使用数据边界建立权限防护机制
数据边界防护机制旨在充当始终开启边界,以帮助保护各种 Amazon 账户和资源中的数据。数据边界遵循 IAM 安全最佳实践在多个账户之间建立权限防护机制。这些组织范围的权限防护机制并不能取代现有的精细访问控制。相反,它们充当粗粒度的访问控制,通过确保用户、角色和资源遵守一组定义的安全标准来帮助改善安全策略。
数据边界是 Amazon 环境中的一组权限防护机制,可帮助确保只有可信身份才能访问来自预期网络的可信资源。
-
可信身份:Amazon 账户中的主体(IAM 角色或用户)以及代表您行事的 Amazon 服务。
-
可信资源:Amazon 账户或代表您行事的 Amazon 服务所拥有的资源。
-
预期网络:本地数据中心和虚拟私有云(VPC)或者代表您行事的 Amazon 服务网络。
注意
在某些情况下,您可能需要扩展数据边界,以包括可信业务合作伙伴的访问。在创建特定于您的公司和 Amazon Web Services 服务 的使用的可信身份、可信资源和预期网络的定义时,应考虑所有预期的数据访问模式。
应将数据边界控制视为信息安全和风险管理计划中的任何其他安全控制。这意味着您应该执行威胁分析来识别云环境中的潜在风险,然后根据自己的风险接受标准,选择并实施适当的数据边界控制。为了更好地为基于风险的迭代数据边界实现方法提供信息,您需要了解数据边界控制可以解决哪些安全风险和威胁向量,以及安全优先级。
数据边界控制
数据边界粗粒度控制通过实现不同的 策略类型 和条件键组合,帮助您在三个数据边界上实现六个不同的安全目标。
边界 | 控制目标 | 使用 | 应用于 | 全局条件上下文键 |
---|---|---|---|---|
求同 |
只有可信身份才能访问我的资源 |
基于资源的策略 |
资源 |
aws:PrincipalOrgID aws:PrincipalOrgPaths aws:PrincipalAccount aws:PrincipalIsAwsService |
只有可信身份可以访问您的网络 |
VPC 端点策略 |
网络 |
||
资源 |
您的身份只能访问可信资源 |
SCP |
身份 |
aws:ResourceOrgID aws:ResourceOrgPaths aws:ResourceAccount |
只能从您的网络访问可信资源 |
VPC 端点策略 |
网络 |
||
网络 |
您的身份只能访问预期网络中的资源 |
SCP |
身份 |
aws:SourceIp aws:SourceVpc aws:SourceVpce aws:ViaAWSService aws:PrincipalIsAwsService |
只能从预期网络访问您的资源 |
基于资源的策略 |
资源 |
可以将数据边界视为在数据周围创建牢固的边界,以防止意外访问模式。尽管数据边界可防止广泛的意外访问,但您仍然需要做出精细的访问控制决策。建立数据边界并不能减少使用诸如 IAM Access Analyzer 之类的工具持续微调权限的必要性,这是您实现最低权限的旅程的一部分。
身份边界
身份边界是一组粗粒度的预防性访问控制,有助于确保只有可信身份才能访问您的资源,并且只有可信身份才能访问您的网络。可信身份包括 Amazon 账户中的主体(角色或用户)以及代表您行事的 Amazon 服务。除非授予显式例外,否则所有其他身份都被视为不可信,并且会被身份边界阻止。
以下全局条件键可帮助强制实施身份边界控制。在基于资源的策略中使用这些键来限制对资源的访问,或者在 VPC 端点策略中使用这些键来限制对您的网络的访问。
-
aws:PrincipalOrgID – 可以使用此条件键来确保提出请求的 IAM 主体属于 Amazon Organizations 中的指定组织。
-
aws:PrincipalOrgPaths – 可以使用此条件键来确保提出请求的 IAM 用户、IAM 角色、联合用户或 AAmazon Web Services 账户根用户 属于 Amazon Organizations 中的指定组织单位(OU)。
-
aws:PrincipalAccount – 可以使用此条件键来确保只有您在策略中指定的主体账户才能访问资源。
