SEC03-BP07 分析公共和跨账户访问权限 - AWS Well-Architected 框架
实施指导 资源

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

SEC03-BP07 分析公共和跨账户访问权限

持续监控重点关注公共访问和跨账户访问的调查发现。将公共访问和跨账户访问限制为仅限需要此访问的特定资源。

预期结果:了解您的哪些 AWS 资源是共享的,以及与谁共享。持续监控和审计您的共享资源,以验证它们仅与授权的主体共享。

常见反模式:

  • 不保留共享资源的清单。

  • 跨账户访问或公开访问资源时,没有遵循流程。

在未建立这种最佳实践的情况下暴露的风险等级:

实施指导

如果您的账户已在 AWS Organizations,则可以向整个组织、特定组织单位或个人账户授予资源访问权限。如果您的账户不是某个组织的成员,您可以与个人账户共享资源。您可以使用基于资源的策略(例如亚马逊简单存储服务 (Amazon S3) Simple Storage Service 存储桶策略)或允许其他账户中的委托人在您的账户中担任角色来授予直接跨账户访问权限。IAM使用资源策略时,请验证访问权限是否仅授予给经过授权的主体。建立一个流程来审批所有需要可公开访问的资源。

AWS Identity and Access Management Access Analyzer 使用可证明安全性来标识从账户的外部访问某个资源时的所有访问路径。它持续审核资源策略,并报告公开访问和跨账户访问的调查发现,以使您能够轻松分析可能非常宽泛的访问权限。考虑IAM使用配置 Access Analyzer, AWS Organizations 以验证您是否可以查看所有帐户。IAMAccess Analyzer 还允许您在部署资源权限之前预览查找结果。这样,您便可以验证策略更改仅按照意图,授权对您资源的公共和跨账户访问。在设计多账户访问权限时,您可以使用信任策略来控制在何种情况下可代入某个角色。例如,您可以使用 PrincipalOrgId 条件键拒绝尝试从您的 AWS Organizations之外代入角色

AWS Config 可以报告配置错误的资源,并且通过 AWS Config 策略检查,可以检测配置了公共访问权限的资源。诸如AWS Control TowerAWS Security Hub简化部署侦探控制和护栏之类的服务, AWS Organizations 以识别和修复公开暴露的资源。例如, AWS Control Tower 有一个托管护栏,可以检测是否有任何 Amazon EBS 快照可以通过恢复。 AWS 账户

实施步骤

  • 考虑使用 f AWS Config o AWS Organizations r: AWS Config 允许您将一个内多个账户的发现结果汇总 AWS Organizations 到一个委派的管理员账户。这提供了一个全面的视图,并允许您AWS Config 规则 跨账户进行部署以检测可公开访问的资源

  • C onfigure A AWS Identity and Access Management Access Analyzer IAM ccess Analyzer 可帮助您识别组织和账户中的资源,例如 Amazon S3 存储桶或与外部实体共享的IAM角色。

  • 在中使用自动修复 AWS Config 来响应 Amazon S3 存储桶公有访问配置的更改:您可以自动启用 Amazon S3 存储桶的阻止公开访问设置

  • 实施监控和警报,以确定 Amazon S3 存储桶是否已变为公共:您必须具备监控或警报机制,以便确定 Amazon S3 屏蔽公共访问权限何时关闭,以及 Amazon S3 存储桶是否变为公共。此外,如果您正在使用 AWS Organizations,则可以创建服务控制策略来防止更改 Amazon S3 公有访问策略。 AWS Trusted Advisor 检查是否有具有开放访问权限的 Amazon S3 存储桶。如果向每个人授予“上传/删除”权限,那么任何人都可以向存储桶添加项目或者修改或删除存储桶中的项目,这样会产生潜在的安全问题。该 Trusted Advisor 检查会检查显式存储桶权限和可能覆盖存储桶权限的关联存储桶策略。您还可以使用 AWS Config 监控您的 Amazon S3 存储桶以供公众访问。有关更多信息,请参阅如何使用 AWS Config 监控和响应允许公开访问的 Amazon S3 存储桶。在审核访问权限时,请务必考虑 Amazon S3 存储桶中包含哪些类型的数据。Amazon Macie 可帮助发现和保护敏感数据(例如PIIPHI、)和证书(例如私钥或 AWS 密钥)。

资源

相关文档:

相关视频: