安全性

如果版本接近标准支持或已达到标准支持的终止日期，则此检查会提醒您。采取行动很重要——要么迁移到下一个LTS，要么升级到Ubuntu Pro。支持终止后，您的 18.04 LTS 计算机将不会收到任何安全更新。订阅 Ubuntu Pro 后，你的 Ubuntu 18.04 LTS 部署可以在 2028 年之前获得扩展安全维护 (ESM)。仍未修补的安全漏洞会使您的系统受到黑客攻击，并有可能出现重大漏洞。

c1dfprch15

红色：亚马逊 EC2实例的Ubuntu版本已达到标准支持的终点（Ubuntu 18.04 LTS、18.04.1 LTS、18.04.2 LTS、18.04.3 LTS、18.04.4 LTS、18.04.5 LTS、18.04.5 LTS和18.04.6 LTS）。

黄色：亚马逊 EC2实例的Ubuntu版本将在不到6个月的时间内结束标准支持（Ubuntu 20.04 LTS、20.04.1 LTS、20.04.2 LTS、20.04.3 LTS、20.04.4 LTS、20.04.4 LTS、20.04.5 LTS和20.04.6 LTS）。

绿色：所有 Amazon EC2 实例均合规。

要将 Ubuntu 18.04 LTS 实例升级到支持的 LTS 版本，请按照本文中提到的步骤进行操作。要将 Ubuntu 18.04 LTS 实例升级到 Ubuntu Pro，请访问 Amazon License Manager 控制台并按照用户指南中提到的步骤进行操作。Amazon License Manager你也可以参阅 Ubuntu 博客，其中展示了将 Ubuntu 实例升级到 Ubuntu Pro 的分步演示。

有关定价的信息，请联系Amazon Web Services 支持。

检查 Amazon EFS 文件系统是否使用 data-in-transit加密方式挂载。 Amazon 建议客户对所有数据流使用 data-in-transit加密，以保护数据免遭意外泄露或未经授权的访问。Amazon EFS 建议客户使用 “-o tls” 挂载设置，使用 Amazon EFS 挂载帮助程序使用 TLS v1.2 对传输中的数据进行加密。

c1dfpnchv1

黄色：您的 Amazon EFS 文件系统的一个或多个 NFS 客户端未使用提供 data-in-transit加密功能的推荐挂载设置。

绿色：您的 Amazon EFS 文件系统的所有 NFS 客户端都使用推荐的提供 data-in-transit加密功能的挂载设置。

要利用 Amazon EFS 上的 data-in-transit加密功能，我们建议您使用 Amazon EFS 挂载帮助程序和推荐的挂载设置重新挂载文件系统。

使用直接指向 Amazon S3 存储桶主机名的别名记录检查 Amazon Route 53 托管区域，如果您的别名记录与您的 S3 存储桶名称不匹配，则会发出警报。

c1ng44jvbm

红色：Amazon Route 53 托管区域的别名记录表明 S3 存储桶主机名不匹配。

绿色：在您的 Amazon Route 53 托管区域中未找到不匹配的 CNAME 记录。

将别名记录指向 S3 存储桶主机名时，必须确保您配置的任何别名记录或别名记录都存在匹配的存储桶。通过这样做，您可以避免CNAME记录被欺骗的风险。您还可以防止任何未经授权的 Amazon 用户使用您的域名托管错误或恶意的网络内容。

为避免将别名记录直接指向 S3 存储桶主机名，请考虑使用源访问控制 (OAC) 通过 Amazon 访问您的 S3 存储桶网络资产。 CloudFront

有关将别名记录与 Amazon S3 存储桶主机名关联的更多信息，请参阅使用别名记录自定义 Amazon URLs S3。

检查 Amazon Simple Storage Service (Amazon S3) 中具有开放访问权限或允许任何经过身份验证的用户访问的存储桶。 Amazon

