AWS Identity and Access Management 控制

這些控制項與資IAM源有關。

這些控制項可能並非全部可用 AWS 區域。如需詳細資訊，請參閱 各區域控制項的可用性。

[IAM.1] IAM 策略不應允許完整的「*」管理權限

相關要求：PCIDSSV3.2.1/7.2.1，CIS AWS 基金會基準指標 1.2.0/1.22，基CIS AWS 礎基準指標交流 -2，.800-53.r5 交流 -2（1），NIST.800-53.r5 交流 -3，NIST.800-53.r5 交流 -3，交流 -6 交流 -6 (2), NIST .800-53.R5 交流 -6 (10), .800-53.R5 交流 -6 (3) NIST NIST NIST NIST NIST NIST NIST

類別：保護 > 安全存取管理

嚴重性：高

資源類型：AWS::IAM::Policy

AWS Config 規則：iam-policy-no-statements-with-admin-access

排程類型：已觸發變更

參數：

• excludePermissionBoundaryPolicy: true（不可定制）

這個控制項會透"Action": "*"過將陳述式加入超過，來檢查預設的原IAM則版本 (也稱為客戶管理的策略) 是否具有管理員存取權"Resource": "*"。"Effect": "Allow"如果您有具有此類陳述式的IAM原則，則控制項會失敗。

控制項只會檢查您建立的客戶受管政策。它不會檢查內嵌和 AWS 受管理的政策。

IAM策略定義授與使用者、群組或角色的一組權限。遵循標準安全性 AWS 建議，建議您授與最低權限，這表示只授與執行工作所需的權限。在您提供完整管理權限而非使用者需要的最低許可組時，您便會向潛在的不需要動作公開資源。

相較於允許完整的管理權限，建議您決定使用者需要做什麼，然後打造政策，讓使用者只執行這些任務。以最小的一組許可開始，然後依需要授予額外的許可更加安全。不要從太寬鬆的許可開始，稍後才嘗試限縮這些許可。

您應該移除具有"Action": "*"超過陳述式"Effect": "Allow" 的IAM原則"Resource": "*"。

注意

AWS Config 應該在您使用安全中心的所有區域中啟用。但是，可以在單一區域中啟用全域資源記錄。如果您只記錄單一區域中的全域資源，則可以在所有區域中停用此控制項，但記錄全域資源的區域以外。

修補

若要修改您的IAM策略，使其不允許完整的「*」管理權限，請參閱《IAM使用指南》中的〈編輯IAM策略〉。

[IAM.2] IAM 用戶不應該附加IAM策略

相關要求：PCIDSSV3.2.1/7.2.1，CIS AWS 基金會基準指標 1.15，基金CIS AWS 會基準指標交流 -2，.800-53.r5 交流 -2（1），NIST.800-53.r5 交流 -3，NIST.800-53.r5 交流 -3，交流 -6 (3) NIST NIST NIST NIST NIST

類別：保護 > 安全存取管理

嚴重性：低

資源類型：AWS::IAM::User

AWS Config 規則：iam-user-no-policies-check

排程類型：已觸發變更

參數：無

此控制項會檢查您的IAM使用者是否已附加原則。如果您的IAM使用者已附加原則，則控制項會失敗。相反地，IAM使用者必須繼承IAM群組的權限或擔任角色。

依預設，IAM使用者、群組和角色無法存取 AWS 資源。IAM策略會將權限授與使用者、群組或角色。建議您將IAM原則直接套用至群組和角色，但不要套用至使用者。在群組或角色層級指派權限，會減少隨使用者數量成長而增加的存取管理複雜性。降低存取管理複雜性，可能會降低無意中讓委託人接收或保留過多權限的機會。

注意

IAMAmazon 簡易電子郵件服務建立的使用者會使用內嵌政策自動建立。Security Hub 會自動從此控制項豁免這些使用者。

AWS Config 應該在您使用安全中心的所有區域中啟用。但是，可以在單一區域中啟用全域資源記錄。如果您只記錄單一區域中的全域資源，則可以在所有區域中停用此控制項，但記錄全域資源的區域以外。

修補

若要解決此問題，請建立IAM群組，然後將原則附加至群組。然後，將使用者新增至群組。政策即會套用到群組中的每個使用者。若要移除直接附加至使用者的策略，請參閱《使用指南》中的〈新增和移除IAM身分識別權限〉。IAM

[IAM.3] IAM 用戶的訪問密鑰應每 90 天或更短時間輪換一次

相關要求：CIS AWS 基礎基準指標 V3.0.0/1.14，CIS AWS 基金會基準指標 1.4.0/1.14，基礎基準指標 V1.2.0/1.4，CIS AWS .800-53.r5 交流 -2（1），NIST.800-53.r5 交流 -2（3），NISTNIST

類別：保護 > 安全存取管理

嚴重性：中

資源類型：AWS::IAM::User

AWS Config 規則：access-keys-rotated

排程類型：定期

參數：

• maxAccessKeyAge：90（不可定制）

此控制項會檢查作用中的存取金鑰是否會在 90 天內輪換。

我們強烈建議您不要產生和移除帳戶中的所有存取金鑰。相反地，建議的最佳做法是建立一或多個IAM角色，或是透過同盟使用 AWS IAM Identity Center。您可以使用這些方法來允許您的使用者存取 AWS Management Console 和 AWS CLI。

每種方法都有其使用案例。對於擁有現有中央目錄或計劃需要超過目前IAM使用者限制的企業，同盟通常比較好。在 AWS 環境外執行的應用程式需要存取金鑰，才能以程式設計方式存取 AWS 資源。

但是，如果需要程式設計存取的資源在內部執行 AWS，最佳做法是使用IAM角色。角色可讓您授予資源存取，而無須在組態中硬式編碼存取金鑰 ID 和私密存取金鑰。

若要進一步了解如何保護您的存取金鑰和帳戶，請參閱中管理 AWS 存取金鑰的最佳做法AWS 一般參考。另請參閱博客文章在使用程序化訪問 AWS 帳戶 時保護您的指南。

如果您已有存取金鑰，Security Hub 建議您每 90 天輪換一次存取金鑰。輪換存取金鑰可降低使用與被盜用或已終止帳戶相關聯存取金鑰的機會。這也能確保無法使用可能遺失、毀損或遭竊的舊金鑰存取資料。請在您輪換存取金鑰後一律更新應用程式。

存取金鑰由存取金鑰 ID 和私密存取金鑰組成。它們是用來簽署您向其發出的程式設計要求。 AWS使用者需要自己的存取金鑰，才能 AWS 從、Windows PowerShell 工具 AWS CLI、或直接HTTP呼叫使用個別API AWS 服務作業進行程式設計呼叫。 AWS SDKs

如果您的組織使用 AWS IAM Identity Center (IAM身分識別中心)，您的使用者可以登入 Active Directory、內建IAM身分識別中心目錄或其他連線至身分識別中心的身分識IAM別提供者 (IdP)。然後，它們可以對應到一個IAM角色，使他們能夠運行 AWS CLI 命令或調用 AWS API操作，而不需要訪問密鑰。若要深入了解，請參閱《使用AWS Command Line Interface 者指南》 AWS IAM Identity Center中的〈設定 AWS CLI 要使用的〉。

注意

AWS Config 應該在您使用安全中心的所有區域中啟用。但是，可以在單一區域中啟用全域資源記錄。如果您只記錄單一區域中的全域資源，則可以在所有區域中停用此控制項，但記錄全域資源的區域以外。

修補

若要旋轉 90 天以上的存取金鑰，請參閱「IAM使用者指南」中的「輪換存取金鑰」。對於存取金鑰年齡超過 90 天的任何使用者，請遵循指示操作。

[IAM.4] IAM 根用戶訪問密鑰不應存在

相關要求：CIS AWS 基金會基準指標 1.0.0/1.4，CIS AWS 基礎基準指標 1.2.0/1.4，CIS AWS 基金會基準指標 1.2.0/1.12，3.2.1/2.1 PCI DSS 版，3.2.1/ PCI DSS 2.2，PCIDSS3.2.1/7.2.1，NIST.800-53.R5 交流 -2（1），交流 -6 (10), 交流 -6 (2) NIST NIST NIST NIST NIST

類別：保護 > 安全存取管理

嚴重性：嚴重

資源類型：AWS::::Account

AWS Config 規則：iam-root-access-key-check

排程類型：定期

參數：無

此控制項會檢查 root 使用者存取金鑰是否存在。

root 使用者是中最具權限的使用者 AWS 帳戶。 AWS 存取金鑰可讓您以程式設計方式存取特定帳戶。

Security Hub 建議您移除與根使用者相關聯的所有存取金鑰。這限制了可用於破壞您帳戶的向量。這也會鼓勵建立和使用擁有最低權限的角色類型帳戶。

修補

若要刪除 root 使用者存取金鑰，請參閱《使用指南》中的〈刪除 root 使用IAM者的存取金鑰〉。若要從 AWS 帳戶 in 刪除 root 使用者存取金鑰 AWS GovCloud (US)，請參閱《使用指南》中的刪除我的 AWS GovCloud (US) 帳戶根AWS GovCloud (US) 使用者存取金鑰。

所有擁有主控台密碼的使用IAM者都MFA應啟用 [IAM.5]

相關要求：CIS AWS 基礎基準指標 V3.0.0/1.10，CIS AWS 基礎基準指標 1.4.0/1.10，基CIS AWS 礎基準指標 1.2.0/1.2，.800-53.r5 交流 -2（1），NIST.800-53.r5 交流 -3（15），NIST.800-53.r5 IA-2（1），53.r5 綜合症 -2 (8) NIST NIST NIST NIST

類別：保護 > 安全存取管理

嚴重性：中

資源類型：AWS::IAM::User

AWS Config 規則：mfa-enabled-for-iam-console-access

排程類型：定期

參數：無

此控制項會檢查是否為所有使用主控台密碼的使用IAM者啟用 AWS 多因素驗證 (MFA)。

多重要素驗證 (MFA) 在使用者名稱和密碼之上增加了一層額外的保護。MFA啟用後，當使用者登入 AWS 網站時，系統會提示他們輸入使用者名稱和密碼。此外，系統會提示他們從其 AWS MFA裝置輸入驗證碼。

我們建議您MFA為所有擁有主控台密碼的帳戶啟用。MFA旨在為主控台存取提供更高的安全性。身分驗證委託人必須擁有發出時效性金鑰的裝置，並且必須擁有登入資料的知識。

注意

AWS Config 應該在您使用安全中心的所有區域中啟用。但是，可以在單一區域中啟用全域資源記錄。如果您只記錄單一區域中的全域資源，則可以在所有區域中停用此控制項，但記錄全域資源的區域以外。

修補

若要MFA為IAM使用IAM者新增，請參閱《使用指南》中 AWS的〈使用多重要素驗證 (MFA)〉。

我們為符合條件的客戶提供免費的MFA安全密鑰。查看您是否符合資格，並訂購免費密鑰。

[IAM.6] 根用戶MFA應啟用硬件

相關要求：CIS AWS 基礎基準指標 1.0.0/1.6，CIS AWS 基礎基準指標 1.4.0/1.6，CIS AWS 基礎基準指標 1.2.0/1.14，PCIDSS3.2.1/8.3.1，.800-53.r5 交流 -2（1），NIST.800-53.r5 交流 -3（15），6), NIST .800-53.R5 IA-2 (8) NIST NIST NIST NIST

類別：保護 > 安全存取管理

嚴重性：嚴重

資源類型：AWS::::Account

AWS Config 規則：root-account-hardware-mfa-enabled

排程類型：定期

參數：無

此控制項會檢查您 AWS 帳戶 是否已啟用使用硬體多重要素驗證 (MFA) 裝置，以使用 root 使用者認證登入。如果MFA未啟用或允許任何虛擬MFA裝置使用 root 使用者認證登入，則控制項會失敗。

Virtual MFA 可能無法提供與硬體MFA裝置相同的安全性等級。我們建議您在等待硬體購買核准或硬體送達時，僅使用虛擬MFA裝置。若要深入瞭解，請參閱IAM使用指南中的啟用虛擬多重要素驗證 (MFA) 裝置 (主控台)。

基於時間的一次性密碼（TOTP）和通用第二因素（U2F）令牌都可作為硬件MFA選項。

修補

若要為 root 使用者新增硬體MFA裝置，請參閱《使用指南》中的 「為 AWS 帳戶 root 使用者啟用硬體MFA裝置 (主控台)」IAM。

我們為符合條件的客戶提供免費的MFA安全密鑰。查看您是否符合資格，並訂購免費密鑰。

[IAM.7] IAM 用戶的密碼策略應具有強大的配置

相關要求：NIST.800-53.R5 交流電 -2 (1)、.800-53.R5 交流電 -2 (3)、NIST .800-53.r5 交流 -3 (15)、.800-53.r5 IA-5 (1) NIST NIST

