主题 5:建立数据边界 - AWS 规范性指导
相关最佳实践实现这个主题监视此主题

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

主题 5:建立数据边界

涵盖的八种基本策略

限制管理权限

数据边界是 AWS 环境中的一组预防性护栏,可帮助确保只有可信身份才能访问来自预期网络的可信资源。这些护栏是永远在线的边界,有助于保护您在各种资源中的数据。 AWS 账户 这些组织范围的护栏并不能取代您现有的细粒度访问控制。相反,它们通过确保所有 AWS Identity and Access Management (IAM) 用户、角色和资源都遵守一组定义的安全标准来帮助改善您的安全策略。

您可以使用禁止从组织边界之外进行访问的策略(通常是在中 AWS Organizations创建的)来建立数据边界。用于建立数据边界的三个主要外围授权条件是:

  • 可信身份 — 您内部的委托人(IAM 角色或用户) AWS 账户,或代表您 AWS 服务 行事。

  • 可信资源 — 属于您的资源 AWS 账户 或代表您管理的资源。 AWS 服务

  • 预期的网络 — 您的本地数据中心和虚拟私有云 (VPCs),或者代表您 AWS 服务 行事的网络。

考虑在不同数据分类(例如OFFICIAL:SENSITIVE或)或不同风险级别(例如开发PROTECTED、测试或生产)的环境之间实施数据边界。有关更多信息,请参阅 AWS(AWS 白皮书)上的 “构建数据边界” 和 “建立数据边界 AWS:概述”(AWS 博客文章)。

Well-Architecte AWS d Framework 中的相关最佳实践

实现这个主题

实施身份控制

  • 仅允许可信身份访问您的资源-使用带有条件密钥aws:PrincipalOrgIDaws:PrincipalIsAWSService基于资源的策略。这只允许您所在 AWS 组织和来自的委托 AWS 人访问您的资源。

  • 仅允许来自您的网络的可信身份- 使用带有条件密钥的 VPC 终端节点策略aws:PrincipalOrgIDaws:PrincipalIsAWSService。这只允许来自贵组织的委托人以及来自 AWS 您的 AWS 组织的委托人通过 VPC 终端节点访问服务。

实施资源控制

  • 仅允许您的身份访问可信资源- 使用带有条件密钥的服务控制策略 (SCPs) aws:ResourceOrgID。这允许您的身份仅访问 AWS 组织中的资源。

  • 仅允许从您的网络访问可信资源-使用带有条件密钥的 VPC 终端节点策略aws:ResourceOrgID。这允许您的身份仅通过属于您 AWS 组织的 VPC 终端节点访问服务。

实施网络控制

  • 允许身份仅从预期的网络访问资源- SCPs 与条件密钥aws:SourceIpaws:SourceVpcaws:SourceVpce、和一起使用aws:ViaAWSService。这允许您的身份仅从预期的 IP 地址、、 VPCs、VPC 终端节点以及通过访问资源 AWS 服务。

  • 仅允许从预期的网络访问您的资源-使用带有条件密钥aws:SourceIp、、aws:SourceVpcaws:SourceVpceaws:ViaAWSService、和aws:PrincipalIsAWSService的基于资源的策略。这仅允许从预期的、从预期的 IPs、从预期 VPCs的 VPC 终端节点 AWS 服务、通过或当主叫身份为时访问您的资源 AWS 服务。

监视此主题

监控策略

  • 实施审查机制 SCPs、IAM 策略和 VPC 终端节点策略

实施以下 AWS Config 规则

  • SERVICE_VPC_ENDPOINT_ENABLED