此检查将检查显式存储桶权限以及可能覆盖这些权限的存储桶策略。建议不要向 Amazon S3 存储桶的所有用户授予列表访问权限。这些权限可能导致非预期的用户频繁地列出存储桶中的对象，从而导致费用高于预期。向每个人授予上载和删除访问权限的权限可能会导致存储桶中出现安全漏洞。

Pfx0RwqBli

如果存储桶允许开放访问，请确定是否确实需要开放访问。例如，要托管静态网站，您可以使用 Amazon CloudFront 来提供托管在 Amazon S3 上的内容。请参阅《亚马逊 CloudFront 开发者指南》中的限制对 Amazon S3 来源的访问权限。如果可能，请更新存储桶权限以限制所有者或特定用户的访问权限。使用“Amazon S3 阻止公有访问”来控制允许对您的数据进行公有访问的设置。请参阅设置存储桶和对象访问权限。

管理对 Amazon S3 资源的访问权限

为您的 Amazon S3 存储桶配置阻止公开访问设置

检查 Application Load Balancer (ALB) 目标组是否使用 HTTPS 协议加密后端目标类型的实例或 IP 传输中的通信。ALB 和后端目标之间的 HTTPS 请求有助于维护传输中数据的数据机密性。

c2vlfg0p1w

将实例或 IP 的后端目标类型配置为支持 HTTPS 访问，并将目标组更改为使用 HTTPS 协议来加密 ALB 与后端目标类型的实例或 IP 之间的通信。

在传输过程中强制加密

Application Load Balanc 目标类型

Application 负载均衡器路由配置

Elastic Load Balancing 中的数据保护

检查带有侦听器的经典负载均衡器，这些负载均衡器不使用推荐的安全配置进行加密通信。 Amazon 建议您使用安全协议（HTTPS 或 SSL）、 up-to-date安全策略以及安全的密码和协议。当您使用安全协议进行前端连接（客户端到负载均衡器）时，您的客户端和负载均衡器之间的请求会被加密。这创造了一个更安全的环境。Elastic Load Balancing 提供预定义的安全策略，其密码和协议符合 Amazon 安全最佳实践。新配置可用时，会发布预定义策略的新版本。

a2sEc6ILx

如果传输到负载均衡器的流量必须安全无虞，请使用 HTTPS 或 SSL 协议进行前端连接。

将负载均衡器的预定义 SSL 安全策略升级到最新版本。

只使用推荐的密码和协议。

有关更多信息，请参阅 Elastic Load Balancing 的侦听器配置。

检查是否配置了安全组的负载均衡器，该安全组允许访问未为负载均衡器配置的端口。

如果安全组允许访问未针对负载均衡器配置的端口，则数据丢失或恶意攻击的风险会增加。

xSqX82fQu

配置安全组规则，以将访问限制在负载均衡器侦听器配置中定义的端口和协议，以及用于支持路径 MTU 发现的 ICMP 协议。请参阅经典负载均衡器的侦听器和 VPC 中的负载均衡器的安全组。

如果安全组缺失，请将新安全组应用到负载均衡器。创建安全组规则，将访问限制在负载均衡器侦听器配置中定义的端口和协议。请参阅 VPC 中的负载均衡器的安全组。

检查账户的密码策略，并在未启用密码策略或未启用密码内容要求时发出警告。

密码内容要求通过强制创建强用户密码提高了 Amazon 环境的整体安全性。若您创建或更改密码策略，将会立即对新用户强制执行更改，但不会要求现有用户更改其密码。

Yw2K9puPzl

如果部分内容要求未启用，请考虑进行启用。如果未启用任何密码策略，请创建并配置策略。请参阅为 IAM 用户设置账户密码策略。

要访问 Amazon Web Services Management Console，IAM 用户需要密码。作为最佳实践， Amazon 强烈建议您使用联合身份验证，而不是创建 IAM 用户。联合身份验证允许用户使用其现有的公司凭证登录 Amazon Web Services Management Console。使用 IAM Identity Center 创建用户或联合用户，然后在账户中担任 IAM 角色。

