服務網域事件
服務網域事件通常僅透過 AWS API 處理。
身分
AWS 為雲端服務提供 API,數百萬客戶使用這些 API 來建置新的應用程式並推動業務成果。這些 API 可以透過許多方法呼叫,如軟體開發套件 (SDK)、AWS CLI 和 AWS Management Console。若想透過這些方法與 AWS 互動,IAM 服務可協助您安全地控制對 AWS 資源的存取。您可以使用 IAM,在帳戶層級控制誰經過驗證 (已登入) 和獲得授權 (具備許可) 可使用資源。如需可與 IAM 搭配使用的 AWS 服務清單,請參閲可搭配 IAM 運作的 AWS 服務。
當您首次建立 AWS 帳戶,您會先有單一的登入身分 (SSO),可以完整存取帳戶中所有 AWS 服務與資源。此身分稱為 AWS 帳戶根使用者,是藉由您用來建立帳戶的電子郵件地址和密碼以登入並存取。強烈建議您不要將根使用者用於日常任務,尤其是不要用於管理任務。反之,我們建議您遵循最佳實務:僅將根使用者用於建立第一個 IAM 使用者、安全地存放根使用者憑證,並僅執行少量帳戶和服務管理任務。如需詳細資訊,請參閱建立個別 IAM 使用者。
雖然這些 API 為數百萬客戶提供了寶貴價值,但如果不對的人存取了您的 IAM 帳戶或根憑證,某些 API 可能會遭到濫用。例如,您可以使用 API 在帳戶內啟用日誌記錄,例如 AWS CloudTrail。但是,如果攻擊者取得您的憑證,他們也可以使用 API 停用這些日誌。您可以設定遵循最低權限模式的適當 IAM 許可,並正確保護您的 IAM 憑證,來防止此類濫用。如需詳細資訊,請參閱 AWS Identity and Access Management 使用者指南中的 IAM 最佳實務。如果確實發生此類事件,則會有多個偵測控制來識別您的 AWS CloudTrail 日誌記錄已被停用,包括 AWS CloudTrail、AWS Config、AWS Trusted Advisor、Amazon GuardDuty 和 AWS CloudWatch Events。
資源
其他可能被濫用或設定錯誤的功能因組織而異,具體取決於每個客戶在雲端的執行方式。例如,某些組織將某些資料或應用程式設為公開存取,而某些組織將其應用程式和資料保密。並非所有安全事件都是惡意事件;某些事件可能是由於無意或不正確的設定引起的。請考慮哪些 API 或功能對您的組織有重大影響,以及您對於它們是經常使用還是不常使用。
您可以使用工具和服務來找出許多設定不當的安全組態。例如,AWS Trusted Advisor 提供一系列最佳實務檢查。APN 合作夥伴也提供數百種領先業界的產品,這些產品與您內部部署環境中的現有控制項相當、相同或互相整合。其中許多產品和解決方案已透過 AWS 合作夥伴能力計劃