類別：保護 > 安全存取管理

嚴重性：中

資源類型：AWS::::Account

AWS Config 規則：iam-password-policy

排程類型：定期

參數：

參數	Description (描述)	Type	允許的自訂值	Security Hub 預設值
RequireUppercaseCharacters	密碼中至少需要一個大寫字元	Boolean	true 或 false *	true
RequireLowercaseCharacters	密碼中至少需要一個小寫字元	Boolean	true 或 false *	true
RequireSymbols	密碼中至少需要一個符號	Boolean	true 或 false *	true
RequireNumbers	密碼至少需要一個數字	Boolean	true 或 false *	true
MinimumPasswordLength	密碼中的字元數目下限	Integer	8 設定為 128	8
PasswordReusePrevention	舊密碼可重複使用前的密碼輪換次數	Integer	12 設定為 24	無預設值
MaxPasswordAge	密碼到期前的天數	Integer	1 設定為 90	無預設值

此控制項會檢查使用者的帳號密碼策略是否IAM使用強式組態。如果密碼原則不使用強式設定，則控制項會失敗。除非您提供自訂參數值，否則 Security Hub 會使用前表中提到的預設值。PasswordReusePrevention和MaxPasswordAge參數沒有預設值，因此，如果您排除這些參數，Security Hub 會在評估此控制項時忽略密碼輪換次數和密碼保留時間的次數。

若要存取 AWS Management Console，IAM使用者需要密碼。最佳作法是 Security Hub 強烈建議您使用同盟，而不是建立使用IAM者。同盟可讓使用者使用其現有的公司認證登入 AWS Management Console。使用 AWS IAM Identity Center (IAM身分識別中心) 建立或聯合使用者，然後在帳戶中IAM扮演角色。

若要深入了解身分識別提供者和同盟，請參閱IAM使用者指南中的身分識別提供者和同盟。若要進一步了解IAM身分識別中心，請參閱AWS IAM Identity Center 使用者指南。

如果您需要使用使用IAM者，Security Hub 建議您強制建立強式使用者密碼。您可以在上設定密碼原則，以指 AWS 帳戶 定密碼的複雜性需求和強制循環期間。當您建立或變更密碼原則時，大部分的密碼原則設定會在使用者下次變更其密碼時強制執行。某些設定會立即強制執行。

修補

若要更新您的密碼策略，請參閱《使用者指南》中的〈設定使用IAMIAM者的帳號密碼策略〉。

[IAM.8] 應刪除未使IAM用的用戶憑據

相關要求：PCIDSSV3.2.1/8.1.4，CIS AWS 基礎基準指標交流 -2，.800-53.r5 交流 -2，NIST.800-53.r5 交流 -2 (1)，NIST.800-53.r5 交流 -2 (3)，交流 -3，NIST.800-53.r5 交流 -3 (15)，NISTNISTNISTNIST

類別：保護 > 安全存取管理

嚴重性：中

資源類型：AWS::IAM::User

AWS Config 規則：iam-user-unused-credentials-check

排程類型：定期

參數：

• maxCredentialUsageAge：90（不可定制）

此控制項會檢查您的使用IAM者是否擁有 90 天未使用的密碼或使用中存取金鑰。

IAM使用者可以使用不同類型的認證來存取 AWS 資源，例如密碼或存取金鑰。

Security Hub 建議您移除或停用 90 天以上未使用的所有認證。停用或移除不必要的登入資料，可以減少使用與被盜用或放棄帳戶相關聯登入資料的機會。

注意

AWS Config 應該在您使用安全中心的所有區域中啟用。但是，可以在單一區域中啟用全域資源記錄。如果您只記錄單一區域中的全域資源，則可以在所有區域中停用此控制項，但記錄全域資源的區域以外。

修補

當您在IAM主控台中檢視使用者資訊時，會有 [存取金鑰有效期限]、[密碼存留時間] 和 [上次活動] 欄。如果上述任一欄的值大於 90 天，請將這些使用者的登入資料設定為非作用中。

您也可以使用認證報告來監控使用者，並識別 90 天以上沒有活動的使用者。您可以從IAM主控台以.csv格式下載認證報告。

識別非作用中的帳戶或未使用的認證後，請停用它們。如需指示，請參閱《使用指南》中的建立、變更或刪除使IAM用IAM者密碼 (主控台)。

MFA應為 root 使用者啟用 [IAM.9]

相關要求：PCIDSS3.2.1/8.3.1，CIS AWS 基金會基準指標 1.0.0/1.5，基金會基準指標 1.4.0/1.5，CIS AWS 基礎基準指標 1.2.0/1.13，CIS AWS .800-53.r5 交流 -2（1），NIST.800-53.r5 交流 -3（15），6), NIST .800-53.R5 IA-2 (8) NIST NIST NIST NIST

類別：保護 > 安全存取管理

嚴重性：嚴重

資源類型：AWS::::Account

AWS Config 規則：root-account-mfa-enabled

排程類型：定期

參數：無

root 使用者可以完整存取 AWS 帳戶. MFA在使用者名稱和密碼之上增加額外的保護層。MFA啟用後，當使用者登入時 AWS Management Console，系統會提示他們輸入使用者名稱和密碼，以及從其 AWS MFA裝置輸入驗證碼。

當您MFA為 root 使用者使用 virtual 時，CIS建議使用的裝置不是個人裝置。使用保持充飽電及安全的專用行動裝置 (平板電腦或手機)，不要與任何個別的個人裝置混用。這樣可以減少MFA由於裝置遺失、裝置換購，或擁有該裝置的個人不再受僱於公司而導致失去存取權的風險。

修補

若要MFA為 root 使用者啟用，請參閱《AWS 帳號管理參考指南》中的針對 AWS 帳戶 root 使用者啟用。MFA

[IAM.10] IAM 用戶的密碼策略應該有強烈 AWS Config的排便

相關要求：PCIDSS版本 3.2.1/8.1.4 版，版本 3.2.1/8.2.3，PCIDSS版本 3.2.1/8.2.5 PCI DSS PCI DSS

類別：保護 > 安全存取管理

嚴重性：中

資源類型：AWS::::Account

AWS Config 規則：iam-password-policy

排程類型：定期

參數：無

此控制項會檢查使用IAM者的帳號密碼策略是否使用下列最低PCIDSS組態。

• RequireUppercaseCharacters— 密碼中至少需要一個大寫字元。(預設 = true)

• RequireLowercaseCharacters— 密碼中至少需要一個小寫字元。(預設 = true)

• RequireNumbers— 密碼中至少需要一個數字。(預設 = true)

• MinimumPasswordLength— 密碼最小長度。(預設值 = 7 或更長)

• PasswordReusePrevention— 允許重複使用之前的密碼數量。(預設值 = 4)

