# SEC08-BP04 強制執行存取控制
<a name="sec_protect_data_rest_access_control"></a>

強制執行最低權限存取控制和機制 (包括備份、隔離和版本控制)，以保護靜態資料。防止操作員授予您資料的公有存取權。

 不同的控制包括存取 (使用最低權限)、備份 (請參閱 [可靠性白皮書](https://docs.aws.amazon.com/wellarchitected/latest/reliability-pillar/welcome.html))、隔離，以及和版本控制，全都有助於保護您的靜態資料。對資料的存取應使用本白皮書稍早涵蓋的偵測機制進行稽核，包括 CloudTrail 和服務層級日誌 (例如 Amazon Simple Storage Service (Amazon S3) 存取日誌)。您應該清查哪些資料可公開存取，並規劃如何隨著時間減少可用的資料量。Amazon Glacier 文件庫鎖定和 Amazon S3 物件鎖定提供強制存取控制的功能，一旦文件庫政策被合規選項鎖定，在鎖定過期之前，就連根使用者也無法變更。此機制符合 SEC、CFTC 和 FINRA 的書籍和記錄管理要求。如需詳細資訊，請參閱 [此白皮書](https://d1.awsstatic.com/whitepapers/Amazon-GlacierVaultLock_CohassetAssessmentReport.pdf)。

 **若未建立此最佳實務，暴露的風險等級為：** 低 

## 實作指引
<a name="implementation-guidance"></a>
+  強制執行存取控制：強制執行最低權限存取控制，包括對加密金鑰的存取。 
  +  [管理對 Amazon S3 資源的存取許可的簡介](https://docs.aws.amazon.com/AmazonS3/latest/dev/intro-managing-access-s3-resources.html) 
+  根據不同的分類層級分離資料：針對由 AWS Organizations 管理的資料分類層級，使用不同的 AWS 帳戶。
  +  [AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html) 
+  審查 AWS KMS 政策：審查 AWS KMS 政策中授予的存取層級。
  +  [管理對您的 AWS KMS 資源的存取概觀](https://docs.aws.amazon.com/kms/latest/developerguide/control-access-overview.html) 
+  審查 Amazon S3 儲存貯體和物件權限：定期審查 Amazon S3 儲存貯體政策中授予的存取層級。最佳實務是不要設定公開可讀取或可寫入的儲存貯體。考慮使用 AWS Config 偵測公開可用的儲存貯體，以及使用 Amazon CloudFront 從 Amazon S3 提供內容。
  +  [AWS Config 規則](https://docs.aws.amazon.com/config/latest/developerguide/managed-rules-by-aws-config.html) 
  +  [Amazon S3 \$1 Amazon CloudFront：雲端中進行的比對](https://aws.amazon.com/blogs/networking-and-content-delivery/amazon-s3-amazon-cloudfront-a-match-made-in-the-cloud/) 
+  啟用 Amazon S3 版本控制和物件鎖定。
  +  [使用版本控制](https://docs.aws.amazon.com/AmazonS3/latest/dev/Versioning.html) 
  +  [使用 Amazon S3 物件鎖定來鎖定物件](https://docs.aws.amazon.com/AmazonS3/latest/dev/object-lock.html) 
+  使用 Amazon S3 庫存：Amazon S3 庫存是可用來稽核和報告物件複寫與加密狀態的其中一項工具。
  +  [Amazon S3 庫存](https://docs.aws.amazon.com/AmazonS3/latest/dev/storage-inventory.html) 
+  審查 Amazon EBS 和 AMI 共用許可：共用許可可以允許將映像和磁碟區分享到工作負載外部的 AWS 帳戶。
  +  [共用 Amazon EBS 快照](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ebs-modifying-snapshot-permissions.html) 
  +  [分享 AMI](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/sharing-amis.html) 

## 資源
<a name="resources"></a>

 **相關文件：** 
+  [AWS KMS 加密詳細資訊白皮書](https://docs.aws.amazon.com/kms/latest/cryptographic-details/intro.html) 

 **相關影片：** 
+  [保護 AWS 上的區塊儲存安全](https://youtu.be/Y1hE1Nkcxs8)