。 |