设置 AWS 账户 安全性 - Amazon Nimble Studio
删除账户的访问密钥启用多重身份验证全部启用 CloudTrail AWS 区域设置 Amazon GuardDuty 和通知

终止支持通知: AWS 将于 2024 年 10 月 22 日停止对亚马逊 Nimble Studio 的支持。2024 年 10 月 22 日之后,你将无法再访问 Nimble Studio 主机或 Nimble Studio 资源。

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

设置 AWS 账户 安全性

本指南介绍如何将您的设置 AWS 账户 为在资源受损时接收通知,以及如何允许特定 AWS 账户 用户访问通知。要保护您的资源 AWS 账户 并跟踪您的资源,请完成以下步骤。

删除账户的访问密钥

您可以通过 AWS Command Line Interface (AWS CLI) 或使用允许以编程方式访问您的 AWS 资源 AWS APIs。但是, AWS 建议您不要创建或使用与您的根账户关联的访问密钥进行编程访问。

如果您还有访问密钥,建议您删除这些密钥并创建一个用户。然后,仅向该用户授予您计划调用的所需的权限。 APIs 您可以使用此用户来颁发访问密钥。

有关更多信息,请参阅《AWS 一般参考 指南》中的管理 AWS 账户的访问密钥

启用多重身份验证

多重身份验证 (MFA) 是一项安全功能,除用户名和密码外,此功能还可以提供一层身份验证保护。

MFA 的工作方式如下所示:使用用户名和密码登录后,您还必须提供只有您才能实际访问的一条额外信息。此信息可能来自一台专用 MFA 硬件设备,也可以来自手机上的应用程序。

您必须从支持的 MFA 设备列表中选择要使用的 MFA 设备类型。对于硬件设备,请将 MFA 设备保存到安全的地方。

如果您使用虚拟 MFA 设备(例如手机应用程序),请考虑如果您的手机丢失或损坏会发生什么。其中可选择的一种方法是将您使用的虚拟 MFA 设备保存在安全的地方。另一个选择是同时激活多台设备,或者使用虚拟 MFA 选项恢复设备密钥。

要了解有关 MFA 的更多信息,请参阅启用虚拟多重身份验证 (MFA) 设备

全部启用 CloudTrail AWS 区域

您可以使用跟踪 AWS 资源中的所有活动AWS CloudTrail。我们建议你 CloudTrail 立即开启。这可以帮助 支持 您的 AWS 解决方案架构师稍后解决安全或配置问题。

要启用全部 CloudTrail 登录 AWS 区域,请参阅AWS CloudTrail 更新-在所有区域开启和使用多条路径

要了解更多信息 CloudTrail,请参阅开启 CloudTrail:在你的 API 活动中记录 API 活动 AWS 账户。要了解如何 CloudTrail监控 Nimble Studio,请参阅使用记录 Nimble Studio 通话 AWS CloudTrail

设置 Amazon GuardDuty 和通知

Amazon GuardDuty 是一项持续的安全监控服务,可分析和处理以下内容:

  • 数据源

  • Amazon VPC 流日志

  • AWS CloudTrail 管理事件日志

  • CloudTrail S3 数据事件日志

  • DNS 日志

Amazon 会在您的 AWS 环境中 GuardDuty 识别出意外的、可能未经授权的恶意活动。恶意活动包括特权升级、使用遭暴露的凭证或者与恶意 IP 地址或域通信等问题。要识别这些活动,请 GuardDuty 使用威胁情报源,例如恶意 IP 地址和域名列表以及机器学习。例如, GuardDuty 可以检测提供恶意软件或挖掘比特币的受感染的 Amazon EC2 实例。

GuardDuty 还会监控 AWS 账户 访问行为是否存在泄露迹象。这包括未经授权的基础设施部署,例如在从未使用过 AWS 区域 的中部署的实例。它还包括异常 API 调用,例如更改密码策略以降低密码强度。

GuardDuty 通过生成安全调查结果来告知您 AWS 环境的状态。您可以在 GuardDuty 控制台或通过 Amazon CloudWatch 事件查看这些发现。

设置 Amazon SNS 主题和端点

遵照设置 Amazon SNS 主题和端点教程中的说明。

为 GuardDuty 调查结果设置 EventBridge 活动

为创建规则 EventBridge ,为 GuardDuty 生成的所有发现发送事件。

为 GuardDuty 调查结果创建 EventBridge 事件

  1. 登录 Amazon EventBridge 控制台:https://console.aws.amazon.com/events/

  2. 在导航窗格中,选择规则。然后,选择创建规则

  3. 为新规则输入名称描述。然后选择下一步

  4. AWS 事件源选为事件或 EventBridge 合作伙伴事件

  5. 事件模式中,为事件源选择 AWS 服务。然后GuardDutyAWS 服务,然后是GuardDuty 查找事件类型。这是您在 设置 Amazon SNS 主题和端点 中创建的主题。

  6. 选择下一步

  7. 对于目标 1,选择 AWS 服务。在选择目标下拉列表中选择 SNS 主题。然后选择你的 GuardDuty_to_email 主题

  8. 其他设置部分:使用配置目标输入下拉列表,选择输入转换器。选择配置输入转换器

  9. 目标输入转换器部分的输入路径字段中输入以下代码。

    {
    "severity": "$.detail.severity",
    "Account_ID": "$.detail.accountId",
    "Finding_ID": "$.detail.id",
    "Finding_Type": "$.detail.type",
    "region": "$.region",
    "Finding_description": "$.detail.description"
}

  10. 要格式化电子邮件,请在模板字段中输入以下代码。

    "AWS <Account_ID> has a severity <severity> GuardDuty finding type <Finding_Type> in the <region> region."
"Finding Description:"
"<Finding_description>. "
"For more details open the GuardDuty console at https://console.aws.amazon.com/guardduty/home?region=<region>#/findings?search=id=<Finding_ID>"

  11. 选择创建。然后选择下一步

  12. (可选)如果您使用标签来跟踪 AWS 资源,请添加标签。

  13. 选择下一步

  14. 检查您的规则。然后,选择创建规则

现在,您已经设置了 AWS 账户 安全性,可以向特定用户授予访问权限,并在资源受到威胁时收到通知。