本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
主題 5:建立資料周邊
涵蓋的基本八項策略
限制管理權限
資料周邊是環境中 AWS 的一組預防性護欄,可協助確保只有信任的身分才能從預期的網路存取信任的資源。這些護欄可做為永遠在線的界限,協助保護您跨各種 AWS 帳戶 和資源的資料。這些全組織的護欄不會取代您現有的精細存取控制。反之,它們透過確保所有 AWS Identity and Access Management (IAM) 使用者、角色和資源都遵循一組定義的安全標準,來協助改善您的安全策略。
您可以使用防止從組織邊界外部存取的政策來建立資料周邊,通常在 中建立 AWS Organizations。用於建立資料周邊的三個主要周邊授權條件為:
-
信任的身分 – 您內部或代表 AWS 服務 您的主體 (IAM 角色 AWS 帳戶或使用者)。
-
信任的資源 – 位於您 AWS 帳戶 或 中的資源,是由代表您 AWS 服務 行事所管理。
-
預期的網路 – 您的內部部署資料中心和虛擬私有雲端 (VPCs),或代表 AWS 服務 您的網路。
考慮在不同資料分類的環境之間實作資料周邊,例如 OFFICIAL:SENSITIVE或 PROTECTED,或不同的風險層級,例如開發、測試或生產。如需詳細資訊,請參閱在 上建立資料周邊 AWS(AWS 白皮書) 和在 上建立資料周邊 AWS:概觀
AWS Well-Architected Framework 中的相關最佳實務
實作此主題
實作身分控制
-
僅允許受信任的身分存取您的資源 – 使用具有條件索引鍵 和 的資源型政策
aws:PrincipalIsAWSService。aws:PrincipalOrgID這僅允許來自您 AWS 組織和 的主體 AWS 存取您的 資源。 -
僅允許來自您網路的受信任身分 – 使用 VPC 端點政策搭配條件金鑰
aws:PrincipalOrgID和aws:PrincipalIsAWSService。這僅允許來自您 AWS 組織和 的主體透過 VPC AWS 端點存取服務。
實作資源控制
-
允許您的身分僅存取信任的資源 – 使用服務控制政策 (SCPs) 搭配條件索引鍵
aws:ResourceOrgID。這可讓您的身分僅存取 AWS 組織中的資源。 -
僅允許從您的網路存取信任的資源 – 使用 VPC 端點政策搭配條件索引鍵
aws:ResourceOrgID。這可讓您的身分僅透過屬於您 AWS 組織的 VPC 端點存取服務。
實作網路控制
-
允許身分僅從預期的網路存取資源 – 使用具有條件索引鍵
aws:SourceIp、aws:SourceVpc、aws:SourceVpce和 SCPsaws:ViaAWSService。這可讓您的身分僅從預期的 IP 地址、VPCs 和 VPC 端點以及透過 存取資源 AWS 服務。 -
僅允許從預期的網路存取您的資源 – 使用資源型政策搭配條件索引鍵
aws:SourceIp、aws:SourceVpc、aws:SourceVpce、aws:ViaAWSService和aws:PrincipalIsAWSService。這僅允許從預期的 IPs、預期的 VPCs、預期的 VPC 端點 AWS 服務、透過 或當呼叫身分為 時存取您的資源 AWS 服務。
監控此主題
監控政策
-
實作機制來檢閱 SCPs、IAM 政策和 VPC 端點政策
實作下列 AWS Config 規則
-
SERVICE_VPC_ENDPOINT_ENABLED
