本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
限制管理權限
| Essential Eight 控制項 | 實作指引 | AWS 資源 | AWS Well-Architected 指引 |
|---|---|---|---|
| 第一次請求時,系統會驗證系統和應用程式的特權存取請求。 | 主題 4:管理身分:實作聯合身分 | 要求人類使用者與身分提供者聯合 AWS 使用臨時憑證來存取 | |
| 除非重新驗證,否則系統與應用程式的特權存取會在 12 個月後自動停用。 | 主題 4:管理身分:實作聯合身分 | 要求人類使用者使用臨時憑證與身分提供者聯合 AWS 存取 | SEC02-BP04 仰賴集中式身分提供者 |
| 主題 4:管理身分:輪換憑證 | AWS Summit ANZ 2023:您前往雲端臨時登入資料的旅程 |
SEC02-BP05 定期稽核和輪換憑證 | |
| 系統與應用程式的特權存取會在閒置 45 天後自動停用。 | 主題 4:管理身分:實作聯合身分 主題 4:管理身分:輪換憑證 |
AWS Summit ANZ 2023:您前往雲端臨時登入資料的旅程 |
|
| 系統和應用程式的特權存取僅限於使用者和服務履行其職責所需的存取。 | 主題 4:管理身分:套用最低權限許可 | 使用 IAM Access Analyzer 根據存取活動產生最低權限政策 使用 IAM Access Analyzer 驗證對資源的公有和跨帳戶存取權 |
|
| 特殊權限帳戶無法存取網際網路、電子郵件和 Web 服務。 | 請參閱技術範例:限制管理權限 |
考慮實作 SCP,以防止任何尚未具有網際網路存取權的 VPC 取得它 | 不適用 |
| 特殊權限使用者使用不同的特殊權限和非特殊權限操作環境。 | 主題 5:建立資料周邊 | 建立資料周邊。考慮在不同資料分類的環境之間實作資料周邊,例如 OFFICIAL:SENSITIVE或 PROTECTED,或不同的風險層級,例如開發、測試或生產。 |
SEC06-BP03 減少手動管理和互動式存取 |
| 特殊權限操作環境不會在無特殊權限的操作環境中虛擬化。 | |||
| 無權限帳戶無法登入有權限的操作環境。 | |||
| 特殊權限帳戶 (本機管理員帳戶除外) 無法登入無特殊權限的操作環境。 | |||
| Just-in-time管理用於管理系統和應用程式。 | 主題 4:管理身分:實作聯合身分 | 實作對您 AWS 環境的暫時提升存取 |
SEC02-BP04 仰賴集中式身分提供者 |
| 管理活動是透過跳轉伺服器執行。 | 主題 3:使用自動化管理可變基礎設施:使用自動化而非手動程序 |
使用 Session Manager 或 Run Command 而非直接 SSH 或 RDP 存取 |
|
| 本機管理員帳戶和服務帳戶的登入資料是唯一、無法預測和管理的。 | 請參閱技術範例:限制管理權限 |
不適用 | 不適用 |
| Windows Defender Credential Guard 和 Windows Defender Remote Credential Guard已啟用。 | |||
| 權限存取的使用會集中記錄並受到保護,免於未經授權的修改和刪除、監控入侵跡象,以及在偵測到網路安全事件時採取動作。 | 主題 7:集中記錄和監控:啟用記錄 主題 7:集中記錄和監控:集中日誌 |
使用 CloudWatch Agent 將作業系統層級日誌發佈至 CloudWatch Logs 在 帳戶中集中 CloudWatch Logs 以進行稽核和分析 |
|
| 對特殊權限帳戶和群組所做的變更會集中記錄並受到保護,避免未經授權的修改和刪除、監控入侵跡象,以及在偵測到網路安全事件時採取動作。 |
