什麼是雲端狀態中的友好帳戶?
友好帳戶是指被信任並允許訪問另一個帳戶資源的帳戶。一旦將友好帳戶添加到相關規則中,雲端狀態掃瞄掃瞄後將會成功檢查。
帳戶管理員明確允許友好帳戶執行特定操作或行為。這些帳戶可能會被授予管理員認為安全的有限功能訪問權限。
例如:
AWS Account A 擁有對 AWS Account B 資源的存取權限。這兩個帳戶可能由同一家公司擁有,也可能不是,或者 Account A 可能只是從 AWS 控制台trustAccount B。
在這種情況下,Account B 將被客戶認定為 Account A 的友好(受信任)帳戶。因此,由 Account B 引起的某些規則失敗將被排除在檢查之外。
我可以使用友好帳戶配置哪些規則?
- VPC-006:VPC 端點跨帳戶訪問
- S3-015:S3 跨帳戶訪問
- IAM-050:跨帳戶存取缺少外部 ID 和多重身份驗證 (MFA)
- IAM-057:檢查不受信任的跨帳戶 IAM 角色
- KMS-006:KMS 跨帳戶存取
- SNS-002:SNS 跨帳戶存取
- SQS-002:SQS 跨帳戶存取
- CWE-002:EventBus 跨帳戶存取
- SES-004:識別跨帳戶訪問
- ES-005:Elasticsearch 跨帳戶訪問
- Lambda-002:Lambda 跨帳戶存取
- ECR-002:儲存庫跨帳戶存取
如何為規則配置友好帳戶?
Please Note:: 配置具有友好帳戶的規則將允許沒有訪問這些帳戶的用戶在規則檢查中查看其 AWS 帳戶 ID。
- 點選帳戶上支援規則列表中的ConfigureRule按鈕。
- 您可以通過選擇以下一個或多個選項來添加友好帳戶:
- **手動新增(適用所有使用者):在文字框中輸入帳號,然後點選Add new按鈕。
- Accounts within your AWS Organization (For Admin Users Only)
- 選擇此選項以將您 AWS 組織中的所有帳戶包含為友好帳戶。
- !!! 注意 ""
- 此選項僅適用於雲端狀態中的AWS帳戶,該帳戶也是您AWS組織的管理帳戶,因為它需要訪問您AWS組織中所有帳戶的帳戶ID。
- 對於規則 VPC-006 - 僅限 VPC 端點跨帳戶訪問 - 所有用戶都可以使用此選項添加友好帳戶。
- 全部在此 雲端狀態 組織內(僅限管理員使用)選擇此選項以將當前 雲端狀態 組織中的所有 AWS 帳戶包含為友好帳戶。
- 所有具有以下 雲端狀態 標籤(僅限管理員使用)輸入您要作為友好帳戶包含的相同 雲端狀態 組織中的 AWS 帳戶相關標籤。