使用数据边界建立权限防护机制 - Amazon Identity and Access Management
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

使用数据边界建立权限防护机制

数据边界防护机制旨在充当始终开启边界,以帮助保护各种 Amazon 账户和资源中的数据。数据边界遵循 IAM 安全最佳实践在多个账户之间建立权限防护机制。这些组织范围的权限防护机制并不能取代现有的精细访问控制。相反,它们充当粗粒度的访问控制,通过确保用户、角色和资源遵守一组定义的安全标准来帮助改善安全策略。

数据边界是 Amazon 环境中的一组权限防护机制,可帮助确保只有可信身份才能访问来自预期网络的可信资源。

  • 可信身份:Amazon 账户中的主体(IAM 角色或用户)以及代表您行事的 Amazon 服务。

  • 可信资源:Amazon 账户或代表您行事的 Amazon 服务所拥有的资源。

  • 预期网络:本地数据中心和虚拟私有云(VPC)或者代表您行事的 Amazon 服务网络。

注意

在某些情况下,您可能需要扩展数据边界,以包括可信业务合作伙伴的访问。在创建特定于您的公司和 Amazon Web Services 服务 的使用的可信身份、可信资源和预期网络的定义时,应考虑所有预期的数据访问模式。

应将数据边界控制视为信息安全和风险管理计划中的任何其他安全控制。这意味着您应该执行威胁分析来识别云环境中的潜在风险,然后根据自己的风险接受标准,选择并实施适当的数据边界控制。为了更好地为基于风险的迭代数据边界实现方法提供信息,您需要了解数据边界控制可以解决哪些安全风险和威胁向量,以及安全优先级。

数据边界控制

数据边界粗粒度控制通过实现不同的 策略类型条件键组合,帮助您在三个数据边界上实现六个不同的安全目标。

边界 控制目标 使用 应用于 全局条件上下文键

求同

只有可信身份才能访问我的资源

基于资源的策略

资源

aws:PrincipalOrgID

aws:PrincipalOrgPaths

aws:PrincipalAccount

aws:PrincipalIsAwsService

只有可信身份可以访问您的网络

VPC 端点策略

网络

资源

您的身份只能访问可信资源

SCP

身份

aws:ResourceOrgID

aws:ResourceOrgPaths

aws:ResourceAccount

只能从您的网络访问可信资源

VPC 端点策略

网络

网络

您的身份只能访问预期网络中的资源

SCP

身份

aws:SourceIp

aws:SourceVpc

aws:SourceVpce

aws:ViaAWSService

aws:PrincipalIsAwsService

只能从预期网络访问您的资源

基于资源的策略

资源

可以将数据边界视为在数据周围创建牢固的边界,以防止意外访问模式。尽管数据边界可防止广泛的意外访问,但您仍然需要做出精细的访问控制决策。建立数据边界并不能减少使用诸如 IAM Access Analyzer 之类的工具持续微调权限的必要性,这是您实现最低权限的旅程的一部分。

身份边界

身份边界是一组粗粒度的预防性访问控制,有助于确保只有可信身份才能访问您的资源,并且只有可信身份才能访问您的网络。可信身份包括 Amazon 账户中的主体(角色或用户)以及代表您行事的 Amazon 服务。除非授予显式例外,否则所有其他身份都被视为不可信,并且会被身份边界阻止。

以下全局条件键可帮助强制实施身份边界控制。在基于资源的策略中使用这些键来限制对资源的访问,或者在 VPC 端点策略中使用这些键来限制对您的网络的访问。

有关更多信息,请参阅在 Amazon 上建立数据边界:仅允许可信身份访问公司数据

资源边界

资源边界是一组粗粒度的预防性访问控制,有助于确保您的身份只能访问可信资源,并且只能从您的网络访问可信资源。可信资源包括您的 Amazon 账户或代表您行事的 Amazon 服务所拥有的资源。

以下全局条件键有助于强制实施资源边界控制。在服务控制策略(SCP)中使用这些键来限制您的身份可以访问哪些资源,或者在 VPC 端点策略中使用这些键来限制可以从您的网络访问哪些资源。

  • aws:ResourceOrgID – 可以使用此条件键来确保正在访问的资源属于 Amazon Organizations 中的指定组织。

  • aws:ResourceOrgPaths – 可以使用此条件键来确保正在访问的资源属于 Amazon Organizations 中指定的组织单位(OU)。

  • aws:ResourceAccount – 可以使用此条件键来确保正在访问的资源属于 Amazon Organizations 中的指定账户。

在某些情况下,您可能需要允许访问 Amazon 拥有的资源,这些资源不属于您的组织,由您的主体或代表您行事的 Amazon 服务访问。有关这些场景的更多信息,请参阅在 Amazon 上建立数据边界:仅允许来自我的组织的可信资源

网络边界

网络边界是一组粗粒度的预防性访问控制,可帮助确保您的身份只能访问预期网络中的资源,并且只能从预期网络访问您的资源。预期网络包括您的本地数据中心和虚拟私有云(VPC)以及代表您行事的 Amazon 服务网络。

以下全局条件键有助于强制实施网络边界控制。在服务控制策略(SCP)中使用这些键来限制您的身份可以与之通信的网络,或者在基于资源的策略中使用这些键来限制对预期网络的资源访问。

  • aws:SourceIp – 可以使用此条件键来确保请求者的 IP 地址在指定的 IP 范围内。

  • aws:SourceVpc – 可以使用此条件键来确保请求通过其传输的 VPC 端点属于指定的 VPC。

  • aws:SourceVpce – 可以使用此条件键来确保请求通过指定的 VPC 端点传输。

  • aws:ViaAWSService – 可以使用此条件键来确保 Amazon Web Services 服务 可以使用 转发访问会话(FAS)代表您的主体提出请求。

  • aws:PrincipalIsAWSService – 可以使用此条件键来确保 Amazon Web Services 服务 可以使用 Amazon 服务主体 访问您的资源。

在其他情况下,您需要允许从网络外部访问 Amazon Web Services 服务 以访问您的资源。有关更多信息,请参阅在 Amazon 上建立数据边界:仅允许从预期网络访问公司数据

用于了解有关数据边界的更多信息的资源

以下资源可帮助了解有关 Amazon 的数据边界的更多信息。