Elastic Beanstalk 的安全最佳实践 - Amazon Elastic Beanstalk
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

Elastic Beanstalk 的安全最佳实践

Amazon Elastic Beanstalk 提供了您在开发和实施自己的安全策略时需要考虑的多项安全功能。以下最佳实践是一般准则,并不代表完整的安全解决方案。由于这些最佳实践可能不适合您的环境或不满足您的环境要求,因此将其视为有用的考虑因素,而不是惯例。

有关其他 Elastic Beanstalk 安全主题,请参阅 Amazon Elastic Beanstalk 安全性

预防性安全最佳实践

预防性安全控制措施试图在事件发生之前进行预防。

实施最低权限访问

Elastic Beanstalk 为实例配置文件服务角色IAM 用户提供 Amazon Identity and Access Management (IAM) 托管策略。这些托管策略指定了正确运行环境和应用程序可能所需的所有权限。

您的应用程序可能不需要我们托管策略中的全部权限。您可以自定义它们,并仅授予环境的实例、Elastic Beanstalk 服务和用户执行其任务所需的权限。这与用户策略特别相关,其中不同的用户角色可能具有不同的权限需求。实施最低权限访问对于减小安全风险以及可能由错误或恶意意图造成的影响至关重要。

定期更新您的平台

Elastic Beanstalk 定期发布新平台版本更新其所有平台。新的平台版本提供了操作系统、运行时、应用程序服务器和 Web 服务器更新以及 Elastic Beanstalk 组件更新。其中很多平台更新包括重要的安全修复。确保您的 Elastic Beanstalk 环境在受支持的平台版本(通常是平台的最新版本)上运行。有关详细信息,请参阅 更新 Elastic Beanstalk 环境的平台版本

保持环境平台最新的最简单方法是将环境配置为使用托管平台更新

在环境实例上强制执行 IMDSv2

您的 Elastic Beanstalk 环境中的 Amazon Elastic Compute Cloud (Amazon EC2) 实例使用实例元数据服务 (IMDS)(实例上的一个组件)来安全地访问实例元数据。IMDS 支持两种访问数据的方法:IMDSv1 和 IMDSv2。IMDSv2 使用面向会话的请求,并防范了多种类型的漏洞,这些漏洞可用于尝试访问 IMDS。有关 IMDSv2 优势的详细信息,请参阅为 EC2 实例元数据服务增加深度防御的增强功能

IMDSv2 更加安全,因此最好在您的实例上强制使用 IMDSv2。要强制使用 IMDSv2,请确保应用程序的所有组件均支持 IMDSv2,然后禁用 IMDSv1。有关更多信息,请参阅 在环境实例上配置实例元数据服务

检测性安全最佳实践

侦探性安全控件会在发生安全违规后识别它们。它们可以帮助您发现潜在安全威胁或事件。

实施监控

监控是保持您的 Elastic Beanstalk 解决方案的可靠性、安全性、可用性和性能的重要部分。Amazon为您提供了一些可以用来监控Amazon服务的工具。

以下是要监视的项目的一些示例:

启用 Amazon Config

Amazon Config 可以提供关于您的账户中的Amazon资源配置的详细信息。您可以查看资源的关联方式、获取配置更改的历史记录并了解关系和配置如何随时间的推移而变化。

您可以使用 Amazon Config 定义评估资源配置是否符合数据的规则。Amazon Config 规则代表 Elastic Beanstalk 资源的理想配置设置。如果某个资源违反了某规则并且被标记为“不合规”,则 Amazon Config 可能提醒您使用 Amazon Simple Notification Service (Amazon SNS) 主题。有关详细信息,请参阅 使用 Amazon Config 查找和跟踪 Elastic Beanstalk 资源