安全 - AWS Support

描述

檢查 Amazon 日 CloudWatch 誌群組保留期是否設定為 365 天或其他指定的數字。

根據預設，日誌將無限期保留且永遠不會過期。不過，您可以調整每個日誌群組的保留原則，以符合特定期間的產業法規或法律要求。

您可以使用 AWS Config 規則中的和MinRetentionTime參數來指定最短保留時間LogGroupNames和記錄群組名稱。

注意

此檢查的結果會每天自動重新整理數次，且不允許重新整理請求。變更可能需要幾個小時才會顯示。目前，您無法從此檢查中排除資源。

檢查 ID

c18d2gz186

來源

AWS Config Managed Rule: cw-loggroup-retention-period-check

警示條件

黃色：Amazon 日 CloudWatch 誌群組的保留期間小於所需的最短天數。

建議的動作

為儲存在 Amazon CloudWatch Logs 中的日誌資料設定超過 365 天的保留期，以符合合規要求。

如需詳細資訊，請參閱變更 CloudWatch 記錄檔中的記錄檔資料保留。

其他資源

更改 CloudWatch 日誌保留

報告欄位

Status
區域
資源
AWS Config 規則
輸入參數
上次更新時間

描述

檢查過去 24 小時內用於執行 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體的 SQL 伺服器版本。這項檢查會在版本接近或已達到終止支援時發出提醒。每個 SQL 伺服器版本都提供 10 年的支援，包括 5 年的主流支援和 5 年的延長支援。終止支援後，SQL 伺服器版本將不會收到定期的安全更新。使用不支援的 SQL 伺服器版本執行應用程式可能會帶來安全或法規遵循風險。

注意

此檢查的結果會每天自動重新整理數次，且不允許重新整理請求。變更可能需要幾個小時才會顯示。目前，您無法從此檢查中排除資源。

檢查 ID

Qsdfp3A4L3

警示條件

紅色：EC2 執行個體具有已終止支援的 SQL Server 版本。
黃色：EC2 執行個體具有即將在 12 個月終止支援的 SQL Server 版本。

建議的動作

若要將 SQL Server 工作負載現代化，請考慮將其重構到 AWS 雲端原生資料庫，如 Amazon Aurora。如需詳細資訊，請參閱使用 AWS.

若要移至全受管資料庫，請考慮將其平台轉換為 Amazon Relational Database Service (Amazon RDS)。如需詳細資訊，請參閱 Amazon RDS for SQL Server。

若要在 Amazon EC2 上升級您的 SQL Server，請考慮使用自動化 Runbook 簡化您的升級。如需詳細資訊，請參閱 AWS Systems Manager 文件。

如果您無法在 Amazon EC2 上升級 SQL Server，請考慮使用 Windows Server 的終止支援遷移計劃 (EMP)。如需詳細資訊，請參閱 EMP 網站。

其他資源

報告欄位

Status
區域
執行個體 ID
SQL Server 版本
支援週期
終止支援
上次更新時間

描述

這項檢查會在版本接近或已達到終止支援時發出提醒。每個 Windows Server 版本都提供 10 年的支援。這包括 5 年的主流支援和 5 年的延長支援。終止支援後，Windows Server 版本將不會收到定期的安全更新。如果您使用不支援的 Windows Server 版本執行應用程式，則會危及這些應用程式的安全性或法規遵循。

注意

此檢查的結果會每天自動重新整理數次，且不允許重新整理請求。變更可能需要幾個小時才會顯示。目前，您無法從此檢查中排除資源。

檢查 ID

Qsdfp3A4L4

警示條件

紅色：EC2 執行個體的 Windows Server 版本已達到終止支援階段 (Windows Server 2003、2003 R2、2008 和 2008 R2)。
黃色：EC2 執行個體的 Windows Server 版本將在不到 18 個月內達到終止支援階段 (Windows Server 2012 和 2012 R2)。

建議的動作

若要將您的 Windows 伺服器工作負載現代化，請考慮使用將 Windows 工作負載現代化上可用的各種選項。 AWS

若要升級您的 Windows Server 工作負載，以便在更新版本的 Windows Server 上執行，您可以使用自動化 Runbook。如需詳細資訊，請參閱 AWS Systems Manager 文件。

請按照以下步驟操作：

a. 升級視窗伺服器版本
b. 硬停止並在升級時啟動
c. 如果使用 EC2Config，請移轉至 EC2 啟動

報告欄位

Status
區域
執行個體 ID
Windows Server 版本
支援週期
終止支援
上次更新時間

描述

如果版本接近或已達到標準支援結束，則此檢查會提醒您。採取行動很重要-通過遷移到下一個 LTS 或升級到 Ubuntu Pro。支援結束後，您的 18.04 LTS 電腦將不會收到任何安全性更新。使用 Ubuntu 專業版訂閱，您的 Ubuntu 18.04 LTS 部署可以收到擴展的安全性維護（ESM），直到 2028 年。仍未修補的安全漏洞會使您的系統對黑客開放，並且可能會發生重大漏洞。

檢查 ID

c1dfprch15

警示條件

紅色：Amazon EC2 實例具有達到標準支持結束的 Ubuntu 版本（Ubuntu 18.04 LTS，18.04.1 LTS，18.04.2 LTS，18.04.3 LTS，18.04.4 LTS，18.04.4 LTS，18.04.5 LTS 和 18.04.6 LTS）。

黃色：Amazon EC2 實例具有 Ubuntu 版本，該版本將在不到 6 個月內達到標準支持的結束（Ubuntu 20.04 LTS，20.04.1 LTS，20.04.2 LTS，20.04.3 LTS，20.04.4 LTS，20.04.5 LTS 和 20.04.6 LTS）。

