服务领域事件
服务领域事件通常仅通过 AWS API 进行处理。
身份
AWS 为我们的云服务提供 API,数以百万计的客户使用这些服务来构建新的应用程序并推动实现业务成果。可以通过多种方法调用这些 API,例如通过软件开发工具包(SDK)、AWS CLI 和 AWS Management Console。要通过这些方法与 AWS 交互,IAM 服务可帮助您安全地控制对 AWS 资源的访问。您可以使用 IAM 来控制谁通过了身份验证(准许登录)并获得授权(拥有权限),可以在账户级别使用资源。有关可通过 IAM 使用的 AWS 服务的列表,请参阅使用 IAM 的 AWS 服务。
当您首次创建 AWS 账户时,最初使用的是一个对账户中所有 AWS 服务和资源有完全访问权限的单点登录(SSO)身份。此身份称为 AWS 账户根用户,可以通过使用您用于创建账户的电子邮件地址和密码进行登录来访问该身份。强烈建议您不要使用根用户执行日常任务,尤其是不要使用根用户执行管理任务。我们建议您遵循最佳实践,仅使用根用户创建第一个 IAM 用户,安全地存储根用户凭证,仅使用它们执行一些账户和服务管理任务。有关更多信息,请参阅创建单独的 IAM 用户。
尽管这些 API 为数百万客户提供了价值,但如果错误的人获得您的 IAM 账户或根凭证,其中一些 API 可能会被滥用。例如,您可以使用 API 在您的账户中启用日志记录,例如 AWS CloudTrail。但是,如果攻击者获得了您的凭证,他们也可以使用 API 禁用这些日志。您可以通过配置遵循最低权限模式的适当 IAM 权限以及适当保护您的 IAM 凭证,从而防止此类滥用。有关更多信息,请参阅 AWS Identity and Access Management 用户指南中的 IAM 最佳实践。如果确实发生了此类事件,则可以通过多种检测控制来识别您的 AWS CloudTrail 日志记录是否已被禁用,包括 AWS CloudTrail、AWS Config、AWS Trusted Advisor、Amazon GuardDuty 和 AWS CloudWatch Events。
资源
其他会被滥用或配置错误的功能因组织而异,具体取决于每个客户在云中的运营方式。例如,一些组织打算让某些数据或应用程序可供公开访问,而另一些组织则将其应用程序和数据保留在内部并保密。并非所有安全事件本质上都是恶意的;有些事件可能是因无意或错误配置而引起的。考虑哪些 API 或功能对组织影响很大,以及您是否经常使用这些 API 或功能。
您可以利用工具和服务识别许多安全配置错误。例如,AWS Trusted Advisor 提供了许多针对最佳实践的检查。APN 合作伙伴也提供了数百种业界领先的产品,这些产品与您的本地环境中的现有控制措施等效、相同或相集成。其中许多产品和解决方案已通过 AWS 合作伙伴能力计划