• MaxPasswordAge — 密碼到期前的天數。(預設值 = 90)

修補

若要更新您的密碼策略以使用建議的組態，請參閱《使用者指南》中的〈設定使用IAMIAM者的帳號密碼策略〉。

[IAM.11] 確保IAM密碼策略至少需要一個大寫字母

相關要求：CIS AWS 基金會基準測試 v1.2.0/1.5

類別：保護 > 安全存取管理

嚴重性：中

資源類型：AWS::::Account

AWS Config 規則：iam-password-policy

排程類型：定期

參數：無

密碼政策是強制執行密碼複雜性要求的一部分。使用IAM密碼策略來確保密碼使用不同的字元集。

CIS建議密碼原則至少需要一個大寫字母。設定密碼複雜性政策以提高帳戶彈性，因應暴力登入嘗試。

修補

若要變更您的密碼策略，請參閱《使用者指南》中的〈設定使用IAMIAM者的帳號密碼策略〉。對於密碼強度，請選取至少需要一個拉丁字母 (A—Z) 的大寫字母。

[IAM.12] 確保IAM密碼策略至少需要一個小寫字母

相關要求：CIS AWS 基金會基準測試 v1.2.0/1.6

類別：保護 > 安全存取管理

嚴重性：中

資源類型：AWS::::Account

AWS Config 規則：iam-password-policy

排程類型：定期

參數：無

密碼政策是強制執行密碼複雜性要求的一部分。使用IAM密碼策略來確保密碼使用不同的字元集。CIS建議密碼原則至少需要一個小寫字母。設定密碼複雜性政策以提高帳戶彈性，因應暴力登入嘗試。

修補

若要變更您的密碼策略，請參閱《使用者指南》中的〈設定使用IAMIAM者的帳號密碼策略〉。對於密碼強度，請選取至少需要一個拉丁字母 (A—Z) 的小寫字母。

[IAM.13] 確保IAM密碼策略至少需要一個符號

相關要求：CIS AWS 基金會基準測試 v1.2.0/1.7

類別：保護 > 安全存取管理

嚴重性：中

資源類型：AWS::::Account

AWS Config 規則：iam-password-policy

排程類型：定期

參數：無

密碼政策是強制執行密碼複雜性要求的一部分。使用IAM密碼策略來確保密碼使用不同的字元集。

CIS建議密碼原則至少需要一個符號。設定密碼複雜性政策以提高帳戶彈性，因應暴力登入嘗試。

修補

若要變更您的密碼策略，請參閱《使用者指南》中的〈設定使用IAMIAM者的帳號密碼策略〉。對於密碼強度，請選取至少需要一個非英數字元。

[IAM.14] 確保IAM密碼策略至少需要一個數字

相關要求：CIS AWS 基金會基準測試 v1.2.0/1.8

類別：保護 > 安全存取管理

嚴重性：中

資源類型：AWS::::Account

AWS Config 規則：iam-password-policy

排程類型：定期

參數：無

密碼政策是強制執行密碼複雜性要求的一部分。使用IAM密碼策略來確保密碼使用不同的字元集。

CIS建議密碼原則至少需要一個數字。設定密碼複雜性政策以提高帳戶彈性，因應暴力登入嘗試。

修補

若要變更您的密碼策略，請參閱《使用者指南》中的〈設定使用IAMIAM者的帳號密碼策略〉。對於密碼強度，請選取至少需要一個數字。

[IAM.15] 確保IAM密碼策略要求的密碼長度下限為 14 或更大

相關要求：CIS AWS 基金會基準指標 v3.0.0/1.8，基金會基準指標 v1.4.0/1.8，CIS AWS 基金會基準指標 v1.2.0/1.9 CIS AWS

類別：保護 > 安全存取管理

嚴重性：中

資源類型：AWS::::Account

AWS Config 規則：iam-password-policy

排程類型：定期

參數：無

密碼政策是強制執行密碼複雜性要求的一部分。使用IAM密碼原則來確保密碼至少為指定長度。

CIS建議密碼原則需要 14 個字元的密碼長度下限。設定密碼複雜性政策以提高帳戶彈性，因應暴力登入嘗試。

修補

若要變更您的密碼策略，請參閱《使用者指南》中的〈設定使用IAMIAM者的帳號密碼策略〉。對於「密碼最小長度」，請輸入14或更大的數字。

[IAM.16] 確保IAM密碼策略防止密碼重複使用

相關要求：CIS AWS 基金會基準指標 v3.0.0/1.9，基金會基準指標 v1.4.0/1.9，CIS AWS 基金會基準指標 v1.2.0/1.10 CIS AWS

類別：保護 > 安全存取管理

嚴重性：低

資源類型：AWS::::Account

AWS Config 規則：iam-password-policy

排程類型：定期

參數：無

此控制項會檢查要記住的密碼數目是否設定為 24。如果值不是 24，則控制項會失敗。

IAM密碼制定原則可防止相同使用者重複使用指定的密碼。

CIS建議密碼原則避免重複使用密碼。防止重複使用密碼以提高帳戶彈性，因應暴力登入嘗試。

修補

若要變更您的密碼策略，請參閱《使用者指南》中的〈設定使用IAMIAM者的帳號密碼策略〉。在「防止密碼重複使用」中，輸入 24

[IAM.17] 確保IAM密碼策略在 90 天或更短的時間內過期

相關要求：CIS AWS 基金會基準測試 v1.2.0/1.11

類別：保護 > 安全存取管理

嚴重性：低

資源類型：AWS::::Account

AWS Config 規則：iam-password-policy

排程類型：定期

參數：無

IAM密碼策略可能會要求密碼在指定天數後輪替或過期。

CIS建議密碼政策在密碼 90 天以內過期。縮短密碼生命週期以提高帳戶彈性，因應暴力登入嘗試。要求定期密碼變更，也有助於下列案例：

• 在您不知情時，密碼遭竊或被盜用。這會透過系統入侵、軟體漏洞或內部威脅而發生。

• 某些企業和政府的 web 篩選條件或代理伺服器可以攔截並記錄流量，即使流量加密。

• 許多人在很多系統 (如工作、電子郵件和個人) 都使用相同的密碼。

• 遭入侵的最終使用者工作站可能有按鍵記錄器。

修補

若要變更您的密碼策略，請參閱《使用者指南》中的〈設定使用IAMIAM者的帳號密碼策略〉。在 [開啟密碼到期時間] 中，輸入90或較小的數字。

[IAM.18] 確保已建立支援角色來管理事件 AWS Support

相關要求：CIS AWS 基金會基準指標 v3.0.0/1.17，基金會基準指標 v1.4.0/1.17，CIS AWS 基金會基準指標 v1.2.0/1.20 CIS AWS