綠色：所有 Amazon EC2 執行個體都符合規定。

建議的動作

若要將 Ubuntu 18.04 LTS 執行個體升級為受支援的 LTS 版本，請依照本文中提到的步驟執行。要將 Ubuntu 18.04 LTS 實例升級到 Ubuntu 專業版，請訪問 AWS License Manager 控制台並按照AWS License Manager 用戶指南中提到的步驟進行操作。您還可以參考 Ubuntu 博客，其中顯示了將 Ubuntu 實例升級到 Ubuntu Pro 的一步一步演示。

其他資源

如需定價的相關資訊，請聯絡AWS Support。

報告欄位

Status
區域
Ubuntu 的 LTS 版本
預期終止 Support 日期
執行個體 ID
支援週期
上次更新時間

描述

檢查 Amazon EFS 檔案系統是否已使用 data-in-transit 加密裝載。 AWS 建議客戶對所有資料流程使用 data-in-transit 加密，以保護資料免於意外外洩或未經授權的存取。Amazon EFS 建議用戶端使用 Amazon EFS 掛載協助程式使用「-o tls」掛載設定，使用 TLS 1.2 版加密傳輸中的資料。

檢查 ID

c1dfpnchv1

警示條件

黃色：Amazon EFS 檔案系統的一或多個 NFS 用戶端未使用提供 data-in-transit 加密的建議掛載設定。

綠色：Amazon EFS 檔案系統的所有 NFS 用戶端都使用提供 data-in-transit 加密的建議掛載設定。

建議的動作

若要利用 Amazon EFS 上的 data-in-transit 加密功能，建議您使用 Amazon EFS 掛載協助程式和建議的掛載設定重新掛接檔案系統。

注意

某些 Linux 發行版本不包含預設支援 TLS 功能的暫停版本。如果您使用的是不受支援的 Linux 發行版本 (請參閱此處支援的發行版)，建議您在使用建議的掛載設定重新掛載之前先升級它。

其他資源

加密傳輸中的資料

報告欄位

Status
區域
EFS 檔案系統 ID
具有未加密連線的 AZ
上次更新時間

描述

檢查 Amazon Elastic Block Store (Amazon EBS) 磁碟區快照的權限設定，並在有任何快照可公開存取時提醒您。

當您將快照集設為公開時，您可以授予所有 AWS 帳戶和使用者存取快照上所有資料的權限。如果您只想與特定使用者或帳戶共用快照，請將快照標示為私有。然後指定您要共用快照資料的使用者或帳戶。請注意，如果您在「封鎖所有共用」模式中啟用了封鎖公開存取，您的公開快照將無法公開存取，也不會顯示在檢查結果中。

注意

此檢查的結果會每天自動重新整理數次，且不允許重新整理請求。變更可能需要幾個小時才會出現。

檢查 ID

ePs02jT06w

警示條件

紅色：可公開存取 EBS 磁碟區快照。

建議的動作

除非您確定要與所有使用者 AWS 帳戶和使用者共用快照中的所有資料，否則請修改權限：將快照標記為私人，然後指定要授予權限的帳戶。如需詳細資訊，請參閱共用 Amazon EBS 快照。使用 EBS 快照的封鎖公用存取來控制允許公開存取資料的設定。此檢查無法從 Trusted Advisor 主控台的檢視中排除。

若要直接修改快照的權限，您可以使用 AWS Systems Manager 主控台中的 runbook。如需詳細資訊，請參閱 AWSSupport-ModifyEBSSnapshotPermission。

其他資源

Amazon EBS 快照

報告欄位

Status
區域
磁碟區 ID
快照 ID
描述

描述

Amazon RDS 使用您管理的金鑰，支援所有資料庫引擎的靜態加密 AWS Key Management Service。在具有 Amazon RDS 加密的作用中資料庫執行個體上，儲存在儲存中的靜態資料會加密，類似於自動備份、僅供讀取複本和快照。

如果在建立 Aurora DB 叢集時未開啟加密，則必須將解密的快照還原到加密的資料庫叢集。

注意

此檢查的結果會每天自動重新整理數次，且不允許重新整理請求。變更可能需要幾個小時才會顯示。目前，您無法從此檢查中排除資源。

注意

當資料庫執行個體或資料庫叢集停止時，您可以在 Trusted Advisor 3 到 5 天內檢視 Amazon RDS 建議。五天後，建議在中不可用 Trusted Advisor。若要檢視建議，請開啟 Amazon RDS 主控台，然後選擇「建議」。

如果刪除資料庫執行個體或資料庫叢集，則與這些執行個體或叢集相關聯的建議在 Trusted Advisor Amazon RDS 管理主控台中將無法使用。

檢查 ID

c1qf5bt005

警示條件

紅色：Amazon RDS Aurora 資源未啟用加密。

建議的動作

開啟資料庫叢集的靜態資料加密。

其他資源

您可以在建立資料庫執行個體時開啟加密，或使用因應措施在作用中資料庫執行個體上開啟加密。您無法將解密的資料庫叢集修改為加密的資料庫叢集。不過，您可以將解密的快照還原到加密的資料庫叢集。從解密的快照還原時，必須指定 AWS KMS 金鑰。

如需詳細資訊，請參閱加密 Amazon Aurora 資源。

報告欄位

Status
區域
資源
引擎名稱
上次更新時間

描述

您的資料庫資源沒有執行最新的次要資料庫引擎版本。最新的次要版本包含最新的安全性修正和其他改進。

注意

此檢查的結果會每天自動重新整理數次，且不允許重新整理請求。變更可能需要幾個小時才會顯示。目前，您無法從此檢查中排除資源。

注意

當資料庫執行個體或資料庫叢集停止時，您可以在 Trusted Advisor 3 到 5 天內檢視 Amazon RDS 建議。五天後，建議在中不可用 Trusted Advisor。若要檢視建議，請開啟 Amazon RDS 主控台，然後選擇「建議」。

如果刪除資料庫執行個體或資料庫叢集，則與這些執行個體或叢集相關聯的建議在 Trusted Advisor Amazon RDS 管理主控台中將無法使用。

檢查 ID

c1qf5bt003

警示條件

紅色：Amazon RDS 資源未執行最新的次要資料庫引擎版本。

建議的動作

升級至最新的引擎版本。

其他資源

我們建議您使用最新的 DB Engine 次要版本來維護資料庫，因為此版本包含最新的安全性和功能修正。數據庫引擎次要版本升級僅包含與相同主要版本的數據庫引擎的早期次要版本向後兼容的更改。

如需詳細資訊，請參閱升級資料庫執行個體引擎版本。

報告欄位

Status
區域
資源
引擎名稱
引擎版本目前
建議值
上次更新時間

描述

檢查 Amazon Relational Database Service (Amazon RDS) 資料庫快照的許可設定，並在任何快照標示為公有時發出提醒。

當您將快照集設為公開時，您可以授予所有 AWS 帳戶和使用者存取快照上所有資料的權限。如果您只想與特定使用者或帳戶共用快照，請將快照標示為私有。然後指定您要共用快照資料的使用者或帳戶。

注意

此檢查的結果會每天自動重新整理數次，且不允許重新整理請求。變更可能需要幾個小時才會出現。

檢查 ID

rSs93HQwa1

警示條件

紅色：Amazon RDS 快照標記為公有。

建議的動作

除非您確定要與所有使用者 AWS 帳戶和使用者共用快照中的所有資料，否則請修改權限：將快照標記為私人，然後指定要授予權限的帳戶。如需詳細資訊，請參閱共用資料庫快照或資料庫叢集快照。此檢查無法從 Trusted Advisor 主控台的檢視中排除。

若要直接修改快照的權限，您可以使用 AWS Systems Manager 主控台中的 runbook。如需詳細資訊，請參閱 AWSSupport-ModifyRDSSnapshotPermission。

其他資源

備份與還原 Amazon RDS 資料庫執行個體

報告欄位

Status
區域
資料庫執行個體或叢集 ID
快照 ID

描述

檢查 Amazon Relational Database Service (Amazon RDS) 的安全群組組態，並在安全群組規則授予過度寬鬆的資料庫許可存取權時發出警告。建議的安全群組規則組態是僅允許從特定的 Amazon Elastic Compute Cloud (Amazon EC2) 安全群組或特定 IP 地址存取。

檢查 ID

nNauJisYIT

警示條件

黃色：資料庫安全群組規則參考的 Amazon EC2 安全群組會授予對下列其中一個連接埠的全域存取權：20、21、22、1433、1434、3306、3389、4333、5432、5500。
黃色：資料庫安全群組規則會授予對多個單一 IP 地址的存取權 (CIDR 規則尾碼不是 /0 或 /32)。
紅色：資料庫安全群組規則會授予全域存取權 (CIDR 規則尾碼為 /0)。

建議的動作

檢閱您的安全群組規則，並將存取權設定為僅限授權的 IP 地址或 IP 範圍使用。若要編輯安全性群組，請使用授權 SecurityGroupIngress API 或. AWS Management Console如需詳細資訊，請參閱使用資料庫安全群組。

其他資源

報告欄位

Status
區域
RDS 安全群組名稱
輸入規則
原因

描述

Amazon RDS 使用您管理的金鑰，支援所有資料庫引擎的靜態加密 AWS Key Management Service。在具有 Amazon RDS 加密的作用中資料庫執行個體上，儲存在儲存中的靜態資料會加密，類似於自動備份、僅供讀取複本和快照。

如果在建立資料庫執行個體時未開啟加密，則必須先還原已解密快照的加密副本，然後再開啟加密。

注意

此檢查的結果會每天自動重新整理數次，且不允許重新整理請求。變更可能需要幾個小時才會顯示。目前，您無法從此檢查中排除資源。

注意

當資料庫執行個體或資料庫叢集停止時，您可以在 Trusted Advisor 3 到 5 天內檢視 Amazon RDS 建議。五天後，建議在中不可用 Trusted Advisor。若要檢視建議，請開啟 Amazon RDS 主控台，然後選擇「建議」。

如果刪除資料庫執行個體或資料庫叢集，則與這些執行個體或叢集相關聯的建議在 Trusted Advisor Amazon RDS 管理主控台中將無法使用。

檢查 ID

c1qf5bt006

警示條件

紅色：Amazon RDS 資源未啟用加密。

建議的動作

為資料庫執行個體開啟靜態資料加密。

其他資源

您只能在建立資料庫執行個體時加密資料庫執行個體。若要加密現有作用中資料庫執行個體：

建立原始資料庫執行個體的加密副本

建立資料庫執行個體的快照。
為步驟 1 中建立的快照建立加密副本。
從加密的快照還原資料庫執行個體。

如需詳細資訊，請參閱下列資源：

報告欄位

Status
區域
資源
引擎名稱
上次更新時間

描述

檢查具有直接指向 Amazon S3 儲存貯體主機名稱的 CNAME 記錄的 Amazon Route 53 託管區域，如果您的 CNAME 與您的 S3 儲存貯體名稱不符，則會發出警示。

檢查 ID

c1ng44jvbm

警示條件

紅色：Amazon Route 53 託管區域的 CNAME 記錄指向 S3 存儲桶主機名稱不匹配。

綠色：在您的 Amazon 路線 53 託管區域中找不到不匹配的 CNAME 記錄。

建議的動作

將 CNAME 記錄指向 S3 儲存貯體主機名稱時，您必須確定您設定的任何 CNAME 或別名記錄都有相符的儲存貯體。這樣可以避免 CNAME 記錄被欺騙的風險。您還可以防止任何未經授權的 AWS 用戶在您的域中託管錯誤或惡意的 Web 內容。

若要避免將 CNAME 記錄直接指向 S3 儲存貯體主機名稱，請考慮使用來源存取控制 (OAC) 透過 Amazon 存取 S3 儲存貯體 Web 資產。 CloudFront

如需將 CNAME 與 Amazon S3 儲存貯體主機名稱建立關聯的詳細資訊，請參閱使用 CNAME 記錄自訂 Amazon S3 URL。

其他資源

報告欄位

Status
託管區域 ID
託管區域
符合 CNAME 記錄
CNAME 記錄不相符
上次更新時間

描述

針對每個 MX 資源記錄集，檢查 TXT 或 SPF 資源記錄集是否包含有效的 SPF 記錄。記錄開頭必須為「v=spf1」。SPF 記錄會指定已授權為您的網域傳送電子郵件的伺服器，這有助於偵測和阻止電子郵件地址詐騙，並減少垃圾郵件。路線 53 建議您使用 TXT 記錄而不是 SPF 記錄。 Trusted Advisor 只要每個 MX 資源記錄集至少有一個 SPF 或 TXT 記錄，就會將此檢查報告為綠色。

檢查 ID

c9D319e7sG

警示條件

黃色：MX 資源記錄集沒有包含有效 SPF 值的 TXT 或 SPF 資源記錄。

建議的動作

針對每個 MX 資源記錄集，建立包含有效 SPF 值的 TXT 或 SPF 資源記錄集。如需詳細資訊，請參閱 Sender Policy Framework: SPF Record Syntax (寄件者政策架構：SPF 記錄語法) 和 Creating Resource Record Sets By Using the Amazon Route 53 Console (使用 Amazon Route 53 主控台來建立資源記錄集)。

其他資源

報告欄位

託管區域名稱
託管區域 ID
資源記錄集名稱
Status

描述

在 Amazon Simple Storage Service (Amazon S3) 中檢查具有開放存取權限或允許存取任何經過驗證的 AWS 使用者的儲存貯體。

此檢查會檢查明確的儲存貯體許可，以及可能會覆寫這些許可的儲存貯體政策。建議不要將 Amazon S3 儲存貯體的 List 存取權授予所有使用者。這些許可有可能導致非預期的使用者以高頻率列出儲存貯體中的物件，進而造成費用高於預期。授予上傳和刪除存取權給所有人的許可，可能會導致儲存貯體中出現安全漏洞。

檢查 ID

Pfx0RwqBli

警示條件

黃色：儲存貯體 ACL 授予每個人或者任何已驗證的 AWS 使用者 List 存取權。
黃色：儲存貯體政策授予任何類型的開放式存取權。
黃色：儲存貯體政策具有授予公開存取權的陳述式。封鎖對具有公用政策的儲存貯體的公開與跨帳戶存取權設定已開啟，並且將存取權設定為僅限該帳戶的授權使用者使用，直到公開陳述式已遭移除。
黃色： Trusted Advisor 沒有檢查原則的權限，或是因為其他原因而無法評估原則。
紅色：儲存貯體 ACL 授予每個人或者任何已驗證的 AWS 使用者 Upload 和 Delete 存取權。

建議的動作

如果儲存貯體授予開放式存取權，請確定是否真的需要開放式存取權。如果不需要，請更新儲存貯體許可，以將存取權設定為僅限擁有者或特定使用者使用。使用 Amazon S3 封鎖公開存取，控制允許公開存取資料的設定。設定設定儲存貯體及物件存取許可。

其他資源

管理對您 Amazon S3 資源的存取許可

報告欄位

Status
區域名稱
區域 API 參數
儲存貯體名稱
ACL 允許 List 存取權
ACL 允許 Upload 和 Delete 存取權
政策允許存取權

描述

檢查您的 VPC 對等互連是否同時為接受者和請求者 VPC 開啟 DNS 解析。

VPC 對等互連的 DNS 解析可在從 VPC 查詢時，將公用 DNS 主機名稱解析為私有 IPv4 地址。這允許使用 DNS 名稱在對等 VPC 中的資源之間進行通訊。VPC 對等互連中的 DNS 解析可讓應用程式開發和管理變得更簡單、更不容易出錯，並確保資源一律會透過 VPC 對等互連進行私密通訊。

您可以使用規則中的 vPCID 參數來指定虛擬私人雲端識別碼。 AWS Config

如需詳細資訊，請參閱啟用 VPC 對等互連的 DNS 解析。

注意

此檢查的結果會每天自動重新整理數次，且不允許重新整理請求。變更可能需要幾個小時才會顯示。目前，您無法從此檢查中排除資源。

檢查 ID

c18d2gz124

來源

AWS Config Managed Rule: vpc-peering-dns-resolution-check

警示條件

黃色：VPC 對等互連中的接受者和請求者 VPC 皆未啟用 DNS 解析。

建議的動作

開啟 VPC 對等互連的 DNS 解析。

其他資源

報告欄位

Status
區域
資源
AWS Config 規則
輸入參數
上次更新時間

描述

檢查 AWS Backup Vault 是否具有可防止復原點刪除的貼附以資源為基礎的策略。

資源型政策可防止意外刪除復原點，讓您以最低權限對備份資料強制執行存取控制。

您可以指定不希望 AWS Config 規則簽入規則principalArnList參數的 AWS Identity and Access Management ARN。

注意

此檢查的結果會每天自動重新整理數次，且不允許重新整理請求。變更可能需要幾個小時才會顯示。目前，您無法從此檢查中排除資源。

檢查 ID

c18d2gz152

來源

AWS Config Managed Rule: backup-recovery-point-manual-deletion-disabled

警示條件

黃色：有些 AWS Backup Vault 沒有以資源為基礎的政策，以防止刪除復原點。

建議的動作

為您的 AWS Backup Vault 建立以資源為基礎的政策，以防止意外刪除復原點。

此原則必須包含具備備份:DeleteRecoveryPoint、備份:和備份:UpdateRecoveryPointLifecyclePutBackupVaultAccessPolicy 權限的「拒絕」陳述式。

如需詳細資訊，請參閱設定備份文件庫的存取政策。

報告欄位

Status
區域
資源
AWS Config 規則
輸入參數
上次更新時間

描述

檢查您使用的 AWS CloudTrail. CloudTrail AWS 帳戶透過記錄在帳戶上進行的 AWS API 呼叫的相關資訊，提高對您的活動的可見度。例如，您可以使用這些日誌來判斷特定使用者在指定時段內採取的動作，或是哪些使用者在指定時段內對特定資源採取了動作。

由於將日誌檔 CloudTrail 交付到 Amazon Simple Storage Service (Amazon S3) 儲存貯體，因此 CloudTrail 必須具有儲存貯體的寫入許可。如果某筆追蹤記錄會套用到所有區域 (建立新追蹤記錄時的預設值)，該追蹤記錄會多次出現在 Trusted Advisor 報告中。

檢查 ID

vjafUGJ9H0

警示條件

黃色： CloudTrail 報告追蹤的記錄傳送錯誤。
紅色：尚未為區域建立追蹤，或已關閉追蹤的記錄功能。

建議的動作

若要從主控台建立追蹤並開始記錄，請移至 AWS CloudTrail 主控台。

若要開始記錄，請參閱停止和開始追蹤記錄。

如果您收到日誌交付錯誤，請檢查以確認儲存貯體存在，且必要的政策已連接至儲存貯體。請參閱 Amazon S3 儲存貯體政策。

其他資源

報告欄位

Status
區域
追蹤記錄名稱
記錄狀態
儲存貯體名稱
上次交付日期

描述

檢查 $LATEST 版本設定為使用接近棄用或已棄用的執行階段的 Lambda 函數。已淘汰的執行階段不符合安全性更新或技術支援的資格

注意

此檢查的結果會每天自動重新整理數次，且不允許重新整理請求。變更可能需要幾個小時才會顯示。目前，您無法從此檢查中排除資源。

已發佈的 Lambda 函數版本是不可變的，這表示可以叫用它們，但無法更新它們。只能更新 Lambda 函數的 $LATEST 版本。如需詳細資訊，請參閱 Lambda 函數版本。

檢查 ID

L4dfs2Q4C5

警示條件

紅色：函數的 $LATEST 版本設定為使用已停用的執行階段。
黃色：函數的 $LATEST 版本正在執行階段執行，該執行階段將在 180 天內淘汰。

建議的動作

如果您有函數正在接近棄用的執行階段上執行，您應該準備將這些函數遷移至受支援的執行階段。如需詳細資訊，請參閱執行階段支援政策。

建議您刪除已不再使用的先前函數版本。

其他資源

Lambda 執行階段

報告欄位

Status
區域
函數 ARN
執行期
距離棄用的天數
取代日期
平均每日叫用次數
上次更新時間

描述

檢查安全性支柱中，工作負載是否有高風險問題 (HRI)。這項檢查是以您的 AWS-Well Architected 檢閱為基礎。您的檢查結果取決於您是否使用 AWS Well-Architected 完成工作負載評估。

注意

此檢查的結果會每天自動重新整理數次，且不允許重新整理請求。變更可能需要幾個小時才會顯示。目前，您無法從此檢查中排除資源。

檢查 ID

Wxdfp4B1L3

警示條件

紅色：在「 AWS Well-Architected」的安全性支柱中發現至少一個活躍的高風險問題。
綠色： AWS Well-Architected 的安全性支柱未偵測到任何有效的高風險問題。

建議的動作

AWS Well-Architected，在您的工作負載評估期間偵測到高風險問題。解決這些問題，可能有機會降低風險和節省成本。登入 AWS Well-Architected 工具，檢閱答案並採取行動，解決待處理的問題。

報告欄位

Status
區域
工作負載 ARN
工作負載名稱
檢閱者姓名
工作負載類型
工作負載開始日期
工作負載上次修改日期
安全性方面已識別的高風險問題數量
安全性方面已解決的高風險問題數量
安全性方面的問題數量
安全性支柱中的問題總數
上次更新時間

描述

檢查 IAM 憑證存放區中的 CloudFront 替代網域名稱的 SSL 憑證。這項檢查會在憑證過期、即將過期、使用過期的加密或未正確設定分佈時發出提醒。

當替代網域名稱的自訂憑證到期時，顯示您 CloudFront 內容的瀏覽器可能會顯示有關您網站安全性的警告訊息。Chrome 和 Firefox 等 Web 瀏覽器已棄用使用 SHA-1 雜湊演算法加密的憑證。

憑證包含的網域名稱，必須與原始網域名稱或檢視者請求之主機標頭中的網域名稱相符。如果不匹配，則向用戶 CloudFront 返回 502（錯誤網關）的 HTTP 狀態碼。如需詳細資訊，請參閱使用備用網域名稱與 HTTPS。

檢查 ID

N425c450f2

警示條件

紅色：自訂 SSL 憑證已過期。
黃色：自訂 SSL 憑證會在接下來的七天內到期。
黃色：自訂 SSL 憑證使用 SHA-1 雜湊演算法加密。
黃色：分佈中的一個或多個備用網域名稱沒有出現在自訂 SSL 憑證的 Common Name (通用名稱) 欄位或 Subject Alternative Names (主體備用名稱) 欄位中。

建議的動作

更新過期的憑證或即將到期的憑證。

以使用 SHA-256 雜湊演算法加密的憑證，取代使用 SHA-1 雜湊演算法加密的憑證。

以 Common Name (通用名稱) 欄位或 Subject Alternative Names (主體備用網域名稱) 欄位中有適用值的憑證來取代該憑證。

其他資源

使用 HTTPS 連線存取物件

報告欄位

Status
分佈 ID
分佈網域名稱
憑證名稱
原因

描述

檢查原始伺服器是否有已過期、即將過期、遺失或使用過期加密的 SSL 憑證。如果憑證有其中一個問題，請使用 HTTP 狀態碼 502「錯誤的閘道」來 CloudFront 回應內容的要求。

Chrome 和 Firefox 等 Web 瀏覽器已棄用使用 SHA-1 雜湊演算法加密的憑證。根據您與 CloudFront分發相關聯的 SSL 憑證數量而定，此檢查每月可能會增加幾美分的費用，例 AWS 如，如果您使用 Amazon EC2 或 Elastic Load Balancing 作為 CloudFront 分發的來源。此檢查不會驗證您的原始伺服器憑證鏈結或憑證授權單位。您可以在 CloudFront 配置中檢查這些內容。

檢查 ID

N430c450f2

警示條件

紅色：您原始伺服器上的 SSL 憑證已過期或遺失。
黃色：您原始伺服器上的 SSL 憑證會在三十天後到期。
黃色：您原始伺服器上的 SSL 憑證使用 SHA-1 雜湊演算法加密。
黃色：找不到您原始伺服器上的 SSL 憑證。連線可能因為逾時或其他 HTTPS 連線問題而失敗。

建議的動作

如果您原始伺服器上的憑證已過期或即將到期，請更新憑證。

如果憑證不存在，則新增憑證。

以使用 SHA-256 雜湊演算法加密的憑證，取代使用 SHA-1 雜湊演算法加密的憑證。

其他資源

使用備用網域名稱和 HTTPS

報告欄位

Status
分佈 ID
分佈網域名稱
Origin
原因

描述

針對未使用建議的安全性組態進行加密通訊的接聽程式，檢查負載平衡器。 AWS 建議使用安全協議（HTTPS 或 SSL）， up-to-date 安全策略以及安全的密碼和協議。

針對前端連線 (用戶端連至負載平衡器) 使用安全通訊協定時，用戶端與負載平衡器之間的請求會經過加密，藉此建立更安全的環境。Elastic Load Balancing 提供預先定義的安全性原則，其中包含符合 AWS 安全性最佳實務的密碼和通訊協定。預先定義政策的新版本會隨著新組態開放使用而發佈。

檢查 ID

a2sEc6ILx

警示條件

黃色：負載平衡器沒有使用安全通訊協定 (HTTPS 或 SSL) 的接聽程式。
黃色：負載平衡器接聽程式使用了過期的預先定義 SSL 安全政策。
黃色：負載平衡器接聽程式使用了不建議使用的密碼或通訊協定。
紅色：負載平衡器接聽程式使用了不安全的密碼或通訊協定。

建議的動作

如果到負載平衡器的流量必須是安全的，請使用 HTTPS 或 SSL 通訊協定進行前端連線。

將負載平衡器升級至最新版本的預先定義 SSL 安全政策。

僅使用建議的密碼和通訊協定。

如需詳細資訊，請參閱 Elastic Load Balancing 的接聽程式組態。

其他資源

報告欄位

Status
區域
負載平衡器名稱
負載平衡器連接埠
原因

描述

檢查是否有負載平衡器設定了遺失的安全群組，或是允許存取未針對負載平衡器設定之連接埠的安全群組。

如果刪除與負載平衡器相關聯的安全群組，負載平衡器將無法如預期運作。如果安全群組允許存取未針對負載平衡器設定的連接埠，資料遺失或遭受惡意攻擊的風險就會增加。

檢查 ID

xSqX82fQu

警示條件

黃色：與負載平衡器相關聯的 Amazon VPC 安全群組的傳入規則，允許存取未在負載平衡器的接聽程式組態中定義的連接埠。
紅色：與負載平衡器相關聯的安全群組不存在。

建議的動作

設定安全群組規則，將存取權設定為僅限僅負載平衡器接聽程式組態中定義的連接埠和通訊協定可以使用，以及支援 Path MTU 探索的 ICMP 通訊協定可以使用。請參閱 Classic Load Balancer 的接聽程式和在 VPC 中負載平衡器的安全群組。

如果遺失安全群組，請將新的安全群組套用至負載平衡器。建立安全群組規則，將存取權設定為僅限僅負載平衡器接聽程式組態中定義的連接埠和通訊協定可以使用。請參閱在 VPC 中負載平衡器的安全群組。

其他資源

Elastic Load Balancing User Guide (《Elastic Load Balancing 使用者指南》)
設定 Classic Load Balancer

