SEC08-BP05 使用机制限制对数据的访问 - AWS Well-Architected Framework

SEC08-BP05 使用机制限制对数据的访问

禁止所有用户直接访问正常运行环境中的敏感数据和系统。例如,利用变更管理工作流程,借助工具管理 Amazon Elastic Compute Cloud(Amazon EC2)实例,而不是允许直接访问或通过堡垒主机进行访问。这可以使用 AWS Systems Manager Automation来实现,此功能将使用 包含您的任务执行步骤的 自动化文档。这些文档可以存储在源代码控制中、在运行之前接受对等审核,并接受全面测试以便最大程度降低风险(与 shell 访问相比)。企业用户可以使用一个仪表板而不是通过直接访问数据存储库来执行查询。当未使用 CI/CD 管道时,确定需要利用哪些控制措施和流程来充分提供通常禁用的 Break Glass 访问机制。

未建立这种最佳实践的情况下暴露的风险等级:

实施指导

资源

相关文档:

相关视频: