安全服务的委派管理员 AWS CloudTrail AWS Security Hub Amazon GuardDuty AWS Config Amazon Security Lake Amazon Macie AWS IAM 访问分析器 AWS Firewall Manager Amazon EventBridge Amazon Detective Amazon Audit Manager AWS Artical AWS KMS AWS 私有 CA Amazon Inspector 在所有 AWS 账户中部署常用安全服务

安全 OU — 安全工具账户

通过进行简短的调查

来影响 AWS 安全参考架构 (AWS SRA) 的未来。

下图说明了在安全工具账户中配置的 AWS 安全服务。

安全工具账户专门用于运营安全服务、监控 AWS 账户以及自动发送安全警报和响应。安全目标包括以下内容：

提供具有受控访问权限的专用帐户，以管理对安全护栏的访问权限、监控和响应。
维护适当的集中式安全基础架构，以监控安全运营数据并保持可追溯性。检测、调查和响应是安全生命周期的重要组成部分，可用于支持质量流程、法律或合规义务以及威胁识别和响应工作。
通过保持对适当安全配置和操作（例如加密密钥和安全组设置）的另一层控制，进一步支持 defense-in-depth 组织战略。这是安全操作员工作的账户。用于查看 AWS 组织范围信息的只读/审计角色是典型的，而写入/修改角色的数量有限、严格控制、监控和记录。

设计注意事项

默认情况下，AWS Control Tower 将安全 OU 下的账户命名为审计账户。您可以在 AWS Control Tower 设置期间重命名该账户。
拥有多个安全工具帐户可能是合适的。例如，安全事件的监控和响应通常分配给一个专门的团队。网络安全可能需要与云基础架构或网络团队合作使用自己的帐户和角色。这种分裂保留了分离集中式安全飞地的目标，并进一步强调了职责分离、最低权限和团队分配的潜在简单性。如果您使用的是 AWS Control Tower，则它会限制在安全 OU 下创建其他 AWS 账户。

安全服务的委派管理员

Security Tooling 账户充当安全服务的管理员账户，这些服务在整个 AWS 账户中以管理员/成员结构进行管理。如前所述，这是通过 AWS Organizations 委托的管理员功能来处理的。AWS SRA 中目前支持委托管理员的服务包括 AWS Config、AWS Firewall Manager、亚马逊、AWS IAM Access Analyzer GuardDuty、Amazon Macie、AWS Security Hub、AWS Detective、AWS Audit Manager、AWS 审计管理器、AWS Inspector、AWS 和 AW CloudTrail S Systems Manager。您的安全团队负责管理这些服务的安全功能，并监控任何特定于安全的事件或发现。

IAM 身份中心支持对成员账户进行委托管理。AWS SRA 使用共享服务账户作为 IAM 身份中心的委托管理员账户，如共享服务账户的 IAM 身份中心部分稍后所述。

AWS CloudTrail

AWS CloudTrail 是一项支持对您的 AWS 账户中的活动进行监管、合规和审计的服务。借助 CloudTrail，您可以记录、持续监控和保留与整个 AWS 基础设施中的操作相关的账户活动。 CloudTrail 已与 AWS Organizations 集成，该集成可用于创建单个跟踪，用于记录 AWS 组织中所有账户的所有事件。这称为组织跟踪。您只能通过组织的管理账户或委派的管理员账户创建和管理组织跟踪。当您创建组织跟踪时，将在属于您的 AWS 组织的每个 AWS 账户中创建具有您指定名称的跟踪。跟踪记录 AWS 组织中所有账户（包括管理账户）的活动，并将日志存储在单个 S3 存储桶中。由于此 S3 存储桶的敏感性，您应遵循本指南后面的 Amazon S3 作为中央日志存储部分中概述的最佳实践来保护它。AWS 组织中的所有账户都可以在其跟踪列表中看到组织跟踪。但是，AWS 成员账户只能查看此跟踪。默认情况下，当您在 CloudTrail 控制台中创建组织跟踪时，该跟踪是多区域跟踪。有关其他安全最佳实践，请参阅 A WS CloudTrail 文档。

在 AWS SRA 中，安全工具账户是用于管理 CloudTrail的委托管理员账户。存储组织跟踪日志的相应的 S3 存储桶是在日志存档账户中创建的。这是为了区分 CloudTrail日志权限的管理和使用。有关如何创建或更新 S3 存储桶以存储组织跟踪的日志文件的信息，请参阅 AWS CloudTrail 文档。

注意

您可以通过管理帐户和委派管理员帐户创建和管理组织跟踪。但是，作为最佳实践，您应限制对管理账户的访问权限，并在可用的情况下使用委派管理员功能。

设计注意事项

如果成员账户需要访问自己账户的 CloudTrail 日志文件，则可以选择性地共享中央 S3 存储桶中的组织 CloudTrail 日志文件。但是，如果成员账户需要本地 CloudWatch 日志组来存储其账户的 CloudTrail 日志，或者想要配置与组织跟踪不同的日志管理和数据事件（只读、只写、管理事件、数据事件），则他们可以创建具有适当控件的本地跟踪。特定于本地账户的跟踪会产生额外费用。

AWS Security Hub

AWS Security Hub 可让您全面了解自己在 AWS 中的安全状况，并帮助您根据安全行业标准和最佳实践检查您的环境。Security Hub 从 AWS 集成服务、支持的第三方产品以及您可能使用的其他自定义安全产品收集安全数据。它可以帮助您持续监控和分析安全趋势，并确定最高优先级的安全问题。除了摄取的来源外，Security Hub 还会生成自己的发现，这些发现由映射到一个或多个安全标准的安全控制来表示。这些标准包括 AWS 基础安全最佳实践 (FSBP)、互联网安全中心 (CIS)、AWS 基金会基准 v1.20 和 v1.4.0、美国国家标准与技术研究院 (NIST) SP 800-53 Rev. 5、支付卡行业数据安全标准 (PCI DSS) 和服务管理标准。有关当前安全标准列表和特定安全控制的详细信息，请参阅 Security Hub 文档中的 Security Hub 标准参考。

Security Hub 与 AWS Organizations 集成，可简化 AWS 组织中所有现有和未来账户的安全态势管理。您可以使用委派管理员帐户（在本例中为安全工具）中的 Security Hub 中央配置功能来指定如何在您的组织账户和组织单位 (OU) 中跨区域配置 Security Hub 服务、安全标准和安全控制。您可以通过几个步骤从一个主区域（即主区域）配置这些设置。如果您不使用中心配置，则必须在每个账户和区域中分别配置 Security Hub。委托的管理员可以将账户和 OU 指定为自我管理，成员可以在每个区域中单独配置设置，也可以指定为集中管理，委托管理员可以跨区域配置成员账户或 OU。您可以将组织中的所有账户和 OU 指定为集中管理、全部自行管理或两者兼而有之。这简化了执行一致性配置的过程，同时提供了为每个 OU 和账户修改配置的灵活性。

Security Hub 委托管理员账户还可以查看所有成员账户的调查结果、查看见解和控制详细信息。此外，您还可以在委托管理员账户中指定一个聚合区域，以便在您的账户和关联区域中集中您的调查结果。您的发现将在聚合器区域与所有其他区域之间持续双向同步。

Security Hub 支持与多个 AWS 服务的集成。亚马逊 GuardDuty、AWS Config、Amazon Macie、AWS IAM Access Analyzer、AWS Firewall Manager、Amazon Inspector 和 AWS Systems Manager 补丁管理器可以将发现结果提供给 Security Hub。Security Hub 使用一种名为 AWS 安全调查结果格式 (ASFF) 的标准格式来处理调查结果。Security Hub 将各集成产品的调查发现进行关联，以确定最重要产品的优先级。您可以丰富 Security Hub 发现的元数据，以帮助更好地对安全发现进行情境化、确定优先级并采取行动。此扩充功能将资源标签、新的 AWS 应用程序标签和账户名信息添加到采集到 Security Hub 的每项发现中。这可以帮助您微调自动化规则的发现，搜索或筛选发现结果和见解，并按应用程序评估安全态势状态。此外，您还可以使用自动化规则自动更新调查结果。当 Security Hub 摄取发现结果时，它可以应用各种规则操作，例如隐藏搜索结果、更改其严重性以及为发现结果添加注释。当搜索结果符合您的指定条件（例如与查找结果关联的资源或帐户 ID 或其标题）时，这些规则操作就会生效。您可以使用自动化规则更新 ASFF 中的选定查找字段。规则适用于新的和更新的发现。

在调查安全事件期间，您可以从 Security Hub 导航到 Amazon Detective，以调查亚马逊的调查 GuardDuty 结果。Security Hub 建议调整诸如 Detective（如果存在）之类的服务的委托管理员帐户，以实现更顺畅的集成。例如，如果您不在 Detective 和 Security Hub 之间调整管理员帐户，则无法从调查结果导航到 Detective。有关完整列表，请参阅 Security Hub 文档中的 AWS 服务与 Security Hub 的集成概述。

您可以将 Security Hub 与 Amazon VPC 的网络访问分析器功能结合使用，以帮助持续监控 AWS 网络配置的合规性。这将帮助您阻止不需要的网络访问，并有助于防止外部访问您的关键资源。有关架构和实施的更多详细信息，请参阅 AWS 博客文章使用 Amazon VPC 网络访问分析器和 AWS Security Hub 持续验证网络合规性。

除了监控功能外，Security Hub 还支持与 Amazon 集成， EventBridge 以自动修复特定发现。您可以定义在收到调查结果时要采取的自定义操作。例如，您可以配置自定义操作，将结果发送到票证系统或自动修复系统。有关其他讨论和示例，请参阅 AWS 博客文章 AWS Sec urity Hub 的自动响应和补救以及如何部署 AWS Security Hub 自动响应和修复解决方案。

Security Hub 使用与服务相关的 AWS Config 规则来执行其大部分安全控制检查。为了支持这些控制，必须在每个启用 Security Hub 的 AWS 区域的所有账户（包括管理员（或委托管理员）账户和成员账户）上启用 AWS Config。

设计注意事项

如果 Security Hub 中已经存在诸如 PCI-DSS 之类的合规标准，则完全托管的 Security Hub 服务是实现该标准的最简单方法。但是，如果您想制定自己的合规性或安全标准（可能包括安全、运营或成本优化检查），AWS Config 一致性包可提供简化的自定义流程。（有关 AWS Config 和一致性包的更多信息，请参阅 AWS Config 部分。）
Security Hub 的常见用例包括以下内容：
- 作为一个控制面板，让应用程序所有者可以查看其 AWS 资源的安全和合规状况
- 作为安全调查结果的中心视图，安全运营部门、事件响应人员和威胁猎人用来对各个 AWS 账户和地区的 AWS 安全与合规调查结果进行分类并采取行动
- 汇总来自各个 AWS 账户和地区的安全与合规调查结果，并将其传送到集中式安全信息和事件管理 (SIEM) 或其他安全编排系统
有关这些用例的更多指导，包括如何进行设置，请参阅博客文章《三种反复出现的 Security Hub 使用模式以及如何部署它们》。

实现示例

AWS SRA 代码库提供了 Sec urity Hub 的示例实现。它包括自动启用服务、委托管理成员账户（安全工具），以及为 AWS 组织中所有现有和未来账户启用 Security Hub 的配置。

Amazon GuardDuty

Amazon GuardDuty 是一项威胁检测服务，可持续监控恶意活动和未经授权的行为，以保护您的 AWS 账户和工作负载。您必须始终捕获和存储适当的日志以进行监控和审计，但是 Amazon 会直接从 AWS CloudTrail、Amazon VPC 流日志和 AWS DNS 日志中 GuardDuty 提取独立的数据流。您无需管理 Amazon S3 存储桶策略或修改收集和存储日志的方式。 GuardDuty权限作为服务相关角色进行管理，您可以随时通过禁用来撤消这些角色。 GuardDuty这使得无需复杂配置即可轻松启用服务，并且消除了 IAM 权限修改或 S3 存储桶策略更改会影响服务运行的风险。

除了提供基础数据源外，还 GuardDuty 提供用于识别安全发现的可选功能。这些保护包括 EKS 保护、RDS 保护、S3 保护、恶意软件防护和 Lambda 防护。对于新的探测器，这些可选功能默认处于启用状态，但 EKS 防护除外，必须手动启用。

借助 GuardDuty S3 保护，除了默认 CloudTrail 管理事件外，还可以 GuardDuty 监控 Amazon S3 数据事件。 CloudTrail监控数据事件使您 GuardDuty 能够监控对象级 API 操作，以防您的 S3 存储桶中的数据面临潜在的安全风险。
GuardDuty 恶意软件保护通过对连接的 Amazon Elastic Block Store (Amazon EBS) 卷启动无代理扫描来检测 Amazon EC2 实例或容器工作负载上是否存在恶意软件。
GuardDuty RDS 保护旨在在不影响数据库性能的情况下分析和监控 Amazon Aurora 数据库的访问活动。
GuardDuty EKS 保护包括 EKS 审核日志监控和 EKS 运行时监控。通过 EKS 审核日志监控， GuardDuty 监控来自 Amazon EKS 集群的 Kubernetes 审计日志，并分析这些日志中是否存在潜在的恶意和可疑活动。EKS 运行时监控使用 GuardDuty安全代理（这是一个 Amazon EKS 附加组件）来提供对各个 Amazon EKS 工作负载的运行时可见性。 GuardDuty 安全代理可帮助识别您的 Amazon EKS 集群中可能遭到入侵的特定容器。它还可以检测有人企图将权限从单个容器升级到底层 Amazon EC2 主机或更广泛的 AWS 环境。

GuardDuty 已通过 AWS Organizations 在所有账户中启用，所有发现均可由相应的安全团队在 GuardDuty 委托管理员账户（在本例中为安全工具账户）中查看和采取行动。

启用 AWS Security Hub 后， GuardDuty 发现的结果会自动流向 Security Hub。启用 Amazon Detective 后， GuardDuty 发现的结果将包含在 Detective 日志采集流程中。 GuardDuty 和 Detective 支持跨服务用户工作流程，其中 GuardDuty提供来自控制台的链接，可将您从选定的发现重定向到包含一组精选的可视化效果的 Detective 页面，用于调查该发现。例如，您还可以 GuardDuty 与 Amazon EventBridge 集成，自动执行最佳实践 GuardDuty，例如自动回复新 GuardDuty 发现。

实现示例

A WS SRA 代码库提供了亚马逊 GuardDuty的示例实现。它包括加密 S3 存储桶配置、委托管理以及对 AWS 组织中所有现有和未来账户的 GuardDuty 启用。

AWS Config

AWS Config 是一项服务，可让您评估、审计和评估您的 AWS 账户中支持的 AWS 资源的配置。AWS Config 持续监控和记录 AWS 资源配置，并根据所需的配置自动评估记录的配置。您还可以将 AWS Config 与其他服务集成，以完成自动审计和监控管道中的繁重工作。例如，AWS Config 可以监控 AWS Secrets Manager 中各个密钥的变化。

您可以使用 AWS C onfig 规则来评估您的 AWS 资源的配置设置。AWS Config 提供了一个名为托管规则的可自定义预定义规则库，您也可以编写自己的自定义规则。您可以在主动模式（部署资源之前）或侦探模式（部署资源之后）运行 AWS Config 规则。当配置发生更改时，可以按定期计划或按选择的频率对资源进行评估。

一致性包是 AWS C onfig 规则和补救措施的集合，可以作为单个实体部署在账户和区域中，也可以在 AWS Organizations 中跨组织部署。一致性包是通过创作一个 YAML 模板创建的，该模板包含 AWS Config 托管或自定义规则和补救操作的列表。要开始评估您的 AWS 环境，请使用其中一个示例一致性包模板。

AWS Config 与 AWS Security Hub 集成，将 AWS Config 托管和自定义规则评估的结果作为结果发送到 Security Hub。

AWS Config 规则可以与 AWS Systems Manager 配合使用，以有效地修复不合规的资源。您可以使用 AWS Systems Manager Explorer 收集各个 AWS 区域的 AWS 账户中 AWS Config 规则的合规状态，然后使用系统管理器自动化文档（运行手册）来解决您不合规的 AWS Config 规则。有关实施细节，请参阅博客文章使用 AWS S ystems Manager Automation 运行手册修复不合规的 AWS Config 规则。

AWS Config 聚合器在 AWS Organizations 中收集多个账户、区域和组织的配置和合规性数据。聚合器仪表板显示聚合资源的配置数据。库存和合规控制面板提供有关各个 AWS 账户、AWS 区域或 AWS 组织内的 AWS 资源配置和合规状态的重要和最新信息。它们使您无需编写 AWS Config 高级查询即可对您的 AWS 资源库存进行可视化和评估。您可以获得基本见解，例如按资源划分的合规性摘要、拥有不合规资源的前 10 个账户、按类型比较正在运行和已停止 EC2 实例以及按卷类型和大小划分的 EBS 卷。

如果您使用 AWS Control Tower 来管理您的 AWS 组织，它将部署一组 AWS Config 规则作为侦探护栏（分为必修规则、强烈推荐规则或选修规则）。这些护栏可帮助您管理资源并监控 AWS 组织中各个账户的合规性。这些 AWS Config 规则将自动使用值为的aws-control-tower标签managed-by-control-tower。

必须为 AWS 组织和包含您要保护的资源的 AWS 区域中的每个成员账户启用 AWS Config。您可以集中管理（例如，创建、更新和删除）AWS Config 规则，涵盖您的 AWS 组织内所有账户。通过 AWS Config 委托管理员账户，您可以为所有账户部署一组通用 AWS Config 规则，并指定不应在其中创建 AWS Config 规则的账户。AWS Config 委托管理员账户还可以汇总所有成员账户的资源配置和合规性数据，以提供单一视图。通过确保您的 AWS 组织中的成员账户无法修改底层 AWS Config 规则，使用委托管理员账户中的 API 来强制实施治理。

设计注意事项

AWS Config 将配置和合规性变更通知流式传输到亚马逊 EventBridge。这意味着您可以使用中的原生筛选功能 EventBridge 来筛选 AWS Config 事件，这样您就可以将特定类型的通知路由到特定目标。例如，您可以将特定规则或资源类型的合规性通知发送到特定的电子邮件地址，或者将配置更改通知发送到外部 IT 服务管理 (ITSM) 或配置管理数据库 (CMDB) 工具。有关更多信息，请参阅博客文章 AWS Config 最佳实践。
除了使用 AWS Config 主动规则评估外，您还可以使用 AWS CloudFormation Guard，这是一种主动检查资源配置合规性的 policy-as-code 评估工具。AWS CloudFormation Guard 命令行界面 (CLI) 为您提供了一种声明性的、特定于域的语言 (DSL)，您可以使用该语言将策略表示为代码。此外，您可以使用 AWS CLI 命令来验证 JSON 格式或 YAML 格式的结构化数据，例如 CloudFormation 变更集、基于 JSON 的 Terraform 配置文件或 Kubernetes 配置。您可以在创作过程中使用 AWS CloudFormation Guard CLI 在本地运行评估，也可以在部署管道中运行评估。如果您有 AWS Cloud Development Kit (AWS CDK) 应用程序，则可以使用 cdk-nag 主动检查最佳实践。

实现示例

AWS SRA 代码库提供了一个示例实现，该实现将 AWS Config 一致性包部署到 AWS 组织内的所有 AWS 账户和区域。AWS Config Aggregator 模块可帮助您配置 AWS Config 聚合器，方法是将管理委托给组织管理账户中的成员账户（安全工具），然后在委托管理员账户中为 AWS 组织中所有现有和未来的账户配置 AWS Config 聚合器。您可以使用 AWS Config Control Tower 管理账户模块在组织管理账户中启用 AWS Config，AWS Control Tower 未启用该模块。

Amazon Security Lake

Amazon Secur ity Lake 是一项完全托管的安全数据湖服务。您可以使用 Security Lake 自动集中来自 AWS 环境、软件即服务 (SaaS) 提供商、本地和第三方来源的安全数据。Security Lake 可帮助您构建标准化数据源，简化分析工具而不是安全数据的使用，因此您可以更全面地了解整个组织的安全状况。数据湖由 Amazon Simple Storage Service (Amazon S3) 存储桶提供支持，您保留数据的所有权。Security Lake 会自动收集 AWS 服务的日志，包括 AWS CloudTrail、亚马逊 VPC、亚马逊 Route 53、亚马逊 S3、AWS Lambda 和亚马逊 EKS 审计日志。

