本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 使用 驗證 PCI DSS 4.0 的操作最佳實務 AWS Config
*Tala Qraitem 和 Alex Goff,Amazon Web Services*
## 總結
[支付卡產業資料安全標準 (PCI DSS) ](https://www.pcisecuritystandards.org/standards/pci-dss/)概述了必要的技術和操作通訊協定,以協助保護付款資料。PCI DSS 旨在鼓勵和增強支付卡帳戶的資料安全性。它還有助於全球採用一致的安全措施。雖然它專為具有支付卡帳戶資料的環境而設計,但您可以使用 PCI DSS 來協助防範威脅並保護付款生態系統中的其他元素。
PCI DSS 4.0 版已發佈,以因應不斷變化的需求、提供釐清或其他指引,並改善標準的結構和格式。如需變更的詳細資訊,請參閱[從 PCI DSS 3.2.1 版到 4.0 版的變更摘要](https://listings.pcisecuritystandards.org/documents/PCI-DSS-Summary-of-Changes-v3_2_1-to-v4_0.pdf)。
AWS Config [一致性套件](https://docs.aws.amazon.com/config/latest/developerguide/conformance-packs.html)是 AWS Config 規則和修補動作的集合,可協助您建立安全、操作或成本最佳化控管檢查。您可以在 AWS 帳戶 和 中將一致性套件部署為單一實體 AWS 區域,也可以在 中跨組織部署 AWS Organizations。
PCI DSS 4.0 版的一致性套件會增強並建置在 3.2.1 版的一致性套件上。一致性套件中的規則會對應至標準中的規則。如需詳細資訊,請參閱*附件*區段中提供的映射。您可以選擇此一致性套件的兩個版本:一個包含[全域資源類型](https://docs.aws.amazon.com/config/latest/developerguide/select-resources.html#select-resources-all),另一個則排除它們。
**重要**
一致性套件的設計並非完全確保符合特定的控管或合規標準。您有責任自行評估用量是否符合適用的法律和法規要求。
## 先決條件和限制
**先決條件**
+ 具有作用中的 AWS 帳戶。
+ [設定 AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/gs-console.html)。
+ 符合[一致性套件的先決條件](https://docs.aws.amazon.com/config/latest/developerguide/cpack-prerequisites.html)。
+ 部署 [PCI DSS 3.2.1 版一致性套件。](https://github.com/awslabs/aws-config-rules/blob/master/aws-config-conformance-packs/Operational-Best-Practices-for-PCI-DSS.yaml)
+ 具有存取 AWS Config 和管理一致性套件的許可。如需範例政策,請參閱此模式[的其他資訊](#verify-ops-best-practices-pci-dss-4-additional)一節。
**限制**
+ 您的 AWS 帳戶 具有預設配額,先前稱為每個配額*的限制* AWS 服務。除非另有說明,否則每個配額都是區域特定的。您可以為某些配額請求增加,但並非所有配額都可以增加。請務必熟悉[AWS Config 服務限制](https://docs.aws.amazon.com/config/latest/developerguide/configlimits.html),包括單一帳戶一致性套件和組織一致性套件的限制。
+ 包含全域資源類型的此一致性套件版本僅適用於在 `us-east-1`區域中部署。
+ 排除全域資源類型的此一致性套件版本僅適用於在下列區域中部署:
+ `ap-east-1`
+ `ap-south-1`
+ `ap-northeast-2`
+ `ap-southeast-1`
+ `ap-southeast-2`
+ `ap-northeast-1`
+ `ca-central-1`
+ `eu-central-1`
+ `eu-west-1`
+ `eu-west-2`
+ `eu-west-3`
+ `eu-north-1`
+ `sa-east-1`
+ `us-east-2`
+ `us-west-1`
+ `us-west-2`
## 工具
**AWS 服務**
+ [AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/WhatIsConfig.html) 提供 中資源的詳細檢視 AWS 帳戶 及其設定方式。它可協助您識別資源彼此之間的關係,以及其組態隨著時間的變化。
+ [AWS Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/what-is-systems-manager.html) 可協助您管理在 中執行的應用程式和基礎設施 AWS 雲端。它可簡化應用程式和資源管理、縮短偵測和解決操作問題的時間,並協助您大規模安全地管理 AWS 資源。
**程式碼儲存庫**
一致性套件位於[AWS Config 一致性套件](https://github.com/awslabs/aws-config-rules/tree/master/aws-config-conformance-packs) GitHub 儲存庫中。此儲存庫包含下列與 PCI DSS 4.0 版相關的範本:
+ [Operational-Best-Practices-for-PCI-DSS-v4.0-including-global-resourcetypes.yaml](https://github.com/awslabs/aws-config-rules/blob/master/aws-config-conformance-packs/Operational-Best-Practices-for-PCI-DSS-v4.0-including-global-resourcetypes.yaml)
+ [Operational-Best-Practices-for-PCI-DSS-v4.0-excluding-global-resourcetypes.yaml](https://github.com/awslabs/aws-config-rules/blob/master/aws-config-conformance-packs/Operational-Best-Practices-for-PCI-DSS-v4.0-excluding-global-resourcetypes.yaml)