類別：保護 > 安全存取管理

嚴重性：低

資源類型：AWS::::Account

AWS Config 規則：iam-policy-in-use

排程類型：定期

參數：

• policyARN：arn:partition:iam::aws:policy/AWSSupportAccess（不可定制）

• policyUsageType：ANY（不可定制）

AWS 提供支援中心，可用於事件通知和回應，以及技術支援和客戶服務。

建立IAM角色，讓授權使用者透過 Sup AWS port 管理事件。透過對存取控制實作最低權限，IAM角色將需要適當的IAM原則來允許支援中心存取，才能管理事件 AWS Support。

注意

AWS Config 應該在您使用安全中心的所有區域中啟用。但是，可以在單一區域中啟用全域資源記錄。如果您只記錄單一區域中的全域資源，則可以在所有區域中停用此控制項，但記錄全域資源的區域以外。

修補

若要修正此問題，請建立角色以允許授權的使用者管理 AWS Support 事件。

若要建立用於 AWS Support 存取的角色

1. 開啟位於 IAM 的 https://console.aws.amazon.com/iam/ 主控台。

2. 在IAM導覽窗格中，選擇 [角色]，然後選擇 [建立角色]。

3. 對於 [角色類型]，選擇 [其他] AWS 帳戶。

4. 在「帳戶 AWS 帳戶 ID」中，輸入您 AWS 帳戶 要授與資源存取權的 ID。

   如果將擔任此角色的使用者或群組位在相同帳戶，則請輸入本機帳戶號碼。

   注意

   指定帳戶的管理員可以授予許可給該帳戶中的任何 使用者來擔任此角色。若要執行此操作，管理員要將政策連接到授予 sts:AssumeRole 動作之許可的使用者或群組。在該策略中，資源必須是角色ARN。

5. 選擇下一步：許可。

6. 搜尋受管政策 AWSSupportAccess。

7. 選取 AWSSupportAccess 受管政策的核取方塊。

8. 選擇下一步：標籤。

9. (選擇性) 若要將中繼資料新增至角色，請將標籤附加為索引鍵值配對。

   若要取得有關在中使用標籤的詳細資訊IAM，請參閱《使用IAM者指南》中的〈標IAM記使用者和

10. 選擇下一步：檢閱。

11. 針對 Role name (角色名稱)，輸入您的角色名稱。

    角色名稱在您的 AWS 帳戶. 不區分大小寫。

12. (選用) 在 Role description (角色說明) 中，輸入新角色的說明。

13. 檢閱角色，然後選擇 Create role (建立角色)。

顯示較多顯示較少

MFA應為所IAM有使用者啟用 [IAM.19]

相關要求：NIST.800-53.R5 交流二 (1)、.800-53.r5 交流三 (15)、NIST .800-53.r5 交流 -3 (15)、.800-53.r5 IA-2 (6)、NIST .800-53.r5 IA-2 (PCIDSS8) NIST NIST NIST

類別：保護 > 安全存取管理

嚴重性：中

資源類型：AWS::IAM::User

AWS Config 規則：iam-user-mfa-enabled

排程類型：定期

參數：無

此控制項會檢查IAM使用者是否已啟用多重要素驗證 (MFA)。

注意

AWS Config 應該在您使用安全中心的所有區域中啟用。但是，可以在單一區域中啟用全域資源記錄。如果您只記錄單一區域中的全域資源，則可以在所有區域中停用此控制項，但記錄全域資源的區域以外。

修補

若要MFA為使IAM用者新增，請參閱《使用指南》 AWS中的〈為使用IAM者啟用MFA裝置〉。

[IAM.20] 避免使用根用戶

重要

安全中心於 2024 年 4 月淘汰此控制項。如需詳細資訊，請參閱 Security Hub 控制項的變更記錄。

相關要求：CIS AWS 基金會基準測試 v1.2.0/1.1

類別：保護 > 安全存取管理

嚴重性：低

資源類型：AWS::IAM::User

AWS Config 規則:use-of-root-account-test(自訂 Security Hub 規則)

排程類型：定期

參數：無

此控制項會檢查是否 AWS 帳戶 有 root 使用者的使用限制。控制項會評估下列資源：

• Amazon 簡單通知服務（AmazonSNS）主題

• AWS CloudTrail 小徑

• 與 CloudTrail 軌跡相關聯的度量過濾器

• 基於過濾器 Amazon CloudWatch 警報

如果下列一或多個陳述式成立，則此檢查會導致FAILED發現：

• 帳戶中不存在 CloudTrail 追蹤。

• CloudTrail 追蹤已啟用，但未設定至少一個包含讀取和寫入管理事件的多區域追蹤。

• 系 CloudTrail 統已啟用追蹤，但未與 CloudWatch 記錄記錄群組相關聯。

• 不使用網際網路安全中心 (CIS) 所規定的確切度量篩選器。規定的度量過濾器是'{$.userIdentity.type="Root" && $.userIdentity.invokedBy NOT EXISTS && $.eventType !="AwsServiceEvent"}'。

• 帳戶中不存在以量度篩選器為基礎的 CloudWatch 警示。

• CloudWatch 設定為傳送通知至相關SNS主題的警示不會根據警示條件觸發。

• 主SNS題不符合傳送訊息至SNS主題的限制條件。

• 主SNS題至少沒有一位訂閱者。

NO_DATA如果下列一或多個陳述式為 true，則此檢查會導致控制狀態：

• 多區域追蹤是以不同區域為基礎。Security Hub 只能在追蹤所在的區域中產生發現項目。

• 多區域追蹤屬於不同的帳戶。Security Hub 只能針對擁有追蹤的帳戶產生發現項目。

WARNING如果下列一或多個陳述式為 true，則此檢查會導致控制狀態：

• 當前帳戶不擁有 CloudWatch 警報中引用的SNS主題。

• 當前帳戶在SNS調用. ListSubscriptionsByTopic SNS API

注意

我們建議您使用組織追蹤記錄組織中多個帳戶的事件。根據預設，組織追蹤是多區域追蹤，且只能由管 AWS Organizations 理帳戶或 CloudTrail 委派的系統管理員帳戶管理。DATA針對在組織成員帳戶中評估的控制項，使用組織軌跡會導致 NO_ 的控制項狀態為 NO_。在成員帳戶中，Security Hub 只會針對成員擁有的資源產生發現項目。與組織軌跡相關的發現項目會在資源擁有者的帳號中產生。您可以使用跨區域彙總，在 Security Hub 委派的系統管理員帳戶中查看這些發現項目。

最佳做法是，只有在需要執行帳戶和服務管理工作時才使用 root 使用者認證。將IAM原則直接套用至群組和角色，但不套用至使用者。如需設定管理員以供日常使用的指示，請參閱《使用指南》中的「建立您的第一個IAM管理員使用IAM者和群組」。

修補

解決此問題的步驟包括設定 Amazon SNS 主題、 CloudTrail追蹤、指標篩選器和指標篩選器的警示。

要創建一個 Amazon SNS 主題

1. 在 https://console.aws.amazon.com/sns/v3/ home 上打開 Amazon SNS 控制台。

2. 創建一個接收所有CIS警報的 Amazon SNS 主題。

   至少建立一個主題訂閱者。如需詳細資訊，請參閱 Amazon 簡單通知服務開發人員指南SNS中的 Amazon 入門。

接下來，設置一個適用 CloudTrail 於所有區域的活動。若要執行此作業，請遵循 [CloudTrail.1] CloudTrail 應啟用並設定至少一個包含讀取和寫入管理事件的多區域追蹤 中的修補步驟。

記下您與 CloudTrail 追蹤相關聯的 CloudWatch 記錄日誌群組名稱。您可以建立該記錄群組的度量篩選器。

最後，創建度量過濾器和警報。

建立指標篩選條件和警示

1. 在開啟 CloudWatch 主控台https://console.aws.amazon.com/cloudwatch/。

2. 在導覽窗格中，選擇 Log groups (日誌群組)。

3. 選取與您建立 CloudTrail 之追蹤相關聯之「 CloudWatch 記錄」記錄群組的核取方塊。

4. 從「動作」 中選擇「建立量度篩選」。

5. 在定義陣列之下，執行下列操作：

   1. 複製以下模式，然後將它貼入 Filter Pattern (篩選條件模式) 欄位。

      {$.userIdentity.type="Root" && $.userIdentity.invokedBy NOT EXISTS && $.eventType !="AwsServiceEvent"}

   2. 選擇下一步。

6. 在「指派量度」下，執行下列操作：

   1. 在 [篩選器名稱] 中，輸入量度篩選器的名稱。

   2. 針對測量結果命名空間，輸入 LogMetrics

      如果您對所有CIS日誌指標過濾器使用相同的命名空間，則所有 CIS Benchmark 指標都會歸類在一起。

   3. 在「測量結果名稱」中，輸入測量結果的名稱。記住指標的名稱。建立警示時，您將需要選取指標。

   4. 針對 Metric value (指標值)，輸入 1。

   5. 選擇下一步。

7. 在「檢閱並建立」下，確認您為新量度篩選器提供的資訊。然後，選擇「建立量度篩選器」。

8. 在功能窗格中，選擇 [記錄群組]，然後選擇您在 [指標篩選器] 下建立的篩選器。

9. 選取篩選器的核取方塊。選擇 Create alarm (建立警示)。

10. 在「指定量度和條件」下，執行下列操作：

    1. 在「條件」下，選擇「靜態」做為臨界值。

    2. 針對「定義警示條件」，選擇「大於/等於」。

    3. 對於 「定義閾值」，輸入1。

    4. 選擇下一步。

11. 在「設定動作」 下，執行下列動作：

    1. 在 [警報狀態觸發] 下，選擇 [在鬧鐘中]

    2. 在「選取SNS主題」下，選擇 「選取現有SNS主題」。

    3. 在「傳送通知至」中，輸入您在先前程序中建立的SNS主題名稱。

    4. 選擇下一步。

12. 在 [新增名稱和說明] 下，輸入警示的 [名稱] 和 [說明]，例如CIS-1.1-RootAccountUsage。然後選擇下一步。

13. 在 [預覽並建立] 下，檢閱警示組態。然後選擇 Create Alarm (建立警示)。

顯示較多顯示較少

[IAM.21] 您建立的IAM客戶管理策略不應允許對服務執行萬用字元動作

相關要求：NIST.800-53.R5 交流 -2 (1)、NIST .800-53.r5 交流電 -2 (1)、.800-53.r5 交流 -3 (15)、NIST .800-53.R5 交流 -3 (7)、交流 -3 (7)、NIST .800-53.r5 交流 -5 交流 -5、NIST .800-53.r5 交流 -6 (2) 交流 -6 (3) NIST NIST NIST NIST NIST

類別:偵測裝置 > 安全存取管理

嚴重性：低

資源類型：AWS::IAM::Policy

AWS Config 規則：iam-policy-no-statements-with-full-access

排程類型：已觸發變更

參數：

• excludePermissionBoundaryPolicy：True（不可定制）

這個控制項會檢查您建立的IAM身分型原則是否具有使用 * 萬用字元來授與任何服務上所有動作的權限的 Allow 陳述式。如果任何原則陳述式包含"Effect": "Allow"與，則控制項會失敗"Action": "Service:*"。

例如，策略中的下列陳述式會導致發現失敗。

"Statement": [
{
  "Sid": "EC2-Wildcard",
  "Effect": "Allow",
  "Action": "ec2:*",
  "Resource": "*"
}

如果與一"Effect": "Allow"起使用，控制項也會失敗"NotAction": "service:*"。在這種情況下，NotAction元素可讓您存取中所有動作 AWS 服務，但中指定的動作除外NotAction。

此控制項僅適用於客戶管理的IAM策略。它不適用於由管理的IAM策略 AWS。

當您將權限指派給時 AWS 服務，請務必在IAM原則中設定允許的IAM動作範圍。您應該將IAM動作限制為只有需要的動作。這可協助您佈建最低權限權限。如果原則附加至可能不需要權限的IAM主體，則過於寬鬆的原則可能會導致權限提升。

在某些情況下，您可能想要允許具有類似前置詞的IAM動作，例如DescribeFlowLogs和DescribeAvailabilityZones。在這些授權的情況下，您可以在通用前綴中添加一個後綴的萬用字符。例如 ec2:Describe*。

如果您使用帶有尾碼萬用字元的前置IAM動作，則此控制項會通過。例如，原則中的下列陳述式會導致傳遞的發現項目。

"Statement": [
{
  "Sid": "EC2-Wildcard",
  "Effect": "Allow",
  "Action": "ec2:Describe*",
  "Resource": "*"
}

當您以這種方式將相關IAM動作分組時，也可以避免超過IAM原則大小限制。

注意

AWS Config 應該在您使用安全中心的所有區域中啟用。但是，可以在單一區域中啟用全域資源記錄。如果您只記錄單一區域中的全域資源，則可以在所有區域中停用此控制項，但記錄全域資源的區域以外。