AWS SRA 建议您使用日志存档账户作为 Security Lake 的委托管理员账户。有关设置委托管理员账户的更多信息，请参阅安全 OU — 日志存档账户部分中的 Amazon Security Lak e。想要访问 Security Lake 数据或需要能够使用自定义提取、转换和加载 (ETL) 函数将非原生日志写入 Security Lake 存储桶的安全团队应在 Security Tools 账户中操作。

Security Lake 可以收集来自不同云提供商的日志、来自第三方解决方案的日志或其他自定义日志。我们建议您使用安全工具帐户执行 ETL 函数，将日志转换为开放网络安全架构框架 (OCSF) 格式，并以 Apache Parquet 格式输出文件。Security Lake 创建跨账户角色，该角色具有安全工具账户和由 AWS Lambda 函数或 AWS Glue 爬虫支持的自定义源的适当权限，可以将数据写入安全湖的 S3 存储桶。

Security Lake 管理员应配置使用安全工具帐户并需要访问 Security Lake 作为订阅者收集的日志的安全小组。Security Lake 支持两种类型的订阅用户访问：

数据访问 — 订阅者可以直接访问安全湖的 Amazon S3 对象。Security Lake 管理基础设施和权限。当您将安全工具账户配置为安全湖数据访问订阅者时，该账户将通过亚马逊简单队列服务 (Amazon SQS) Simple SQUEE Service 收到有关安全湖存储桶中的新对象的通知，安全湖会创建访问这些新对象的权限。
查询访问权限 — 订阅者可以使用诸如亚马逊 Athena 之类的服务查询 S3 存储桶中的 AWS Lake Formation 表中的源数据。使用 AWS Lake Formation 可以自动设置跨账户访问以进行查询访问。当您将 Security Tooling 账户配置为 Security Lake 查询访问订阅者时，该账户将获得对 Security Lake 账户中日志的只读访问权限。当您使用这种订阅者类型时，Athena 和 AWS Glue 表将通过 AWS Resource Access Manager (AWS RAM) 与安全工具账户共享 Security Lake 日志存档账户和安全工具账户。要启用此功能，您必须将跨账户数据共享设置更新到版本 3。

有关创建订阅者的更多信息，请参阅 Security Lake 文档中的订阅者管理。

有关提取自定义源的最佳实践，请参阅 Security Lake 文档中的从自定义来源收集数据。

您可以使用亚马逊 QuickSight、亚马逊和亚马逊 OpenSearch SageMaker对存储在 Security Lake 中的安全数据进行分析。

设计注意事项

如果应用程序团队需要查询Security Lake数据以满足业务需求，则Security Lake管理员应将该应用程序帐户配置为订阅者。

Amazon Macie

Amazon Macie 是一项完全托管的数据安全和数据隐私服务，它使用机器学习和模式匹配来发现和帮助保护您在 AWS 中的敏感数据。您需要确定您的工作负载正在处理的数据的类型和分类，以确保实施适当的控制。您可以使用 Macie 通过两种方式自动发现和报告敏感数据：执行自动敏感数据发现以及创建和运行敏感数据发现任务。通过自动发现敏感数据，Macie 每天都会评估您的 S3 存储桶清单，并使用采样技术从您的存储桶中识别和选择具有代表性的 S3 对象。然后，Macie 检索并分析所选对象，检查它们是否有敏感数据。敏感数据发现工作可提供更深入、更有针对性的分析。使用此选项，您可以定义分析的广度和深度，包括要分析的 S3 存储桶、采样深度以及源自 S3 对象属性的自定义标准。如果 Macie 检测到存储桶的安全性或隐私存在潜在问题，它会为您创建策略调查发现。默认情况下，所有新的 Macie 客户都将启用自动数据发现，现有的 Macie 客户只需点击一下即可启用自动数据发现。

通过 AWS Organizations 在所有账户中启用 Macie。在委托管理员账户（在本例中为 Security Tooling 账户）中拥有相应权限的委托人可以在任何账户中启用或暂停 Macie，为成员账户拥有的存储分区创建敏感数据发现任务，以及查看所有成员账户的所有策略结果。只有创建敏感发现任务的账户才能查看敏感数据调查结果。有关更多信息，请参阅 Macie 文档中的在亚马逊 Macie 中管理多个账户。

Macie 的调查结果将流向 AWS Security Hub 进行审查和分析。Macie 还与 Amazon 集成， EventBridge 以促进对警报、安全信息和事件管理 (SIEM) 系统的馈送以及自动补救等发现的自动响应。

设计注意事项

如果 S3 对象使用您管理的 AWS 密钥管理服务 (AWS KMS) 密钥加密，则可以将 Macie 服务相关角色作为密钥用户添加到该 KMS 密钥中，以允许 Macie 扫描数据。
Macie 已针对扫描 Amazon S3 中的对象进行了优化。因此，可以扫描任何可放入 Amazon S3（永久或临时）的 MacIE 支持的对象类型，以查找敏感数据。这意味着来自其他来源的数据（例如，亚马逊关系数据库服务 (Amazon RDS) 或亚马逊 Aurora 数据库的定期快照导出、导出的亚马逊 D ynamoDB 表或从本机或第三方应用程序中提取的文本文件）可以移动到 A mazon S3 并由 Macie 进行评估。

实现示例

A WS SRA 代码库提供了亚马逊 Macie 的示例实现。它包括将管理委托给成员账户，以及在委托管理员账户中为 AWS 组织中所有现有和将来的账户配置 Macie。Macie 还配置为将调查结果发送到中央 S3 存储桶，该存储桶在 AWS KMS 中使用客户托管密钥进行加密。

AWS IAM 访问分析器

在您加快 AWS 云采用之旅并继续进行创新的同时，保持对精细访问权限（权限）的严格控制、遏制访问激增并确保有效使用权限至关重要。过多和未使用的访问权限会带来安全挑战，并使企业更难执行最小权限原则。该原则是一个重要的安全架构支柱，它涉及不断调整IAM权限的大小，以平衡安全要求与运营和应用程序开发需求。这项工作涉及多个利益相关者角色，包括中央安全和卓越云中心 (CCoE) (CCoE) 团队以及去中心化开发团队。

AWS IAM Access Analyzer 提供的工具可以有效地设置细粒度权限、验证预期权限，并通过删除未使用的访问权限来完善权限，从而帮助您满足企业安全标准。它使您可以通过控制面板和 AWS Security Hub 查看外部和未使用的访问结果。此外，它还支持 Amazon 基于事件 EventBridge的自定义通知和补救工作流程。

IAM Access Analyzer 外部调查结果功能可帮助您识别您的 AWS 组织和账户中与外部实体共享的资源，例如 A mazon S3 存储桶或 IAM 角色。您选择的 AWS 组织或账户被称为信任区域。分析器使用自动推理来分析信任区域内所有支持的资源，并为可以从信任区域之外访问资源的委托人生成调查结果。这些发现有助于识别与外部实体共享的资源，并帮助您在部署资源权限之前预览您的政策如何影响公共和跨账户访问您的资源。

IAM Access Analyzer 的调查结果还可以帮助您识别在您的 AWS 组织和账户中授予的未使用访问权限，包括：

未使用的 IAM 角色 — 在指定的使用窗口内没有访问活动的角色。
未使用的 IAM 用户、证书和访问密钥 — 属于 IAM 用户的证书，用于访问 AWS 服务和资源。
未使用的 IAM 策略和权限 — 角色在指定使用窗口内未使用的服务级别和操作级权限。IAM Access Analyzer 使用附加到角色的基于身份的策略来确定这些角色可以访问的服务和操作。分析器可以查看所有服务级别权限的未使用权限。

您可以使用 IAM Access Analyzer 生成的调查结果，根据贵组织的策略和安全标准，了解并修复任何意外或未使用的访问。修复后，下次运行分析器时，这些发现将被标记为已解决。如果发现是故意的，您可以在 IAM Access Analyzer 中将其标记为已存档，并优先考虑其他存在更大安全风险的发现。此外，您可以设置存档规则以自动存档特定的调查结果。例如，您可以创建一个存档规则，来自动存档您定期为其授予访问权限的特定 Amazon S3 存储桶的调查发现。

作为构建者，您可以使用 IAM Access Analyzer 在开发和部署 (CI/CD) 流程的早期自动执行 IAM 策略检查，以遵守您的企业安全标准。您可以将 IAM Access Analyzer 自定义策略检查和策略审查与 AWS 集成， CloudFormation 以自动执行策略审查，将其作为开发团队 CI/CD 管道的一部分。这包括：

IAM 策略验证 — IAM Access Analyzer 会根据 IAM 策略语法和 AWS 最佳实践验证您的策略。您可以查看策略验证检查的结果，包括安全警告、错误、一般警告和策略建议。目前有 100 多项策略验证检查可用，可以使用 AWS 命令行界面 (AWS CLI) Line 和 API 自动执行这些检查。
IAM 自定义策略检查 — IAM Access Analyzer 自定义策略检查根据您指定的安全标准验证您的策略。自定义策略检查使用自动推理，为满足企业安全标准提供更高级别的保证。自定义策略检查的类型包括：
- 根据@@ 参考策略进行核对：编辑策略时，可以将其与参考策略（例如策略的现有版本）进行比较，以检查更新是否授予了新的访问权限。CheckNoNewAccessAPI 比较两个策略（更新后的策略和参考策略），以确定更新后的策略是否通过引用策略引入了新的访问权限，并返回通过或失败的响应。
- 对照 IAM 操作列表进行核对：您可以使用 CheckAccessNotGrantedAPI 来确保策略不会授予对安全标准中定义的关键操作列表的访问权限。此 API 采用策略和最多 100 个 IAM 操作的列表来检查该策略是否允许至少一个操作，并返回通过或失败的响应。

安全团队和其他 IAM 策略作者可以使用 IAM Access Analyzer 来编写符合 IAM 策略语法和安全标准的策略。手动编写大小合适的策略可能容易出错且耗时。IAM Access Analyzer 策略生成功能可帮助编写基于委托人访问活动的 IAM 策略。IAM Access Analyzer 会查看支持服务的 AWS CloudTrail 日志，并生成一个策略模板，其中包含委托人在指定日期范围内使用的权限。然后，您可以使用此模板创建具有精细权限的策略，该策略仅授予必要的权限。

您必须为账户启用 CloudTrail 跟踪，才能根据访问活动生成策略。
IAM Access Analyzer 不会在生成的策略中识别数据事件的操作级活动，例如 Amazon S3 数据事件。
该iam:PassRole操作不会被跟踪 CloudTrail ，也不会包含在生成的策略中。

Access Analyzer 通过 AWS Organizations 中的委托管理员功能部署在安全工具账户中。授权的管理员有权创建和管理以 AWS 组织为信任区的分析器。

设计注意事项

要获得账户范围内的调查结果（其中账户作为可信边界），您可以在每个成员账户中创建一个账户范围的分析器。这可以作为账户渠道的一部分来完成。账户范围内的调查结果将在成员账户级别流入 Security Hub。然后，它们会流向 Security Hub 委派的管理员帐户（安全工具）。

实现示例

AWS SRA 代码库提供了 IA M Access Analyzer 的示例实现。它演示了如何在委派的管理员账户中配置组织级分析器，在每个账户中配置账户级分析器。
有关如何将自定义策略检查集成到构建器工作流程的信息，请参阅 AWS 博客文章介绍 IAM Access Analyzer 自定义策略检查。

AWS Firewall Manager

AWS Firewall Manager 通过简化跨多个账户和资源对 AWS WAF、AWS Shield Advanced、Amazon VPC 安全组、AWS 网络防火墙和 Route 53 Resolver DNS 防火墙的管理和维护任务，来帮助保护您的网络。使用 Firewall Manager，您只需设置一次 AWS WAF 防火墙规则、Shield 高级保护、Amazon VPC 安全组、AWS 网络防火墙和 DNS 防火墙规则组关联。即使您添加新资源，该服务也会自动跨账户和资源应用您的规则和保护。

当您想要保护整个 AWS 组织而不是少数特定账户和资源，或者您经常添加想要保护的新资源时，Firewall Manager 特别有用。Firewall Manager 使用安全策略允许您定义一组配置，包括必须部署的相关规则、保护和操作，以及要包含或排除的帐户和资源（由标签指示）。您可以创建精细而灵活的配置，同时仍然能够将控制范围扩展到大量账户和 VPC。即使创建了新账户和资源，这些策略也会自动一致地强制执行您配置的规则。通过 AWS Organizations 在所有账户中启用防火墙管理器，配置和管理由相应的安全团队在防火墙管理器委托管理员账户（在本例中为安全工具账户）中执行。

您必须为包含您要保护的资源的每个 AWS 区域启用 AWS Config。如果您不想为所有资源启用 AWS Config，则必须为与您使用的防火墙管理器策略类型关联的资源启用 AWS Config。当您同时使用 AWS Security Hub 和防火墙管理器时，防火墙管理器会自动将您的发现发送到 Security Hub。Firewall Manager 会为不合规的资源及其检测到的攻击创建调查结果，并将发现结果发送到 Security Hub。在为 AWS WAF 设置 Firewall Manager 策略时，您可以集中启用所有范围内账户的网络访问控制列表 (Web ACL) 上的登录功能，并将日志集中到一个账户下。

设计注意事项

AWS 组织中个人成员账户的客户经理可以根据自己的特定需求在 Firewall Manager 托管服务中配置其他控制措施（例如 AWS WAF 规则和 Amazon VPC 安全组）。

实现示例

AWS SRA 代码库提供了 AW S Firewall Manager 的示例实现。它演示委托管理（安全工具）、部署允许的最大安全组、配置安全组策略以及配置多个 WAF 策略。

Amazon EventBridge

Amazon EventBridge 是一项无服务器事件总线服务，可以直接将您的应用程序与来自各种来源的数据连接起来。它经常用于安全自动化。您可以设置路由规则来确定将数据发送到何处，从而构建能够实时响应所有数据源的应用程序架构。除了在每个账户中使用默认事件总线外，您还可以创建自定义事件总线来接收来自自定义应用程序的事件。您可以在安全工具账户中创建事件总线，用于接收来自 AWS 组织中其他账户的安全特定事件。例如，通过将 AWS Config 规则和 Security Hub 与 EventBridge Security Hub 关联起来，您可以创建一个灵活的自动化管道，用于路由安全数据、发出警报和管理解决问题的操作。 GuardDuty

设计注意事项

EventBridge 能够将事件路由到多个不同的目标。自动执行安全操作的一种有价值的模式是将特定事件与个人 AWS Lambda 响应者关联起来，后者会采取适当的措施。例如，在某些情况下，您可能需要使用将公有 S3 存储桶查找结果路由 EventBridge 到更正存储桶策略并删除公共权限的 Lambda 响应器。可以将这些响应者整合到您的调查手册和操作手册中，以协调响应活动。
成功的安全运营团队的最佳做法是将安全事件和发现的流程集成到通知和工作流系统中，例如票务系统、错误/问题系统或其他安全信息和事件管理 (SIEM) 系统。这样可以省去电子邮件和静态报告的工作流程，并帮助您路由、上报和管理事件或发现。中的灵活路由功能 EventBridge 是实现这种集成的强大推动力。

Amazon Detective

Amazon Detective 让您的安全分析师可以直接分析、调查和快速识别安全发现或可疑活动的根本原因，从而支持您的响应式安全控制策略。Detective 会自动从 AWS CloudTrail 日志和 Amazon VPC 流日志中提取基于时间的事件，例如登录尝试、API 调用和网络流量。您可以使用 Detective 访问长达一年的历史事件数据。Detective 通过使用独立的日志流和 Amazon VPC 流 CloudTrail 日志来使用这些事件。Detective 使用机器学习和可视化来创建统一的交互式视图，以了解您的资源行为以及资源之间随时间推移的交互情况，这称为行为图。您可以浏览行为图来检查不同的操作，例如登录尝试失败或可疑 API 调用。

Detective 与 Amazon Security Lake 集成，使安全分析师能够查询和检索存储在 Security Lake 中的日志。在 Detective 中进行安全调查时，您可以使用此集成从存储在 Security Lake 中的 AWS CloudTrail 日志和 Amazon VPC 流日志中获取更多信息。

Detective 还会摄取 Amazon 检测到的结果 GuardDuty，包括GuardDuty 运行时监控检测到的威胁。当某个帐户启用 Detective 时，它将成为行为图的管理员帐户。在尝试启用 Detective 之前，请确保您的账户已注册至少 48 小时。 GuardDuty如果您不符合这一要求，则无法启用 Detective。

Detective 会自动将与单个安全漏洞事件相关的多个发现分组到查找组中。威胁行为者通常会执行一系列操作，这些操作会导致多个跨时间和资源的安全发现。因此，调查小组应是涉及多个实体和调查结果的调查的起点。Detective 还使用生成式 AI 来提供查找小组摘要，该人工智能会自动分析查找群组，并以自然语言提供见解，以帮助您加快安全调查。

侦探与 AWS Organizations 集成。组织管理账户委托一个成员账户作为 Detective 管理员账户。在 AWS SRA 中，这是安全工具账户。Detective 管理员账户能够自动启用组织中的所有当前成员账户作为侦探成员账户，还可以在新成员账户添加到 AWS 组织时添加这些账户。Detective 管理员账户还可以邀请目前不在 AWS 组织内但位于同一地区的成员账户将其数据贡献到主账户的行为图中。当成员账户接受邀请并启用时，Detective 开始提取该成员账户的数据并将其提取到该行为图中。

设计注意事项

你可以导航到 Detective，从 GuardDuty 和 AWS Security Hub 控制台上查找个人资料。这些链接可以帮助简化调查流程。你的账户必须是 Detective 和你要转出的服务（GuardDuty 或 Security Hub）的管理账户。如果服务的主账户相同，则集成链接可以无缝运行。

Amazon Audit Manager

AWS Audit Manager 可帮助您持续审计 AWS 的使用情况，从而简化您管理审计以及遵守法规和行业标准的方式。它使您能够从手动收集、审查和管理证据转变为自动收集证据的解决方案，提供一种跟踪审计证据来源的简单方法，支持团队协作，并有助于管理证据的安全性和完整性。当需要进行审计时，Audit Manager 可帮助您管理利益相关者对控件的审核。

使用 Audit Manager，您可以根据预先构建的框架进行审计，例如互联网安全中心 (CIS) 基准、CIS AWS 基金会基准、系统和组织控制 2 (SOC 2) 以及支付卡行业数据安全标准 (PCI DSS)。它还使您能够根据内部审计的具体要求创建自己的带有标准或自定义控制的框架。

Audit Manager 收集了四种类型的证据。自动提供三种类型的证据：来自 AWS Config 和 AWS Security Hub 的合规性检查证据、来自 AWS 的管理事件证据 CloudTrail，以及来自 AWS service-to-service API 调用的配置证据。对于无法自动处理的证据，Audit Manager 允许您上传手动证据。

注意

Audit Manager 协助收集与验证是否符合特定合规标准和法规相关的证据。但是，它不会评估您的合规性。因此，通过 Audit Manager 收集的证据可能不包括审计所需的操作流程细节。Audit Manager 不能替代法律顾问或合规专家。我们建议您聘请第三方评估员的服务，该评估机构已根据您接受评估的合规框架获得认证。

Audit Manager 评估可以对您的 AWS 组织中的多个账户进行。Audit Manager 收集证据并将其合并到 AWS Organizations 中的委托管理员账户中。此审计功能主要由合规和内部审计团队使用，只需要对您的 AWS 账户具有读取权限。

设计注意事项

Audit Manager 补充了其他 AWS 安全服务，例如 Security Hub 和 AWS Config，以帮助实施风险管理框架。Audit Manager 提供独立的风险保障功能，而 Security Hub 可帮助您监督风险，AWS Config 合规包可帮助您管理风险。熟悉内部审计师协会 (IIA) 开发的三条线模型的审计专业人员应注意，这种 AWS 服务的组合可以帮助您覆盖三道防线。有关更多信息，请参阅 AWS 云运营和迁移博客上由两部分组成的博客系列。
为了让 Audit Manager 收集 Security Hub 证据，这两项服务的委托管理员账户必须是相同的 AWS 账户。因此，在 AWS SRA 中，安全工具账户是 Audit Manager 的委托管理员。

