SEC03-BP08 在组织内安全地共享资源

随着工作负载数量的增长，您可能需要将这些工作负载中资源的访问权限进行共享，或者跨多个账户多次预置资源。您可能需要进行构造来划分环境，例如划分成开发、测试和生产环境。但是，采取相互分离的构造并不会限制您安全共享权限。通过共享重叠的组件，您可以降低运维开销，并提供一致的体验，而不必猜测在多次创建同一资源时可能遗漏了什么。

期望结果：通过使用安全的方法在组织内共享资源，尽可能地减少意外访问，并帮助实施数据丢失防护计划。与管理单个组件相比，降低了运维开销，减少了多次手动创建同一组件时引起的错误，并提高了工作负载的可扩展性。您可以在多点故障场景中缩短问题解决时间，并在确定何时不再需要某个组件时更有信心。有关分析外部共享资源的规范性指南，请参阅SEC03-BP07 分析公共和跨账户访问。

常见反模式：

• 缺少对意外的外部共享进行持续监控和自动发出警报的流程。

• 缺乏关于应分享什么和不应分享什么的基准。

• 默认采用广泛的开放政策，而不是在需要时明确地分享。

• 手动创建在需要时重叠的基础资源。

在未建立这种最佳实践的情况下暴露的风险等级：中等

实施指导

设计您的访问控制和模式，以安全地管理共享资源的使用，并且仅与可信实体共享。监控共享资源，持续检查共享资源访问权限，并在不适当或意外共享时发出警报。查看分析公共和跨账户访问来帮助您设置监管机制，以减少外部访问，只对需要的资源进行访问，并建立一个持续监控和自动警报的流程。

许多 AWS 服务（如 AWS Security Hub、Amazon GuardDuty 和 AWS Backup）支持 AWS Organizations 内的跨账户共享。这些服务允许将数据共享到中心账户，可从中心账户访问，或从中心账户管理资源和数据。例如，AWS Security Hub 可将调查结果从个人账户转移到中心账户，在那里您可以查看所有调查结果。AWS Backup 可以对资源进行备份并在多个账户之间共享。您可以使用 AWS Resource Access Manager（AWS RAM）来分享其他共用资源，例如 VPC 子网和 Transit Gateway 附件、AWS Network Firewall 或 Amazon SageMaker 管道。

要限制您的账户仅在组织内共享资源，请使用服务控制策略（SCP）阻止访问外部主体。共享资源时，请将基于身份的控制措施和网络控制措施相结合，为您的组织创建数据边界，以帮助防止意外访问。数据边界是一组预防性防护机制，用于帮助验证是否只有您的可信身份才能访问预期网络中的可信资源。这些控制措施会施加适当的限制，确定哪些资源可以共享，并防止共享或暴露不应被外泄的资源。例如，作为数据边界的一部分，您可以使用 VPC 端点策略和 AWS:PrincipalOrgId 条件来确保访问 Amazon S3 存储桶的身份属于您的组织。务必要注意，SCP 并不适用于服务关联角色（LSR）或 AWS 服务主体。

使用 Amazon S3 时，请对您的 Amazon S3 存储桶禁用 ACL，并使用 IAM 策略来定义访问控制。要限制从 Amazon CloudFront 访问 Amazon S3 源，请从来源访问身份（OAI）转为采用来源访问控制（OAC），后者支持其他功能，包括使用 AWS Key Management Service 进行服务器端加密。

在某些情况下，您可能希望允许在组织外部共享资源，或授予第三方访问您资源的权限。有关管理外部共享资源的权限的规范性指南，请参阅权限管理。

实施步骤

1. 使用 AWS Organizations。

   AWS Organizations 是一项账户管理服务，可让您将多个 AWS 账户 整合到您创建并集中管理的组织中。您可以将账户分组为组织单位（OU），并将不同的策略附加到每个 OU，以帮助您满足预算、安全性和合规性需求。您还可以控制 AWS 人工智能（AI）和机器学习（ML）服务收集和存储数据的方式，并使用与 Organizations 集成的 AWS 服务的多账户管理。