修補

若要修正此問題，請更新您的IAM策略，使其不允許完整的「*」管理權限。如需有關如何編輯IAM策略的詳細資訊，請參閱《IAM使用指南》中的編輯IAM策略。

[IAM.22] 應刪除 45 天未使用的IAM用戶憑據

相關要求：CIS AWS 基金會基準指標 v3.0.0/1.12，基金會基準指標 v1.4.0/1.12 CIS AWS

類別：保護 > 安全存取管理

嚴重性：中

資源類型：AWS::IAM::User

AWS Config 規則：iam-user-unused-credentials-check

排程類型：定期

參數：無

此控制項會檢查您的使用IAM者是否擁有 45 天以上未使用的密碼或使用中存取金鑰。為此，它會檢查 AWS Config 規則的maxCredentialUsageAge參數是否等於 45 或更多。

使用者可以使用不同類型的認證來存取 AWS 資源，例如密碼或存取金鑰。

CIS建議您移除或停用 45 天以上未使用的所有認證。停用或移除不必要的登入資料，可以減少使用與被盜用或放棄帳戶相關聯登入資料的機會。

此控制 AWS Config 項的規則使用GetCredentialReport和作GenerateCredentialReportAPI業，這些作業只會每四小時更新一次。對IAM使用者所做的變更最多可能需要四個小時才能看到此控制項。

注意

AWS Config 應該在您使用安全中心的所有區域中啟用。不過，您可以在單一區域中啟用全域資源的記錄功能。如果您只記錄單一區域中的全域資源，則可以在所有區域中停用此控制項，但記錄全域資源的區域以外。

修補

當您在IAM主控台中檢視使用者資訊時，會有 [存取金鑰有效期限]、[密碼存留時間] 和 [上次活動] 欄。如果這些資料行中的值大於 45 天，請讓這些使用者的認證處於非作用中狀態。

您也可以使用認證報告來監控使用者，並識別 45 天以上沒有活動的使用者。您可以從IAM主控台以.csv格式下載認證報告。

識別非作用中的帳戶或未使用的認證後，請停用它們。如需指示，請參閱《使用指南》中的建立、變更或刪除使IAM用IAM者密碼 (主控台)。

[IAM.23] 應標記IAM訪問分析儀分析儀

類別:識別 > 庫存 > 標籤

嚴重性：低

資源類型：AWS::AccessAnalyzer::Analyzer

AWS Config 規則:tagged-accessanalyzer-analyzer(自訂 Security Hub 規則)

排程類型：已觸發變更

參數：

參數	Description (描述)	Type	允許的自訂值	Security Hub 預設值
requiredTagKeys	評估資源必須包含的非系統標籤鍵清單。標籤鍵會區分大小寫。	StringList	符合AWS 要求的標籤清單	No default value

此控制項會檢查由 AWS Identity and Access Management Access Analyzer (IAMAccess Analyzer) 管理的分析器是否具有標籤，其中包含在參數中定義的特定索引鍵requiredTagKeys。如果分析器沒有任何標籤鍵，或者如果它沒有在參數中指定的所有鍵控制項失敗requiredTagKeys。如果requiredTagKeys未提供參數，控制項只會檢查是否存在標籤索引鍵，如果分析器未使用任何索引鍵標記，則會失敗。系統標籤 (自動套用並以aws:開頭) 會被忽略。

標籤是指派給 AWS 資源的標籤，它包含索引鍵和選用值。您可建立標籤，依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、整理、搜尋和篩選資源。標記也可協助您追蹤可負責資源擁有者的動作和通知。使用標記時，您可以實作以屬性為基礎的存取控制 (ABAC) 作為授權策略，該策略會根據標籤定義權限。您可以將標籤附加至IAM實體 (使用者或角色) 和 AWS 資源。您可以為IAM主參與者建立單一ABAC原則或個別的原則集。您可以設計這些ABAC原則，以便在主參與者的標籤符合資源標籤時允許作業。如需詳細資訊，請參閱有什麼ABAC用途 AWS？ 在《IAM使用者指南》中。

注意

不要在標籤中添加個人身份信息（PII）或其他機密或敏感信息。許多人都可以訪問標籤 AWS 服務，包括 AWS Billing。如需更多標記最佳做法，AWS 請參閱 AWS 一般參考.

修補

要向分析器添加標籤，請參閱AWS IAM訪問分析器API參考TagResource中的。

[IAM.24] IAM 角色應該被標記

類別:識別 > 庫存 > 標籤

嚴重性：低

資源類型：AWS::IAM::Role

AWS Config 規則:tagged-iam-role(自訂 Security Hub 規則)

排程類型：已觸發變更

參數：

參數	Description (描述)	Type	允許的自訂值	Security Hub 預設值
requiredTagKeys	評估資源必須包含的非系統標籤鍵清單。標籤鍵會區分大小寫。	StringList	符合AWS 要求的標籤清單	No default value

此控制項會檢查 AWS Identity and Access Management (IAM) 角色是否具有標籤，其中包含在參數中定義的特定索引鍵requiredTagKeys。如果角色沒有任何標籤鍵或沒有在參數中指定的所有索引鍵，則控制項會失敗requiredTagKeys。如果requiredTagKeys未提供參數，控制項只會檢查標籤金鑰是否存在，如果角色未使用任何索引鍵標記，則會失敗。系統標籤 (自動套用並以aws:開頭) 會被忽略。

標籤是指派給 AWS 資源的標籤，它包含索引鍵和選用值。您可建立標籤，依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、整理、搜尋和篩選資源。標記也可協助您追蹤可負責資源擁有者的動作和通知。使用標記時，您可以實作以屬性為基礎的存取控制 (ABAC) 作為授權策略，該策略會根據標籤定義權限。您可以將標籤附加至IAM實體 (使用者或角色) 和 AWS 資源。您可以為IAM主參與者建立單一ABAC原則或個別的原則集。您可以設計這些ABAC原則，以便在主參與者的標籤符合資源標籤時允許作業。如需詳細資訊，請參閱有什麼ABAC用途 AWS？ 在《IAM使用者指南》中。

注意

不要在標籤中添加個人身份信息（PII）或其他機密或敏感信息。許多人都可以訪問標籤 AWS 服務，包括 AWS Billing。如需更多標記最佳做法，AWS 請參閱 AWS 一般參考.

