本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # 分發安全擁有權 [AWS 共同責任模型](https://aws.amazon.com/compliance/shared-responsibility-model/)定義了 AWS 及其客戶如何共同承擔雲端安全與合規的責任。在此模型中, 會 AWS 保護執行 中提供之所有服務的基礎設施 AWS 雲端,而 AWS 客戶需負責保護其資料和應用程式的安全。 您可以在組織內鏡射此模型,並在雲端和應用程式團隊之間分配責任。這可協助您更有效地擴展雲端安全計劃,因為應用程式團隊擁有其應用程式的某些安全層面。共同責任模型最簡單的解釋是,如果您有權設定資源,則需負責該資源的安全性。 將安全責任分配給應用程式團隊的關鍵部分是建置自助式安全工具,協助您的應用程式團隊自動化。一開始,這可能是共同努力。安全團隊可以將安全需求轉換為程式碼掃描工具,然後應用程式團隊可以使用這些工具來與其內部開發人員社群建置和共用解決方案。這有助於提高其他團隊之間的效率,這些團隊需要滿足類似的安全需求。 下表概述將擁有權分發給應用程式團隊的步驟,並提供範例。 **** | 步驟 | Action | 範例 | | --- | --- | --- | | 1 | 定義您的安全需求 – 您嘗試達成什麼? 這可能來自安全標準或合規要求。 | 範例安全需求是應用程式身分的最低權限存取。 | | 2 | 列舉安全需求的控制 – 從控制角度來看,此要求實際上意味著什麼? 我需要做什麼才能達成此目標? | 為了實現應用程式身分的最低權限,下列是兩個範例控制項:[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/prescriptive-guidance/latest/vulnerability-management/distribute-ownership.html) | | 3 | 控制項的文件指引 – 透過這些控制項,您可以提供哪些指引給開發人員,以協助他們遵守控制項? | 一開始,您可以從記錄簡單的範例政策開始,包括安全和不安全的 IAM 政策和 Amazon Simple Storage Service (Amazon S3) 儲存貯體政策。接下來,您可以在持續整合和持續交付 (CI/CD) 管道中嵌入政策掃描解決方案,例如使用[AWS Config 規則](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config-rules.html)進行主動評估。 | | 4 | 開發可重複使用的成品 – 透過 指引,您可以更輕鬆地為開發人員開發可重複使用的成品嗎? | 您可以建立基礎設施做為程式碼 (IaC),以部署遵循最低權限原則的 IAM 政策。您可以在程式碼儲存庫中存放這些可重複使用的成品。 | 自助式服務可能不適用於所有安全需求,但適用於標準案例。透過遵循這些步驟,組織可以授權其應用程式團隊以可擴展的方式處理更多自己的安全責任。整體而言,分散式責任模型會在許多組織中產生更多協作安全實務。