2. 将 AWS Organizations 与 AWS 服务集成。

   当您启用 AWS 服务以在组织的成员账户中代表您执行任务时，AWS Organizations 会在每个成员账户中为该服务创建 IAM 服务关联角色。您应使用 AWS Management Console、AWS API 或 AWS CLI 管理可信访问。有关启用可信访问的规范性指南，请参阅将 AWS Organizations 与其他 AWS 服务结合使用和可与 Organizations 一起使用的 AWS 服务。

3. 建立数据边界。

   AWS 边界通常表示为由 AWS Organizations 管理的组织。与本地网络和系统一样，访问 AWS 资源被许多人视为 My AWS 的边界。建立边界的目标，是验证如果身份可信、资源可信并且网络符合预期，则允许访问。

   1. 定义和实施边界。

      对于每个授权条件，请遵循《在 AWS 上构建边界》白皮书的边界实施中描述的步骤。有关保护网络层的规范性指南，请参阅保护网络。

   2. 持续监控并发出警报。

      AWS Identity and Access Management Access Analyzer 可帮助识别您组织和账户中与外部实体共享的资源。您可以将 IAM Access Analyzer 与 AWS Security Hub 集成，以将资源的调查结果从 IAM Access Analyzer 发送并聚合到 Security Hub，从而帮助分析环境的安全状况。要实现集成，请在每个账户的每个“区域”中同时启用 IAM Access Analyzer 和 Security Hub。您也可以使用 AWS Config 规则 来审计配置，并使用 AWS Chatbot 和 AWS Security Hub 向相关方发出警报。然后，您可以使用 AWS Systems Manager Automation 文档来修复不合规的资源。

   3. 有关对外部共享资源进行持续监控并发出警报的规范性指南，请参阅分析公共和跨账户访问。

4. 在 AWS 服务中使用资源共享并进行相应限制。

   许多 AWS 服务允许您与另一账户共享资源，或以另一账户中的资源为目标，比如亚马逊云机器镜像（AMI）和 AWS Resource Access Manager（AWS RAM）。限制 ModifyImageAttribute API 以指定可信账户，从而与之共享 AMI。当需要使用 AWS RAM 来将共享限制于您的组织内部时，请指定 ram:RequestedAllowsExternalPrincipals 条件，以帮助防止来自不可信身份的访问。有关规范性指南和注意事项，请参阅资源共享和外部目标。

5. 使用 AWS RAM 在账户中或与其他 AWS 账户 安全共享。

   AWS RAM 可帮助您与账户中的角色和用户以及与其他 AWS 账户安全地共享已创建的资源。在多账户环境中，AWS RAM 使您能够一次性创建资源并与其他账户共享。这种方法有助于降低运维开销，同时通过与 Amazon CloudWatch 和 AWS CloudTrail 的集成提供一致性、可见性和可审计性，使用跨账户访问时无法获得这些好处。

   如果您拥有以前使用基于资源的策略共享的资源，则可以使用 PromoteResourceShareCreatedFromPolicy API 或等效 API 将资源共享升级为完全 AWS RAM 资源共享。

   在某些情况下，您可能需要采取其他步骤来共享资源。例如，要共享加密快照，您需要共享 AWS KMS 密钥。

资源

相关最佳实践：

• SEC03-BP07 分析公共和跨账户访问

• SEC03-BP09 与第三方安全地共享资源

• SEC05-BP01 创建网络层

相关文档：

• 存储桶拥有者向并非其拥有的对象授予跨账户权限

• 如何将信任策略与 IAM 结合使用

• 在 AWS 上构建数据边界

• 如何在向第三方授予对 AWS 资源的访问权限时使用外部 ID

• 可与 AWS Organizations 一起使用的 AWS 服务

• 在 AWS 上建立数据边界：仅允许可信身份获取公司数据

相关视频：

• 使用 AWS Resource Access Manager 实现精细访问

• 使用 VPC 端点保护您的数据边界

• 在 AWS 上建立数据边界

相关工具：

• 数据边界策略示例