設定 AWS 帳戶 安全性 - Amazon Nimble Studio
刪除您帳戶的存取金鑰啟用多重因素認證在所有 中啟用 CloudTrail AWS 區域設定 Amazon GuardDuty 和通知

支援終止通知:在 2024 年 10 月 22 日, AWS 將停止對 Amazon Nimble Studio 的支援。2024 年 10 月 22 日之後,您將無法再存取 Nimble Studio 主控台或 Nimble Studio 資源。

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

設定 AWS 帳戶 安全性

本指南說明如何設定 AWS 帳戶 ,以便在資源遭到入侵時接收通知,並允許特定 AWS 帳戶 使用者存取。若要保護您的 AWS 帳戶 並追蹤您的 資源,請完成下列步驟。

刪除您帳戶的存取金鑰

您可以從 AWS Command Line Interface (AWS CLI) 或使用 AWS APIs 以程式設計方式存取您的 AWS 資源。不過, AWS 建議您不要建立或使用與根帳戶相關聯的存取金鑰進行程式設計存取。

如果您仍然有存取金鑰,我們建議您刪除這些金鑰並建立使用者。然後,僅授予該使用者您計劃呼叫APIs 所需的許可。您可以使用該使用者來發行存取金鑰。

如需詳細資訊,請參閱 AWS 一般參考 指南中的管理 的存取金鑰 AWS 帳戶

啟用多重因素認證

多重要素驗證 (MFA) 是一種安全功能,除了您的使用者名稱和密碼之外,還提供一層身分驗證。

MFA 的運作方式如下:使用使用者名稱和密碼登入後,您還必須提供只有您能夠實際存取的額外資訊。此資訊可能來自專用 MFA 硬體裝置,或來自手機上的應用程式。

您必須從支援的 MFA 裝置清單中,選取要使用的 MFA 裝置類型。對於硬體裝置,請將 MFA 裝置存放在安全的位置。

如果您使用虛擬 MFA 裝置 (例如手機應用程式),請考慮如果手機遺失或損壞,可能會發生什麼情況。其中一種方法是將您使用的虛擬 MFA 裝置存放在安全的地方。另一個選項是同時啟用多個裝置,或使用虛擬 MFA 選項進行裝置金鑰復原。

若要進一步了解 MFA,請參閱啟用虛擬Multi-Factor Authentication (MFA) 裝置

在所有 中啟用 CloudTrail AWS 區域

您可以使用 追蹤 AWS 資源中的所有活動AWS CloudTrail。建議您現在開啟 CloudTrail。這有助於 支援 和您的 AWS 解決方案架構師稍後對安全或組態問題進行故障診斷。

若要在所有區域中啟用 CloudTrail 記錄 AWS 區域,請參閱AWS CloudTrail 更新 – 在所有區域中開啟並使用多個線索

若要進一步了解 CloudTrail,請參閱在您的 中開啟 CloudTrail:記錄 API 活動 AWS 帳戶。若要了解 CloudTrail 如何監控 Nimble Studio,請參閱 使用 記錄 Nimble Studio 呼叫 AWS CloudTrail

設定 Amazon GuardDuty 和通知

Amazon GuardDuty 是一種持續的安全監控服務,可分析和處理下列項目:

  • 資料來源

  • Amazon VPC 流程日誌

  • AWS CloudTrail 管理事件日誌

  • CloudTrail S3 資料事件日誌

  • DNS 日誌

Amazon GuardDuty 可識別您 AWS 環境中的非預期和可能未經授權的惡意活動。惡意活動可能包括權限提升、使用公開憑證,或與惡意 IP 地址或網域通訊等問題。為了識別這些活動,GuardDuty 會使用威脅情報摘要,例如惡意 IP 地址和網域清單,以及機器學習。例如,GuardDuty 可以偵測遭入侵的 Amazon EC2 執行個體,提供惡意軟體或挖礦比特幣。

GuardDuty 也會監控 AWS 帳戶 存取行為是否有入侵跡象。這包括未經授權的基礎設施部署,例如在 中部署 AWS 區域 且從未使用的執行個體。它還包括不尋常的 API 呼叫,例如密碼政策變更,以減少密碼強度。

GuardDuty 透過產生安全調查結果,通知您 AWS 環境的狀態。您可以在 GuardDuty 主控台或透過 Amazon CloudWatch 事件檢視這些調查結果。

設定 Amazon SNS 主題和端點

請遵循設定 Amazon SNS 主題和端點教學中的指示。

為 GuardDuty 調查結果設定 EventBridge 事件

為 EventBridge 建立規則,以傳送 GuardDuty 產生之所有調查結果的事件。

為 GuardDuty 調查結果建立 EventBridge 事件

  1. 登入 Amazon EventBridge 主控台:https://https://console.aws.amazon.com/events/

  2. 在導覽窗格中,選擇規則。然後,選擇 Create role (建立角色)。

  3. 輸入新規則的名稱描述。然後選擇下一步

  4. 保留為事件來源選取的事件AWS 或 EventBridge 合作夥伴事件

  5. 事件模式中,選擇事件來源AWS 的服務。然後, AWS 服務的 GuardDuty事件類型的 GuardDuty Finding。這是您在 中建立的主題設定 Amazon SNS 主題和端點

  6. 選擇 Next (下一步)

  7. 針對目標 1,選取AWS 服務。在選取目標下拉式清單中選擇 SNS 主題。然後選擇您的 GuardDuty_to_Email 主題。

  8. 其他設定區段中:使用設定目標輸入下拉式清單選擇輸入轉換器。選取設定輸入轉換器

  9. 目標輸入轉換器區段的輸入路徑欄位中輸入下列程式碼。

    {
    "severity": "$.detail.severity",
    "Account_ID": "$.detail.accountId",
    "Finding_ID": "$.detail.id",
    "Finding_Type": "$.detail.type",
    "region": "$.region",
    "Finding_description": "$.detail.description"
}

  10. 若要格式化電子郵件,請在範本欄位中輸入下列程式碼。

    "AWS <Account_ID> has a severity <severity> GuardDuty finding type <Finding_Type> in the <region> region."
"Finding Description:"
"<Finding_description>. "
"For more details open the GuardDuty console at https://console.aws.amazon.com/guardduty/home?region=<region>#/findings?search=id=<Finding_ID>"

  11. 選擇 Create (建立)。然後選擇下一步

  12. (選用) 如果您使用標籤來追蹤 AWS 資源,請新增標籤。

  13. 選擇 Next (下一步)

  14. 檢閱您的規則。然後,選擇 Create role (建立角色)。

現在您已設定 AWS 帳戶 安全,您可以授予特定使用者的存取權,並在資源遭到入侵時收到通知。