報告欄位

Status
區域
負載平衡器名稱
安全群組 ID
原因

描述

檢查常用的程式碼存放庫是否有已遭暴露的存取金鑰，以及可能因為存取金鑰遭入侵而造成的不正常的 Amazon Elastic Compute Cloud (Amazon EC2) 用量。

存取金鑰由存取金鑰 ID 和對應的私密存取金鑰組成。遭暴露的存取金鑰會對您的帳戶和其他使用者構成安全風險，可能會導致未經授權的活動或濫用而產生過多費用，以及違反 AWS 客戶協議。

如果您的存取金鑰已遭暴露，請立即採取行動來保護您的帳戶。為了保護您的帳戶免受過多費用的影響，請 AWS 暫時限制您建立部分 AWS 資源的能力。這無法確保您的帳戶安全。只能限制部分您可能需支付費用的未經授權使用。

注意

此檢查並不保證能識別遭暴露的存取金鑰或遭入侵的 EC2 執行個體。您最終應對訪問密鑰和 AWS 資源的安全性負責。

此檢查的結果會自動重新整理，且不允許重新整理請求。目前，您無法從此檢查中排除資源。

如果顯示了訪問密鑰的截止日期， AWS 帳戶如果未在該日期之前停止未經授權的使用，則 AWS 可能會暫停您的。如果您認為警示有誤，請聯絡 AWS Support。

中顯示的資訊 Trusted Advisor 可能不會反映您帳戶的最新狀態。在帳戶上所有公開的存取金鑰都解決之前，不會將公開的存取金鑰標記為已解決。此資料同步最多可能需要一週的時間。

檢查 ID

12Fnkpl8Y5

警示條件

紅色：可能遭到入侵 — AWS 已識別存取金鑰 ID 和對應的秘密存取金鑰，這些金鑰已在網際網路上公開且可能已遭入侵 (已使用)。
紅色：公開 — AWS 已識別已在網際網路上公開的存取金鑰 ID 和對應的秘密存取金鑰。
紅色：可疑 – 異常的 Amazon EC2 使用情況表示存取金鑰可能已遭到入侵，但尚未被識別為已在網際網路上公開。

建議的動作

儘快刪除受影響的存取金鑰。如果金鑰與 IAM 使用者相關聯，請參閱管理 IAM 使用者的存取金鑰。

檢查您的帳戶是否有未經授權的使用。登入 AWS Management Console 並檢查每個服務控制台是否存在可疑資源。請特別注意正在執行中的 Amazon EC2 執行個體、Spot 執行個體請求、存取金鑰和 IAM 使用者。您還可以在帳單和成本管理主控台上檢查整體使用情況。

其他資源

報告欄位

存取金鑰 ID
使用者名稱 (IAM 或根)
詐騙類型
案例 ID
更新時間
位置
截止日期
用量 (美元/日)

描述

檢查是否有作用中 IAM 存取金鑰過去 90 天內未輪換。

若定期輪換存取金鑰，可以減少在您不知情的情況下使用遭入侵的金鑰來存取資源的機會。就這項檢查的目的而言，上次輪換日期和時間指的是建立存取金鑰或上次啟用的時間。存取金鑰編號和日期來自最新 IAM 憑證報告中的 access_key_1_last_rotated 和 access_key_2_last_rotated 資訊。

由於憑證報告的重新產生頻率受到限制，因此重新整理此檢查可能不會反映最近的變更。如需詳細資訊，請參閱取得 AWS 帳戶帳戶的憑證報告。

若要建立和輪換存取金鑰，使用者必須擁有相應的許可。如需詳細資訊，請參閱允許使用者管理自己的密碼、存取金鑰和 SSH 金鑰。

檢查 ID

DqdJqYeRm5

警示條件

綠色：存取金鑰處於作用中狀態，並在過去的 90 天內輪換過。
黃色：存取金鑰處於作用中狀態，並在過去 2 年內輪換過，但輪換時間已超過 90 天。
紅色：存取金鑰處於作用中狀態，但在過去 2 年內沒有輪換過。

建議的動作

定期輪換存取金鑰。請參閱輪換存取金鑰和管理 IAM 使用者的存取金鑰。

其他資源

報告欄位

Status
IAM 使用者
存取金鑰
上次輪換的金鑰
原因

描述

檢查帳戶的密碼策略，並在密碼政策未啟用或密碼內容要求未啟用時發出警告。

密碼內容要求可藉由強制建立高強度使用者密碼，提高您 AWS 環境的整體安全性。建立或變更密碼政策時，對立即為新的使用者強制執行該項變更，但不會要求現有使用者變更密碼。

檢查 ID

Yw2K9puPzl

警示條件

黃色：已啟用密碼政策，但至少有一項內容要求未啟用。
紅色：未啟用密碼政策。

建議的動作

如果未啟用某些內容要求，請考慮啟用它們。如果未啟用密碼政策，請建立並設定一個密碼政策。請參閱設定 IAM 使用者的帳戶密碼政策。

其他資源

管理密碼

報告欄位

密碼政策
大寫
小寫
Number
非英數字元

描述

檢查您的 IAM 使用情形。您可以使用 IAM 在 AWS中建立使用者、群組和角色。您還可以使用許可來控制對 AWS 資源的存取。這項檢查的目的是透過檢查是否存在至少一位 IAM 使用者，來阻止使用根存取權。如果您遵循在外部身分提供者或者 AWS IAM Identity Center 中集中身分並設定使用者的最佳實務，則可以忽略警示。

