本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
限制管理权限
| 必备八大控件 | 实施指导 | AWS 资源 | AWS Well-Architected 指南 |
|---|---|---|---|
| 首次请求系统和应用程序特权访问权限的请求将在首次请求时进行验证。 | 主题 4:管理身份: 实施身份联合 | 要求人类用户与身份提供商联合使用临时 AWS 证书进行访问 | |
| 除非重新验证,否则系统和应用程序的特权访问权限将在 12 个月后自动禁用。 | 主题 4:管理身份: 实施身份联合 | 要求人类用户与身份提供商联合使用临时 AWS 证书进行访问 | SEC02-BP04 依赖集中式身份提供程序 |
| 主题 4:管理身份: 轮换证书 | AWS 2023 年澳新银行峰会:您的云端临时证书之旅 |
SEC02-BP05 定期审计和轮换凭证 | |
| 在系统和应用程序处于非活动状态 45 天后,将自动禁用对系统和应用程序的特权访问权限。 | 主题 4:管理身份: 实施身份联合 主题 4:管理身份: 轮换证书 |
AWS 2023 年澳新银行峰会:您的云端临时证书之旅 |
|
| 对系统和应用程序的特权访问仅限于用户和服务履行其职责所需的权限。 | 主题 4:管理身份: 应用最低权限权限 | 使用 IAM Access Analyzer 验证公共和跨账户对资源的访问权限 |
|
| 禁止特权账户访问互联网、电子邮件和网络服务。 | 参见技术示例:限制管理权限 |
考虑实施一个 SCP,防止任何尚未接入互联网的 VPC 获取它 | 不适用 |
| 特权用户使用不同的特权和非特权操作环境。 | 主题 5:建立数据边界 | 建立数据边界。考虑在不同数据分类(例如OFFICIAL:SENSITIVE或)或不同风险级别(例如开发PROTECTED、测试或生产)的环境之间实施数据边界。 |
SEC06-BP03 减少人工管理工作和交互式访问 |
| 特权操作环境不会在非特权操作环境中进行虚拟化。 | |||
| 非特权账户无法登录到特权操作环境。 | |||
| 特权帐户(不包括本地管理员帐户)无法登录到非特权操作环境。 | |||
| Just-in-time 管理用于管理系统和应用程序。 | 主题 4:管理身份: 实施身份联合 | 对您的 AWS
环境实施临时提升访问权限 |
SEC02-BP04 依赖集中式身份提供程序 |
| 管理活动通过跳转服务器进行。 | 主题 3:通过自动化管理可变基础架构: 使用自动化而不是手动流程 |
||
| 本地管理员帐户和服务帐户的凭据是唯一的、不可预测的和托管的。 | 参见技术示例:限制管理权限 |
不适用 | 不适用 |
| Windows Defender Credential Guard 以及 Windows Defender Remote Credential Guard 已启用。 | |||
| 对特权访问的使用进行集中记录,防止未经授权的修改和删除,监控泄露迹象,并在检测到网络安全事件时采取行动。 | 主题 7:集中记录和监控: 启用日志记录 主题 7:集中记录和监控: 集中日志 |
使用 CloudWatch 代理将操作系统级别的日志发布到日志 CloudWatch 将 CloudWatch 日志集中到账户中以进行审计和分析 在 AWS Config(博客文章)AWS 中创建组织范围的聚合器 |
|
| 对特权账户和群组的更改进行集中记录,防止未经授权的修改和删除,监控入侵迹象,并在检测到网络安全事件时采取行动。 |