-
aws:PrincipalIsAWSService 和 aws:SourceOrgID(或者 aws:SourceOrgPaths 和 aws:SourceAccount)– 可以使用这些条件键来确保当 Amazon Web Services 服务 主体访问您的资源时,他们仅代表指定组织、组织单位中的资源或 Amazon Organizations 中的账户进行访问。
有关更多信息,请参阅在 Amazon 上建立数据边界:仅允许可信身份访问公司数据
资源边界
资源边界是一组粗粒度的预防性访问控制,有助于确保您的身份只能访问可信资源,并且只能从您的网络访问可信资源。可信资源包括您的 Amazon 账户或代表您行事的 Amazon 服务所拥有的资源。
以下全局条件键有助于强制实施资源边界控制。在服务控制策略(SCP)中使用这些键来限制您的身份可以访问哪些资源,或者在 VPC 端点策略中使用这些键来限制可以从您的网络访问哪些资源。
-
aws:ResourceOrgID – 可以使用此条件键来确保正在访问的资源属于 Amazon Organizations 中的指定组织。
-
aws:ResourceOrgPaths – 可以使用此条件键来确保正在访问的资源属于 Amazon Organizations 中指定的组织单位(OU)。
-
aws:ResourceAccount – 可以使用此条件键来确保正在访问的资源属于 Amazon Organizations 中的指定账户。
在某些情况下,您可能需要允许访问 Amazon 拥有的资源,这些资源不属于您的组织,由您的主体或代表您行事的 Amazon 服务访问。有关这些场景的更多信息,请参阅在 Amazon 上建立数据边界:仅允许来自我的组织的可信资源
网络边界
网络边界是一组粗粒度的预防性访问控制,可帮助确保您的身份只能访问预期网络中的资源,并且只能从预期网络访问您的资源。预期网络包括您的本地数据中心和虚拟私有云(VPC)以及代表您行事的 Amazon 服务网络。
以下全局条件键有助于强制实施网络边界控制。在服务控制策略(SCP)中使用这些键来限制您的身份可以与之通信的网络,或者在基于资源的策略中使用这些键来限制对预期网络的资源访问。
-
aws:SourceIp – 可以使用此条件键来确保请求者的 IP 地址在指定的 IP 范围内。
-
aws:SourceVpc – 可以使用此条件键来确保请求通过其传输的 VPC 端点属于指定的 VPC。
-
aws:SourceVpce – 可以使用此条件键来确保请求通过指定的 VPC 端点传输。
-
aws:ViaAWSService – 可以使用此条件键来确保 Amazon Web Services 服务 可以使用 转发访问会话(FAS)代表您的主体提出请求。
-
aws:PrincipalIsAWSService – 可以使用此条件键来确保 Amazon Web Services 服务 可以使用 Amazon 服务主体 访问您的资源。
在其他情况下,您需要允许从网络外部访问 Amazon Web Services 服务 以访问您的资源。有关更多信息,请参阅在 Amazon 上建立数据边界:仅允许从预期网络访问公司数据
用于了解有关数据边界的更多信息的资源
以下资源可帮助了解有关 Amazon 的数据边界的更多信息。
-
Amazon 上的数据边界
– 了解数据边界及其优势和用例。 -
白皮书:在 Amazon 上构建数据边界 – 本白皮书概述了在 Amazon 中围绕您的身份、资源和网络创建边界的最佳实践和可用服务。
-
网络研讨会:在 Amazon 中构建数据边界
– 了解在何处以及如何根据不同的风险情景实施数据边界控制。 -
博客文章系列:在 Amazon 上建立数据边界
– 这些博客文章涵盖了有关大规模建立数据边界的规范性指导,包括关键的安全和实现注意事项。 -
数据边界策略示例
– 此 GitHub 存储库包含示例策略,这些策略涵盖了一些常见模式,可帮助您在 Amazon 上实现数据边界。 -
数据边界帮助程序
– 此工具通过分析 Amazon CloudTrail 日志中的访问活动,帮助您设计和预测数据边界控制的影响。