AWS Artical

AWS Artifac t 托管在安全工具账户中，用于将合规项目管理功能与 AWS 组织管理账户分开。这种职责分工很重要，因为除非绝对必要，否则我们建议您避免使用 AWS 组织管理账户进行部署。相反，将部署传递给成员账户。由于审计项目管理可以通过成员账户完成，而且该职能与安全与合规团队非常一致，因此安全工具账户被指定为 AWS Artifact 的管理员账户。您可以使用 AWS Artifact 报告下载 AWS 安全和合规性文件，例如 AWS ISO 认证、支付卡行业 (PCI) 以及系统和组织控制 (SOC) 报告。

AWS Artifact 不支持委托管理功能。相反，您可以将此功能限制为 Security Tools 账户中与您的审计和合规团队相关的 IAM 角色，这样他们就可以根据需要下载、查看这些报告并将其提供给外部审计员。此外，您还可以通过 IAM 策略限制特定的 IAM 角色只能访问特定的 AWS Artifact 报告。有关 IAM 策略的示例，请参阅 AWS Artifact 文档。

设计注意事项

如果您选择为审计和合规团队开设专用 AWS 账户，则可以在安全审计账户中托管 AWS Artifact，该账户与安全工具账户分开。AWS Artifact 报告提供的证据表明组织正在遵循记录在案的流程或满足特定要求。审计工件在整个系统开发生命周期中收集和存档，可用作内部或外部审计和评估的证据。

AWS KMS

AWS Key Management Service（AWS KMS）可帮助您创建和管理加密密钥，并控制其在各种 AWS 服务和应用程序中的使用。AWS KMS 是一项安全且有弹性的服务，它使用硬件安全模块来保护加密密钥。它遵循行业标准的密钥材料生命周期流程，例如密钥的存储、轮换和访问控制。AWS KMS 可以通过加密和签名密钥来帮助保护您的数据，并且可以通过 AW S 加密软件开发工具包用于服务器端加密和客户端加密。为了保护和灵活性，AWS KMS 支持三种类型的密钥：客户托管密钥、AWS 托管密钥和 AWS 拥有的密钥。客户托管密钥是您创建、拥有和管理的 AWS 账户中的 AWS KMS 密钥。AWS 托管密钥是您账户中的 AWS KMS 密钥，由与 AWS KMS 集成的 AWS 服务代表您创建、管理和使用。AWS 拥有的密钥是 AWS 服务拥有和管理的 AWS KMS 密钥的集合，可在多个 AWS 账户中使用。有关使用 KMS 密钥的更多信息，请参阅 AWS KMS 文档和 AWS KMS 加密详情。

一种部署选项是将 KMS 密钥管理的责任集中到单个账户，同时使用密钥和 IAM 策略的组合，委托应用程序资源使用应用程序账户中密钥的权限。这种方法既安全又易于管理，但由于 AWS KMS 限制限制、账户服务限制以及安全团队被大量操作密钥管理任务所淹没，您可能会遇到障碍。另一种部署选项是采用去中心化模式，在这种模式中，您可以允许 AWS KMS 驻留在多个账户中，并允许负责特定账户中基础设施和工作负载的人员管理自己的密钥。此模型使您的工作负载团队能够更好地控制加密密钥的使用，提高灵活性和敏捷性。它还有助于避免 API 限制，将影响范围仅限于一个 AWS 账户，并简化报告、审计和其他与合规相关的任务。在去中心化模式中，重要的是要部署和强制执行护栏，以便以相同的方式管理分散式密钥，并根据既定的最佳实践和政策审计 KMS 密钥的使用情况。有关更多信息，请参阅白皮书《AWS Key Management Service 最佳实践》。AWS SRA 建议采用分布式密钥管理模式，其中 KMS 密钥存储在本地使用密钥的账户中。我们建议您避免在一个账户中使用单一密钥来实现所有加密功能。可以根据功能和数据保护要求创建密钥，并强制执行最小权限原则。在某些情况下，加密权限将与解密权限分开，管理员将管理生命周期功能，但无法使用他们管理的密钥加密或解密数据。

在安全工具账户中，AWS KMS 用于管理集中式安全服务的加密，例如由 AWS CloudTrail 组织管理的 AWS 组织跟踪。

AWS 私有 CA

AWS Private Certificate Authority(AWS 私有 CA) 是一项托管私有 CA 服务，可帮助您安全地管理 EC2 实例、容器、物联网设备和本地资源的私有终端实体 TLS 证书的生命周期。它允许与正在运行的应用程序进行加密 TLS 通信。使用 AWS 私有 CA，您可以创建自己的 CA 层次结构（根 CA，通过从属 CA 到终端实体证书），并使用它颁发证书，以对内部用户、计算机、应用程序、服务、服务器和其他设备进行身份验证，并对计算机代码进行签名。私有 CA 颁发的证书仅在您的 AWS 组织内受信任，在互联网上不受信任。

公钥基础架构 (PKI) 或安全团队可以负责管理所有 PKI 基础架构。这包括私有 CA 的管理和创建。但是，必须有一项规定，允许工作量团队自行满足其证书要求。AWS SRA 描绘了一个集中的 CA 层次结构，其中根 CA 托管在安全工具账户中。这使安全团队能够实施严格的安全控制，因为根 CA 是整个 PKI 的基础。但是，通过使用 AWS Resource Access Manager (AWS RAM) 将 CA 共享给应用程序账户，将私有 CA 的私有证书创建委托给应用程序开发团队。AWS RAM 管理跨账户共享所需的权限。这样就无需在每个账户中都使用私有 CA，并提供了一种更具成本效益的部署方式。有关工作流程和实施的更多信息，请参阅博客文章如何使用 AWS RAM 共享您的 AWS 私有 CA 跨账户。

注意

ACM 还可以帮助您预置、管理和部署公有 TLS 证书以用于 AWS 服务。为了支持此功能，ACM 必须驻留在将使用公有证书的 AWS 账户中。本指南后面的 “应用程序帐户” 部分将对此进行讨论。

设计注意事项

使用 AWS 私有 CA，您可以创建最多五个级别的证书颁发机构层次结构。您还可以创建多个层次结构，每个层次结构都有自己的根。 AWS 私有 CA 层次结构应符合贵组织的 PKI 设计。但是，请记住，增加 CA 层次结构会增加认证路径中的证书数量，这反过来又会增加最终实体证书的验证时间。定义明确的 CA 层次结构提供的好处包括适用于每个 CA 的精细安全控制、将从属 CA 委派给不同的应用程序（这会导致管理任务的分工）、使用具有有限的可撤销信任的 CA、能够定义不同的有效期以及强制执行路径限制的能力。理想情况下，您的根 CA 和从属 CA 位于不同的 AWS 账户中。有关使用规划 CA 层次结构的更多信息 AWS 私有 CA，请参阅AWS 私有 CA 文档和博客文章《如何保护汽车和制造业的企业规模 AWS 私有 CA 层次结构》。
AWS 私有 CA 可以与您的现有 CA 层次结构集成，这样您就可以将 ACM 的自动化和原生 AWS 集成功能与您当前使用的现有信任根结合使用。您可以在本地创建由父 CA AWS 私有 CA 支持的从属 CA。有关实现的更多信息，请参阅 AWS 私有 CA 文档中的安装由外部父 CA 签名的从属 CA 证书。