修補

若要將標籤新增至IAM角色，請參閱《IAM使用指南》中的〈標記IAM資源〉。

[IAM.25] 應標記IAM用戶

類別:識別 > 庫存 > 標籤

嚴重性：低

資源類型：AWS::IAM::User

AWS Config 規則:tagged-iam-user(自訂 Security Hub 規則)

排程類型：已觸發變更

參數：

參數	Description (描述)	Type	允許的自訂值	Security Hub 預設值
requiredTagKeys	評估資源必須包含的非系統標籤鍵清單。標籤鍵會區分大小寫。	StringList	符合AWS 要求的標籤清單	No default value

此控制項會檢查 AWS Identity and Access Management (IAM) 使用者是否具有標籤，其中包含參數中定義的特定索引鍵requiredTagKeys。如果使用者沒有任何標籤金鑰，或者沒有在參數中指定的所有索引鍵，控制項就會失敗requiredTagKeys。如果requiredTagKeys未提供參數，控制項只會檢查標籤金鑰是否存在，如果使用者未使用任何金鑰加上標籤，則會失敗。系統標籤 (自動套用並以aws:開頭) 會被忽略。

標籤是指派給 AWS 資源的標籤，它包含索引鍵和選用值。您可建立標籤，依照用途、擁有者、環境或其他條件分類資源。標籤可協助您識別、整理、搜尋和篩選資源。標記也可協助您追蹤可負責資源擁有者的動作和通知。使用標記時，您可以實作以屬性為基礎的存取控制 (ABAC) 作為授權策略，該策略會根據標籤定義權限。您可以將標籤附加至IAM實體 (使用者或角色) 和 AWS 資源。您可以為IAM主參與者建立單一ABAC原則或個別的原則集。您可以設計這些ABAC原則，以便在主參與者的標籤符合資源標籤時允許作業。如需詳細資訊，請參閱有什麼ABAC用途 AWS？ 在《IAM使用者指南》中。

注意

不要在標籤中添加個人身份信息（PII）或其他機密或敏感信息。許多人都可以訪問標籤 AWS 服務，包括 AWS Billing。如需更多標記最佳做法，AWS 請參閱 AWS 一般參考.

修補

若要向IAM使用者新增標籤，請參閱《使用指南》中的IAM〈標記IAM資源〉。

[IAM.26] 已過期SSL/IAM應移除中管理的TLS憑證

相關要求：CIS AWS 基金會基準指標 v3.0.0/1.19

產品分類:識別 > 合規

嚴重性：中

資源類型：AWS::IAM::ServerCertificate

AWS Config 規則：iam-server-certificate-expiration-check

排程類型：定期

參數：無

此控制項會檢查在中管理的使用中SSL/TLS伺服器憑證是否IAM已過期。如果未移除過期SSL/TLS伺服器憑證，則控制項會失敗。

若要在中啟用網站或應用程式的HTTPS連線 AWS，您需要SSL/TLS伺服器憑證。您可以使用IAM或 AWS Certificate Manager (ACM) 來儲存和部署伺服器憑證。只有當您必須支援不受支援的HTTPS連線時，才可 AWS 區域 以用IAM作憑證管理員ACM。IAM安全地加密您的私鑰，並將加密版本存儲在IAMSSL證書存儲中。IAM支援在所有區域中部署伺服器憑證，但您必須從外部提供者取得憑證才能搭配使用 AWS。您無法將ACM憑證上傳至IAM。此外，您無法從IAM主控台管理憑證。移除過期的SSL/TLS憑證可消除無效憑證意外部署至資源的風險，這可能會損害基礎應用程式或網站的可信度。

修補

若要從中移除伺服器憑證IAM，請參閱《IAM使用指南》IAM中的〈管理伺服器憑證〉。

[IAM.27] IAM 身份不應該附加 AWSCloudShellFullAccess 策略

相關要求：CIS AWS 基金會基準指標 v3.0.0/1.22

類別:保護 > 安全存取管理 > 安全IAM原則

嚴重性：中

資源類型:AWS::IAM::RoleAWS::IAM::User, AWS::IAM::Group

AWS Config 規則：iam-policy-blacklisted-check

排程類型：已觸發變更

參數：

• 「：policyArns「ARN：AW：IAM：：AWS：策略/AWSCloudShellFullAccess，ARN：aws-cn：IAM：：AW：策略/，ARN：IAM：：aws：策略/」AWSCloudShellFullAccess aws-us-gov AWSCloudShellFullAccess

此控制項會檢查IAM身分識別 (使用者、角色或群組) 是否已AWSCloudShellFullAccess附加 AWS 受管理原則。如果IAM身分識別已附加AWSCloudShellFullAccess原則，則控制項會失敗。

AWS CloudShell 提供了一種方便的方式來執行CLI命令 AWS 服務。 AWS 受管理的原則可AWSCloudShellFullAccess提供對的完整存取權 CloudShell，允許使用者的本機系統與 CloudShell 環境之間的檔案上傳和下載功能。在 CloudShell 環境中，用戶具有 sudo 權限，並且可以訪問互聯網。因此，將這個受管理的原則提供給IAM身分識別，讓他們能夠安裝檔案傳輸軟體，並將資料從外部網際網路伺服器移 CloudShell 到外部網際網路伺服器。我們建議遵循最低權限原則，並將較窄的權限附加至您的IAM身分識別。

修補

若要將AWSCloudShellFullAccess策略與IAM身分識別分離，請參閱《IAM使用指南》中的〈新增和移除IAM身分識別權限〉。

[IAM.28] IAM 訪問分析器外部訪問分析器應該啟用

相關要求：CIS AWS 基金會基準指標 v3.0.0/1.20

類別:偵測 > 偵測服務 > 特權使用監控

嚴重性：高

資源類型：AWS::AccessAnalyzer::Analyzer

AWS Config 規則：iam-external-access-analyzer-enabled

排程類型：定期

參數：無

此控制項會檢查是否 AWS 帳戶 已啟用IAM存取分析器外部存取分析器。如果您目前選取的帳戶沒有啟用外部存取分析器，則控制項會失敗 AWS 區域。

IAM存取分析器外部存取分析儀可協助識別組織和帳戶中的資源，例如與外部實體共用的 Amazon 簡單儲存服務 (Amazon S3) 儲存貯體或IAM角色。這有助於避免意外存取您的資源和資料。IAM訪問分析器是區域性的，必須在每個區域中啟用。若要識別與外部主體共用的資源，存取分析器會使用邏輯型推理來分析環境中以資源為基礎的原則。 AWS 當您啟用外部存取分析器時，您可以為整個組織或帳戶建立分析器。

修補

若要在特定區域中啟用外部存取分析器，請參閱IAM使用者指南中的啟用IAM存取分析器。您必須在每個要監視資源存取權的區域中啟用分析器。