檢查 ID

zXCkfM1nI3

警示條件

黃色：尚未為此帳戶建立任何 IAM 使用者。

建議的動作

建立 IAM 使用者或用 AWS IAM Identity Center 來建立其他使用者，這些使用者的權限受到限制，以便在您的 AWS 環境中執行特定工作。

其他資源

描述

檢查根帳戶，並在未啟用多重要素驗證 (MFA) 時發出警告。

為了提高安全性，我們建議您使用 MFA 來保護您的帳戶，這會要求用戶在與 AWS Management Console 及相關網站進行互動時，從其 MFA 硬件或虛擬設備輸入唯一的身份驗證碼。

檢查 ID

7DAFEmoDos

警示條件

紅色：根帳戶上未啟用 MFA。

建議的動作

登入您的根帳戶並啟動 MFA 裝置。請參閱檢查 MFA 狀態和設定 MFA 裝置。

其他資源

搭配使用 Multi-Factor Authentication (MFA) 裝置 AWS

描述

檢查安全群組的規則是否允許對特定連接埠進行無限制存取 (0.0.0.0/0)。

不受限制的訪問增加了惡意活動（黑客 denial-of-service 攻擊，攻擊，數據丟失）的機會。風險最高的連接埠會標示為紅色，而風險較低的連接埠會標示為黃色。標示為綠色的連接埠通常由需要不受限制存取的應用程式 (例如 HTTP 和 SMTP) 使用。

如果您刻意以這種方式設定安全群組，建議您使用其他安全措施來保護基礎設施 (例如 IP 表)。

注意

此檢查只會評估您為 IPv4 地址建立的安全群組及其傳入規則。 AWS Directory Service 建立的安全群組會標記為紅色或黃色，但它們不會構成安全風險，且可以安全地忽略或排除。如需詳細資訊，請參閱 Trusted Advisor 常見問答集。

注意

此檢查不包括當客戶管理前綴清單授與存取 0.0.0.0/0 的存取權，而且用作具有安全性群組的來源時的使用案例。

檢查 ID

HCP4007jGY

警示條件

綠色：連接埠 80、25、443 或 465 的存取不受限制。
紅色：連接埠 20、21、1433、1434、3306、3389、4333、5432 或 5500 的存取不受限制。
黃色：任何其他連接埠的存取不受限制。

建議的動作

將存取權設定為僅限需要存取權的 IP 地址使用。若要將存取權設定為僅限特定 IP 地址使用，請將尾碼設定為 /32 (例如 192.0.2.10/32)。建立更嚴格的規則之後，請務必刪除過於寬鬆的規則。

其他資源

報告欄位

Status
區域
安全群組名稱
安全群組 ID
通訊協定
從連接埠
到連接埠

描述

檢查安全群組的規則是否允許不受限制存取資源。

不受限制的訪問增加了惡意活動（黑客 denial-of-service 攻擊，攻擊，數據丟失）的機會。

注意

此檢查只會評估您為 IPv4 地址建立的安全群組及其傳入規則。 AWS Directory Service 建立的安全群組會標記為紅色或黃色，但它們不會構成安全風險，且可以安全地忽略或排除。如需詳細資訊，請參閱 Trusted Advisor 常見問答集。

注意

此檢查不包括當客戶管理前綴清單授與存取 0.0.0.0/0 的存取權，而且用作具有安全性群組的來源時的使用案例。

檢查 ID

1iG5NDGVre

警示條件

紅色：安全群組規則的來源 IP 地址的連接埠尾碼為 /0，而不是 25、80 或 443。

建議的動作

將存取權設定為僅限需要存取權的 IP 地址使用。若要將存取權設定為僅限特定 IP 地址使用，請將尾碼設定為 /32 (例如 192.0.2.10/32)。建立更嚴格的規則之後，請務必刪除過於寬鬆的規則。

其他資源

報告欄位

Status
區域
安全群組名稱
安全群組 ID
通訊協定
從連接埠
到連接埠
IP 範圍

安全

注意

檢查名稱

Amazon CloudWatch 日誌群組保留期

注意

Microsoft SQL 伺服器終止支援的 Amazon EC2 執行個體

注意

Microsoft Windows Server 終止支援的 Amazon EC2 執行個體

注意

具有 Ubuntu LTS 標準支援的 Amazon EC2 執行個體結束

Amazon EFS 用戶端未使用 data-in-transit 加密

注意

Amazon EBS 公有快照

注意

Amazon RDS Aurora 存儲加密已關閉

注意

注意

需要 Amazon RDS 引擎次要版本升級

注意

注意

Amazon RDS 公有快照

注意

Amazon RDS 安全群組存取風險

Amazon RDS 儲存加密已關閉

注意

注意

建立原始資料庫執行個體的加密副本

Amazon 路線 53 不匹配的 CNAME 記錄直接指向 S3 存儲桶

Amazon Route 53 MX 資源記錄集和寄件者政策架構

Amazon S3 儲存貯體許可

已停用具有 DNS 解析的 Amazon VPC 對等互連

注意

AWS Backup 沒有以資源為基礎的政策的 Vault，以防止復原點刪除

注意

AWS CloudTrail 記錄

AWS Lambda 使用已停用執行階段的函

注意

AWS Well-Architected 安全性的高風險問題

注意

CloudFrontIAM 憑證存放區中的自訂 SSL 憑證

CloudFront 原始伺服器上的 SSL 憑證

ELB 接聽程式安全性

ELB 安全群組

存取金鑰已暴露

注意

IAM 存取金鑰輪換

IAM 密碼政策

IAM 使用情形

根帳戶的 MFA

安全群組-— 不受限制的特定連接埠

注意

注意

安全群組 - 不受限制的存取

注意

注意