本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
使用 驗證 PCI DSS 4.0 的操作最佳實務 AWS Config
由 Tala Qraitem (AWS) 和 Alex Goff (AWS) 建立
Summary
支付卡產業資料安全標準 (PCI DSS)
PCI DSS 4.0 版已發佈,以因應不斷變化的需求、提供說明或其他指導,並改善標準的結構和格式。如需變更的詳細資訊,請參閱從 PCI DSS 3.2.1 版到 4.0 版的變更摘要
AWS Config 一致性套件是 AWS Config 規則和修補動作的集合,可協助您建立安全、操作或成本最佳化控管檢查。您可以在 AWS 帳戶 和 中將一致性套件部署為單一實體 AWS 區域,也可以在 中跨組織部署 AWS Organizations。
適用於 PCI DSS 4.0 版的一致性套件,可增強並建置在 3.2.1 版的一致性套件上。一致性套件中的規則會對應至標準中的規則。如需詳細資訊,請參閱附件區段中提供的映射。您可以選擇此一致性套件的兩個版本:一個包含全域資源類型,另一個則排除它們。
重要
一致性套件的設計目的並非完全確保符合特定控管或合規標準。您有責任自行評估用量是否符合適用的法律和法規要求。
先決條件和限制
先決條件
啟用 AWS 帳戶。
符合一致性套件的先決條件。
具有存取 AWS Config 和管理一致性套件的許可。如需範例政策,請參閱此模式的其他資訊區段。
限制
您的 AWS 帳戶 具有每個預設配額,先前稱為限制 AWS 服務。除非另有說明,否則每個配額都是區域特定規定。您可以為某些配額請求增加,但並非所有配額都可以增加。請務必熟悉AWS Config 服務限制,包括單一帳戶一致性套件和組織一致性套件的限制。
包含全域資源類型的此一致性套件版本僅適用於在
us-east-1區域中部署。排除全域資源類型的此一致性套件版本僅適用於在下列區域中部署:
ap-east-1ap-south-1ap-northeast-2ap-southeast-1ap-southeast-2ap-northeast-1ca-central-1eu-central-1eu-west-1eu-west-2eu-west-3eu-north-1sa-east-1us-east-2us-west-1us-west-2
工具
AWS 服務
AWS Config 提供 中資源的詳細檢視 AWS 帳戶 及其設定方式。它可協助您識別資源彼此的關係,以及其組態如何隨著時間而改變。
AWS Systems Manager 可協助您管理在 中執行的應用程式和基礎設施 AWS 雲端。它可簡化應用程式和資源管理、縮短偵測和解決操作問題的時間,並協助您大規模安全地管理 AWS 資源。
程式碼儲存庫
一致性套件位於AWS Config 一致性套件
史詩
| 任務 | 描述 | 所需的技能 |
|---|---|---|
下載一致性套件。 | 如果您要在 如果您要在不同區域中部署一致性套件,請下載 Operational-Best-Practices-for-PCI-DSS-v4.0-excluding-global-resourcetypes.yaml | DevOps 工程師 |
(選用) 修改一致性套件。 | 您可以針對組織的獨特需求修改一致性套件範本。例如,您可以建立自訂修補動作。如需如何建立和修改範本的詳細資訊,請參閱 AWS Config 文件中的為自訂一致性套件建立範本。 | 一般 AWS |
部署一致性套件。 | 如果您要在目標中部署 AWS 帳戶 或 AWS 區域,請遵循 AWS Config 文件中部署一致性套件中的指示。您可以使用 AWS Management Console 或 AWS Command Line Interface (AWS CLI)。 如果您要在 中跨組織部署一致性套件 AWS Organizations,請遵循 AWS Systems Manager 文件中的使用快速設定部署 AWS Config 一致性套件中的指示。 | 一般 AWS |
(選用) 編輯一致性套件。 | 如果您想要編輯一致性套件,請遵循 AWS Config 文件中編輯一致性套件中的指示。您可以使用 AWS Management Console 或 AWS CLI。 | 一般 AWS |
(選用) 刪除一致性套件。 | 如果您想要刪除一致性套件,請遵循 AWS Config 文件中刪除一致性套件中的指示。您可以使用 AWS Management Console 或 AWS CLI。 | 一般 AWS |
相關資源
AWS resources
(AWS Config 文件) 的一致性套件 AWS Config
(AWS 網站) 上的 PCI DSS 合規 AWS
PCI DSS 4.0 版 AWS
(合規指南)
PCI DSS 資源
其他資訊
以下是範例 AWS Identity and Access Management (IAM) 政策,允許使用者存取 AWS Config 和管理一致性套件:
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"config:PutConfigRule",
"config:PutConformancePack",
"config:DeleteConfigRule",
"config:DeleteRemediationConfiguration",
"config:DeleteConformancePack",
"config:PutRemediationConfigurations",
"config:BatchGetAggregateResourceConfig",
"config:BatchGetResourceConfig",
"config:Get*",
"config:Describe*",
"config:Deliver*",
"config:List*",
"config:Select*"
],
"Resource": "*"
}
]
}附件
若要存取與本文件相關聯的其他內容,請解壓縮下列檔案: attachment.zip
