什麼是Cloud Risk Management中的友好帳戶?
受信任帳戶是指因為被信任而被允許存取其他帳戶資源的帳戶。一旦將受信任帳戶新增至相關規則中,經過合規掃瞄掃瞄後將會成功檢查。
帳戶管理員明確允許特定動作或行為給友好帳戶。這些帳戶可能擁有管理員認為安全的有限功能訪問權限。
例如:
AWS 「Account A」 擁有存取 AWS 「Account B」 資源的權限。這兩個帳戶可能由同一家公司擁有,也可能不是,或者 「Account A」 可能只是從 AWS Console "「trust」" 該 「Account B」。
在此情況下,「Account B」 將被客戶視為 「Account A」 的友好(可信)帳戶。因此,由 「Account B」 引起的某些規則失敗將被排除在檢查之外。
我可以使用友好帳戶配置哪些規則?
- VPC-006:VPC Endpoint 跨帳戶存取
- S3-015: S3跨帳戶存取
- IAM-050:跨帳戶存取缺少外部 ID 和 MFA
- IAM-057:檢查不受信任的跨帳戶 IAM 角色
- KMS-006:KMS跨帳戶存取
- SNS-002: SNS 跨帳戶存取
- SQS-002: SQS跨帳戶存取
- CWE-002:EventBus 跨帳戶存取
- SES-004:識別跨帳戶訪問
- ES-005:Elasticsearch 跨帳戶訪問
- Lambda-002:Lambda 跨帳戶存取
- ECR-002:儲存庫跨帳戶存取
-
VPC-014:VPC 對等連接至 AWS 組織外的帳戶
如何為規則配置友好帳戶?
Please Note:: 使用友好帳戶配置規則將允許沒有這些帳戶訪問權限的用戶在規則檢查中查看其 AWS 帳戶 ID。
- 在支援規則列表中的帳戶上,點擊「設定」 「規則」按鈕。
- 您可以透過選擇以下一個或多個選項來新增友好帳戶:
- **手動新增(適用於所有使用者):在文字框中輸入帳號,然後點擊「Add new」按鈕。
- Accounts within your AWS Organization (For Admin Users Only)
- 選擇此選項以將您 AWS 組織中的所有帳戶作為友好帳戶包含在內。
- !!! 注意 ""
- 此選項僅適用於Cloud Risk Management中的AWS帳戶,該帳戶也是您AWS組織的管理帳戶,因為它需要訪問您AWS組織中所有帳戶的帳戶ID。
- 對於規則 VPC-006 - 僅限 VPC Endpoint 跨帳戶訪問 - 所有使用者都可以使用此選項新增友好帳戶。
- 全部在此Cloud Risk Management組織內(僅限管理員使用)選擇此選項以將當前Cloud Risk Management組織中的所有AWS帳戶包含為友好帳戶。
- 所有具有以下 Cloud Risk Management 標籤的帳戶(僅限管理員使用)輸入您想要作為友好帳戶包含在同一 Cloud Risk Management 組織中的 AWS 帳戶的相關標籤。