要了解有关身份提供商和联合身份验证的更多信息，请参阅 IAM 用户指南中的身份提供商和联合。要了解有关 IAM 身份中心的更多信息，请参阅 IAM 身份中心用户指南。

管理密码

检查 Amazon Web Services 账户 是否配置为通过支持 SAML 2.0 的身份提供商 (IdP) 进行访问。在外部身份提供商中集中身份和配置用户时，请务必遵循最佳实践。Amazon IAM Identity Center

c2vlfg0p86

为激活 IAM 身份中心 Amazon Web Services 账户。有关更多信息，请参阅启用 IAM 身份中心。开启 IAM Identity Center 后，您可以执行常见任务，例如创建权限集和为 Identity Center 群组分配访问权限。有关更多信息，请参阅常见任务。

这是在 IAM 身份中心管理人类用户的最佳实践。但是，对于小规模部署，您可以在短期内通过 IAM 为人类用户激活联合用户访问权限。有关更多信息，请参阅 SAML 2.0 联合。

什么是 IAM Identity Center？

我是什么？

检查 root 用户访问密钥是否存在。强烈建议您不要为 root 用户创建访问密钥对。由于只有少数任务需要 root 用户，而且您通常不经常执行这些任务，因此最佳做法是登录 Amazon Web Services Management Console 以执行 root 用户任务。在创建访问密钥之前，请查看长期访问密钥的替代方案。

c2vlfg0f4h

红色：root 用户访问密钥存在

绿色：root 用户访问密钥不存在

删除 root 用户的访问密钥。请参阅删除 root 用户的访问密钥。此任务必须由 root 用户执行。您无法以 IAM 用户或角色身份执行这些步骤。

需要 root 用户凭证的任务

重置丢失或忘记的 root 用户密码

检查安全组是否有允许对特定端口进行不受限制访问 (0.0.0.0/0) 的规则。

不受限制的访问会增加恶意活动（黑客 denial-of-service攻击、攻击、数据丢失）的机会。风险最高的端口标记为红色，风险较小的端口将标记为黄色。标记为绿色的端口通常由需要不受限制访问的应用程序使用，例如 HTTP 和 SMTP。

如果您故意通过这种方式配置了安全组，我们建议您使用其他安全措施来保护您的基础设施（如 IP 表）。

HCP4007jGY

只有具有此需求的 IP 地址才能访问。要只允许特定 IP 地址进行访问，请将后缀设置为 /32（例如，192.0.2.10/32）。在创建更加严格的规则后，请务必删除过于宽松的规则。

查看并删除未使用的安全组。您可以使用 Amazon Firewall Manager 大规模集中配置和管理安全组。有关更多信息 Amazon Web Services 账户，请参阅Amazon Firewall Manager 文档。

考虑使用 Systems Manager 会话管理器对 SSH（端口 22）和 RDP（端口 3389）访问实例。 EC2 使用会话管理器，您无需在安全组中启用端口 22 和 3389 即可访问您的 EC2 实例。

检查安全组是否存在允许不受限制地访问资源的规则。

不受限制的访问会增加恶意活动（黑客 denial-of-service攻击、攻击、数据丢失）的机会。

1iG5NDGVre

只有具有此需求的 IP 地址才能访问。要只允许特定 IP 地址进行访问，请将后缀设置为 /32（例如，192.0.2.10/32）。在创建更加严格的规则后，请务必删除过于宽松的规则。

查看并删除未使用的安全组。您可以使用 Amazon Firewall Manager 大规模集中配置和管理安全组。有关更多信息 Amazon Web Services 账户，请参阅Amazon Firewall Manager 文档。

考虑使用 Systems Manager 会话管理器对 SSH（端口 22）和 RDP（端口 3389）访问实例。 EC2 使用会话管理器，您无需在安全组中启用端口 22 和 3389 即可访问您的 EC2 实例。