Amazon Inspector

Amazon Inspec tor 是一项自动漏洞管理服务，可自动发现和扫描 Amazon EC2 实例、亚马逊容器注册表 (Amazon ECR) 中的容器镜像，以及 AWS Lambda 函数，以查找已知的软件漏洞和意外网络泄露。

每当你对资源进行更改时，Amazon Inspector 都会自动扫描资源，从而在资源的整个生命周期中持续评估您的环境。启动资源重新扫描的事件包括在 EC2 实例上安装新软件包、安装补丁以及发布影响资源的新常见漏洞和暴露 (CVE) 报告。Amazon Inspector 支持互联网安全中心 (CIS) 对 EC2 实例中的操作系统进行基准评估。

Amazon Inspector 与 Jenkins 等开发者工具集成， TeamCity 用于容器映像评估。您可以评估您的容器镜像是否存在持续集成和持续交付 (CI/CD) 工具中的软件漏洞，并将安全性推向软件开发生命周期的早期阶段。评估结果可在 CI/CD 工具的控制面板中找到，因此您可以执行自动操作以应对关键安全问题，例如构建受阻或映像推送到容器注册表。如果您有活跃的 AWS 账户，则可以从 CI/CD 工具市场安装 Amazon Inspector 插件，并在构建管道中添加亚马逊检查器扫描，而无需激活 Amazon Inspector 服务。此功能可与托管在任何地方（AWS、本地或混合云中）的 CI/CD 工具配合使用，因此您可以在所有开发管道中始终如一地使用单一解决方案。激活 Amazon Inspector 后，它会自动大规模发现您的所有 EC2 实例、Amazon ECR 和 CI/CD 工具中的容器映像以及 AWS Lambda 函数，并持续监控它们是否存在已知漏洞。

Amazon Inspector 的网络可访问性调查结果评估您的 EC2 实例通过虚拟网关进出 VPC 边缘（例如互联网网关、VPN 对等连接或虚拟专用网络 (VPN)）的可访问性。这些规则有助于自动监控您的 AWS 网络，并识别安全组、访问控制列表 (ACL)、Internet 网关等管理不善可能导致对 EC2 实例的网络访问配置错误。有关更多信息，请参阅 Amazon Inspector 文档。

当 Amazon Inspector 发现漏洞或开放的网络路径时，它会生成一个可供您调查的结果。该发现包括有关该漏洞的全面细节，包括风险评分、受影响的资源和补救建议。风险评分是专门针对您的环境量身定制的，其计算方法是将 up-to-date CVE 信息与时间和环境因素（例如网络可访问性和可利用性信息）关联起来，从而提供上下文调查结果。

要扫描漏洞，必须使用 AWS Systems Manager 代理 (SSM 代理) 在 AWS Systems Manager 中管理 EC2 实例。无需代理即可实现 EC2 实例的网络可访问性或对 Amazon ECR 或 Lambda 函数中的容器映像进行漏洞扫描。

Amazon Inspector 与 AWS Organizations 集成，支持委托管理。在 AWS SRA 中，安全工具账户被设为 Amazon Inspector 的委托管理员账户。Amazon Inspector 委托管理员账户可以管理 AWS 组织成员的调查结果数据和某些设置。这包括查看所有成员账户汇总结果的详细信息、启用或禁用对成员账户的扫描，以及查看 AWS 组织内扫描的资源。

设计注意事项

启用这两项服务后，Amazon Inspector 会自动与 AWS Security Hub 集成。您可以使用此集成将来自 Amazon Inspector 的所有调查结果发送到 Security Hub，然后 Security Hub 会将这些发现纳入对您的安全态势的分析中。
Amazon Inspector 会自动将调查结果、资源覆盖范围变化和单个资源的初始扫描的事件导出到亚马逊 EventBridge，也可以导出到亚马逊简单存储服务 (Amazon S3) 存储桶。要将活动发现导出到 S3 存储桶，您需要一个 AWS KMS 密钥，Amazon Inspector 可以使用该密钥对调查结果进行加密，以及一个具有允许 Amazon Inspector 上传对象的权限的 S3 存储桶。 EventBridge 集成使您能够近乎实时地监控和处理调查结果，这是现有安全与合规工作流程的一部分。 EventBridge 除了事件来源的成员账户外，还会将事件发布到 Amazon Inspector 委托的管理员账户。

实现示例

AWS SRA 代码库提供了 A mazon Inspec tor 的示例实现。它演示了委托管理（安全工具），并为 AWS 组织中所有现有和未来的账户配置 Amazon Inspector。

在所有 AWS 账户中部署常用安全服务

本参考文献前面的 “在您的 AWS 组织中应用安全服务” 部分重点介绍了保护 AWS 账户的安全服务，并指出其中许多服务也可以在 AWS Organizations 中配置和管理。其中一些服务应部署在所有账户中，您将在 AWS SRA 中看到它们。这可以实现一组一致的护栏，并为您的 AWS 组织提供集中式监控、管理和治理。

Security Hub GuardDuty、AWS Config、AWS Config、AWS Analyzer 和 AWS CloudTrail 组织跟踪出现在所有账户中。前三个支持前面的 “管理账户”、“可信访问权限” 和 “委派管理员” 部分中讨论的委派管理员功能。 CloudTrail 目前使用不同的聚合机制。

AWS SRA GitHub代码存储库提供了在所有账户（包括 AWS 组织管理账户）中启用 Security Hub GuardDuty、AWS Config、Firewall Manager 和 CloudTrail 组织跟踪的实施示例。

设计注意事项

特定的账户配置可能需要额外的安全服务。例如，管理 S3 存储桶（应用程序和日志存档账户）的账户还应包括 Amazon Macie，并考虑在这些常见安全服务中启 CloudTrail 用 S3 数据事件记录。（Macie 支持通过集中配置和监控进行委托管理。）另一个例子是 Amazon Inspector，它仅适用于托管 EC2 实例或亚马逊 ECR 映像的账户。
除了本节前面描述的服务外，AWS SRA 还包括两项以安全为重点的服务，Amazon Detective 和 AWS Audit Manager，它们支持 AWS Organizations 集成和委托管理员功能。但是，这些服务并未包含在账户基准的推荐服务中，因为我们已经看到，这些服务最适合在以下场景中使用：
- 您有一个专门的团队或一组资源来执行这些职能。安全分析团队最能利用 Detective，而 Audit Manager 对您的内部审计或合规团队很有帮助。
- 您希望在项目开始时专注于一组核心工具，例如 GuardDuty 和 Security Hub，然后使用提供额外功能的服务在这些工具的基础上再接再厉。

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

文档惯例

组织管理账户

安全 OU — 日志存档账户