## 史詩
### 部署和管理一致性套件
| 任務 | Description | 所需的技能 |
| --- | --- | --- |
| 下載一致性套件。 | 如果您要在 `us-east-1`區域中部署一致性套件,請下載 [Operational-Best-Practices-for-PCI-DSS-v4.0-including-global-resourcetypes.yaml](https://github.com/awslabs/aws-config-rules/blob/master/aws-config-conformance-packs/Operational-Best-Practices-for-PCI-DSS-v4.0-including-global-resourcetypes.yaml) 範本。如果您要在不同區域中部署一致性套件,請下載 [Operational-Best-Practices-for-PCI-DSS-v4.0-excluding-global-resourcetypes.yaml](https://github.com/awslabs/aws-config-rules/blob/master/aws-config-conformance-packs/Operational-Best-Practices-for-PCI-DSS-v4.0-excluding-global-resourcetypes.yaml) 範本。 | DevOps 工程師 |
| (選用) 修改一致性套件。 | 您可以針對組織的獨特需求修改一致性套件範本。例如,您可以建立自訂修補動作。如需如何建立和修改範本的詳細資訊,請參閱 AWS Config 文件中的[為自訂一致性套件建立範本](https://docs.aws.amazon.com/config/latest/developerguide/custom-conformance-pack.html)。 | 一般 AWS |
| 部署一致性套件。 | 如果您要在目標中部署 AWS 帳戶 或 AWS 區域,請遵循 AWS Config 文件中[部署一致性套件](https://docs.aws.amazon.com/config/latest/developerguide/conformance-pack-deploy.html)中的指示。您可以使用 AWS 管理主控台 或 AWS Command Line Interface (AWS CLI)。如果您要在 中跨組織部署一致性套件 AWS Organizations,請遵循 AWS Systems Manager 文件中的[使用快速設定部署 AWS Config 一致性套件](https://docs.aws.amazon.com/systems-manager/latest/userguide/quick-setup-cpack.html)中的指示。 | 一般 AWS |
| (選用) 編輯一致性套件。 | 如果您想要編輯一致性套件,請遵循 AWS Config 文件中的[編輯一致性套件](https://docs.aws.amazon.com/config/latest/developerguide/conformance-pack-edit.html)中的指示。您可以使用 AWS 管理主控台 或 AWS CLI。 | 一般 AWS |
| (選用) 刪除一致性套件。 | 如果您想要刪除一致性套件,請遵循 AWS Config 文件中[刪除一致性套件](https://docs.aws.amazon.com/config/latest/developerguide/conformance-pack-delete.html)中的指示。您可以使用 AWS 管理主控台 或 AWS CLI。 | 一般 AWS |
## 相關資源
**AWS resources**
+ [的一致性套件 AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/conformance-packs.html)(AWS Config 文件)
+ [使用快速設定部署一致性套件 AWS Config](https://docs.aws.amazon.com/systems-manager/latest/userguide/quick-setup-cpack.html)(Systems Manager 文件)
+ (AWS 網站) [上的 PCI DSS 合規 AWS](https://aws.amazon.com/compliance/pci-dss-level-1-faqs/)
+ [PCI DSS 4.0 版 AWS](https://d1.awsstatic.com/whitepapers/compliance/pci-dss-compliance-on-aws-v4-102023.pdf)(合規指南)
**PCI DSS 資源**
+ [PCI DSS 4.0 版資源中樞](https://blog.pcisecuritystandards.org/pci-dss-v4-0-resource-hub)
+ [PCI 安全標準委員會文件庫](https://www.pcisecuritystandards.org/document_library/)
+ [從 PCI DSS 3.2.1 版到 4.0 版的變更摘要](https://listings.pcisecuritystandards.org/documents/PCI-DSS-Summary-of-Changes-v3_2_1-to-v4_0.pdf)
## 其他資訊
以下是範例 AWS Identity and Access Management (IAM) 政策,允許使用者存取 AWS Config 和管理一致性套件:
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"config:PutConfigRule",
"config:PutConformancePack",
"config:DeleteConfigRule",
"config:DeleteRemediationConfiguration",
"config:DeleteConformancePack",
"config:PutRemediationConfigurations",
"config:BatchGetAggregateResourceConfig",
"config:BatchGetResourceConfig",
"config:Get*",
"config:Describe*",
"config:Deliver*",
"config:List*",
"config:Select*"
],
"Resource": "*"
}
]
}
```
## 附件
若要存取與本文件相關聯的其他內容,請解壓縮下列檔案: [attachment.zip](samples/p-attach/7f4b4311-2606-44e9-b9a2-8c2472643008/attachments/attachment.zip)