SEC03-BP08 在組織內安全地共用資源

隨著工作負載數量增加，您可能需要在這些工作負載內共用資源的存取權，或在多個帳戶間多次佈建資源。您可能具備劃分環境 (例如擁有開發、測試和生產環境) 的建構模組。然而，擁有分隔建構模組並不會限制您安全共用的能力。透過共用重疊的元件，您可以降低營運負擔並允許一致的體驗，而不用猜測在多次建立相同的資源時可能錯過了什麼。

預期成果：使用安全方法在組織內共用資源，藉此充分減少意外存取，並協助您的資料外洩防護計畫。減輕與管理個別元件相較下的營運負擔，減少多次手動建立相同元件的錯誤，以及增加工作負載的可擴展性。您可以從多點失敗案例中更短的解決時間獲益，並更有信心確定何時不再需要某元件。如需有關分析外部共用的資源的規範指引，請參閱SEC03-BP07 分析公有和跨帳戶存取權。

常見的反模式：

• 缺乏可持續監控和自動發出意外外部共用通知的程序。

• 對於應該和不應該共用的內容缺乏基準。

• 預設採用廣泛的開放政策而不是在必要時明確共用。

• 必要時手動建立重疊的基礎資源。

未建立此最佳實務時的風險暴露等級：中

實作指引

建構您的存取控制和模式來管控安全地取用共用資源並只與信任的實體共用。監控共用資源並持續審查共用資源存取，在不當或意外共用時獲得警示。檢閱分析公開和跨帳戶存取權協助您確立管控能力以減少外部存取，而僅限於需要存取的資源，以及確立程序持續監控並自動提供警示。

在 AWS Organizations 內跨帳戶共用受到數個 AWS 服務的支援，例如 AWS Security Hub、Amazon GuardDuty 和 AWS Backup。這些服務允許將資料共用到中央帳戶，從中央帳戶存取，或從中央帳戶管理資源和資料。例如，AWS Security Hub 可以將發現結果從個別帳戶轉移到中央帳戶，讓您能夠檢視所有發現結果。AWS Backup 可以對資源進行備份並在帳戶之間共用。您可以使用 AWS Resource Access Manager (AWS RAM) 來共用其他常見的資源，例如 VPC 子網路和 Transit Gateway 附件、AWS Network Firewall 或 Amazon SageMaker 管道。

若要將您的帳戶限制為僅共用組織內的資源，請使用服務控制政策 (SCP) 防止存取外部主體。當共用資源時，結合身分型控制和網路控制為您的組織建立資料周邊，以幫助預防意外存取。資料周邊是一組預防性防護機制，可協助確認只有可信的身分從預期的網路存取可信的資源。這些控制項應適當限制可以共用哪些資源，並防止共用或公開不應該允許的資源。例如，做為資料周邊的一部分，您可以使用 VPC 端點政策和 AWS:PrincipalOrgId 條件來確保存取 Amazon S3 儲存貯體的身分屬於您的組織。需要注意的是，SCP 不適用於連結服務的角色 (LSR) 或 AWS 服務主體。

當使用 Amazon S3 時，請停用 Amazon S3 儲存貯體的 ACL 並使用 IAM 政策來定義存取控制。若要限制從 Amazon CloudFront 對 Amazon S3 原點的存取，請從原始存取身分 (OAI) 遷移至原始存取控制 (OAC)，後者支援額外的功能，包括使用 AWS Key Management Service 的伺服器端加密。

在某些情況下，您可能會想要允許在組織外部共用資源或將資源的存取權授予第三方。如需有關管理許可以在外部共用資源的規範指引，請參閱許可管理。

實作步驟

1. 使用 AWS Organizations。

   AWS Organizations 是一項帳戶管理服務，可讓您將多個 AWS 帳戶 合併至您建立且集中管理的組織中。您可以將帳戶編組成組織單位 (OU) 並將不同的政策附加到各個 OU，以協助滿足您的預算、安全和合規需求。您也可以控制 AWS 人工智慧 (AI) 和機器學習 (ML) 服務收集和儲存資料的方式，並使用與 Organizations 整合的 AWS 服務的多帳戶管理功能。

2. 整合 AWS Organizations 與 AWS 服務。

   當您啟用 AWS 服務代表您在組織的成員帳戶中執行任務時，AWS Organizations 會在每個成員帳戶中為該服務建立一個連結 IAM 服務的角色。您應該使用 AWS Management Console、AWS API 或 AWS CLI 來管理可信存取。如需有關啟用可信存取的規範指引，請參閱使用 AWS Organizations 與其他 AWS 服務以及您可以搭配 Organizations 使用的 AWS 服務。

3. 建立資料周邊。

   AWS 周邊一般表示為由 AWS Organizations 管理的組織。許多人將存取 AWS 資源與內部部署網路和系統一同視為「我的 AWS」的周邊。周邊的目標是要確認若身分可信、資源可信且是預期的網路，則允許存取。

   1. 定義並實作周邊。

      遵循《在 AWS 上建置資料周邊》白皮書的周邊實作中所述的步驟，了解各個授權條件。如需有關保護網路層的規範指引，請參閱保護網路。

   2. 持續監控與警示。

      AWS Identity and Access Management Access Analyzer 可協助您識別組織中與外部實體共用的資源。您可以將 IAM Access Analyzer 與 AWS Security Hub 整合，並將資源的發現結果從 IAM Access Analyzer 傳送並彙總到 Security Hub，以協助分析您環境的安全態勢。若要啟用整合，請在每個帳戶的每個區域中同時啟用 IAM Access Analyzer 和 Security Hub。您還可以使用 AWS Config 規則 來稽核設定，並使用 AWS Chatbot 與 AWS Security Hub 警告適當的一方。您接著可以使用 AWS Systems Manager 自動化文件來修復不合規的資源。

   3. 如需有關持續監控與警示外部共用的資源的規範指引，請參閱分析公開和跨帳戶存取權。

4. 使用 AWS 服務中的資源共用並適當限制。

   許多 AWS 服務都允許您與另一個帳戶共用資源，或鎖定另一個帳戶中的資源，例如 Amazon Machine Images (AMI) and AWS Resource Access Manager (AWS RAM)。限制 ModifyImageAttribute API 以指定可信帳戶來共用 AMI。當使用 AWS RAM 來限制僅共用至您的組織時，指定 ram:RequestedAllowsExternalPrincipals 條件來協助防止不受信任的身分的存取。相關規範指引和考量，請參閱資源共用和外部目標。

5. 使用 AWS RAM 在帳戶中或與其他 AWS 帳戶 安全地共用。

   AWS RAM 可幫助您安全地將您使用帳戶中的角色和使用者所建立的資源與 AWS 帳戶 共用。在多帳戶環境中，AWS RAM 可讓您建立資源一次並與其他帳戶共用。這個方法有助於降低營運負擔，同時透過與 Amazon CloudWatch 和 AWS CloudTrail 的整合提供一致性、能見度和可稽核性，這是在使用跨帳戶存取權時所沒有的。

   如果您擁有之前使用以資源為基礎的政策共用的資源，可以使用 PromoteResourceShareCreatedFromPolicy API 或同等項目將資源共用升級到完整 AWS RAM 資源共用。

   在某些情況下，您可能需要採取額外步驟來共用資源。例如，要共用加密快照，您需要共用 AWS KMS 金鑰。

資源

相關的最佳實務：

• SEC03-BP07 分析公有和跨帳戶存取權

• SEC03-BP09 安全地與第三方共用資源

• SEC05-BP01 建立網路層

相關文件：

• 儲存貯體擁有者將跨帳戶許可授予非其擁有的物件

• 如何使用信任政策搭配 IAM

• 在 AWS 上建置資料周邊

• 向第三方授予對 AWS 資源的存取權限時如何使用外部 ID

• 您可以搭配 AWS Organizations 使用的 AWS 服務

• 在 AWS 上建立資料周邊：僅允許可信身分存取公司資料

相關影片：

• 使用 AWS Resource Access Manager 進行精密的存取

• 使用 VPC 端點確保資料周邊的安全

• 在 AWS 上建立資料周邊

相關工具：

• 資料周邊政策範例