[SEO 副标题]
本指南可帮助客户评测其 AWS 账户中的基础安全设置。使用提供的 AWS CloudFormation 模板自动评测您的 AWS 账户是否存在安全漏洞,并提供包括如何解决问题的步骤的评测报告。
架构图
第 1 步
AWS 用户安装为本指南创建的 AWS CloudFormation 模板。该模板部署 AWS Lambda 函数以及 Lambda 函数必需的 AWS Identity and Access Management(IAM)角色。
第 2 步
Lambda 函数部署 AWS Well-Architected 自定义详解。
第 3 步
Lambda 函数评测账户中的资源并检查以下事项:
- AWS Secrets Manager 是否用于存储和管理密钥的生命周期
- AWS Systems Manager 补丁管理器是否用于补丁管理
- Amazon CloudFront 是否用于交付静态内容
- Amazon Virtual Private Cloud(Amazon VPC)是否配置正确,可以设置安全隔离的网络
- AWS CloudTrail 是否专为审计目的而设置
- AWS Cost Explorer 成本管理服务账单警报是否已配置
- AWS 成本异常检测功能是否已设置
- Amazon Simple Storage Service(Amazon S3)是否配置正确,以阻止公共访问
第 4 步
AWS Well-Architected 自定义详解问题由 Lambda 函数回答,以完成自动评测。
第 5 步
AWS 用户在 AWS Well-Architected Tool 中导航到控制台以查看和下载评测报告。
第 1 步
AWS 用户安装为本指南创建的 AWS CloudFormation 模板。该模板部署 AWS Lambda 函数以及 Lambda 函数必需的 AWS Identity and Access Management(IAM)角色。
第 2 步
Lambda 函数部署 AWS Well-Architected 自定义详解。
第 3 步
Lambda 函数评测账户中的资源并检查以下事项:
- AWS Secrets Manager 是否用于存储和管理密钥的生命周期
- AWS Systems Manager 补丁管理器是否用于补丁管理
- Amazon CloudFront 是否用于交付静态内容
- Amazon Virtual Private Cloud(Amazon VPC)是否配置正确,可以设置安全隔离的网络
- AWS CloudTrail 是否专为审计目的而设置
- AWS Cost Explorer 成本管理服务账单警报是否已配置
- AWS 成本异常检测功能是否已设置
- Amazon Simple Storage Service(Amazon S3)是否配置正确,以阻止公共访问
第 4 步
AWS Well-Architected 自定义详解问题由 Lambda 函数回答,以完成自动评测。
第 5 步
AWS 用户在 AWS Well-Architected Tool 中导航到控制台以查看和下载评测报告。
Well-Architected 支柱
当您在云中构建系统时,AWS Well-Architected Framework 可以帮助您了解所做决策的利弊。框架的六大支柱使您能够学习设计和操作可靠、安全、高效、经济高效且可持续的系统的架构最佳实践。使用 AWS 管理控制台中免费提供的 AWS Well-Architected Tool,您可以通过回答每个支柱的一组问题,根据这些最佳实践来检查您的工作负载。
上面的架构图是按照 Well-Architected 最佳实践创建的解决方案示例。要完全符合 Well-Architected 标准,您应该遵循尽可能多的 Well-Architected 最佳实践。
-
安全性阅读《安全性》白皮书
为实现安全的身份验证和授权,Lambda 被授予以只读权限访问 AWS 服务的最低权限。本指南中部署了单个 Lambda 函数,无法通过互联网进行访问。客户可以在 AWS Well-Architected 门户中查看和下载评测报告,该报告只能通过登录客户的账户进行访问。客户的账户中不会存储任何其他数据。
-
可靠性阅读《可靠性》白皮书
Lambda 利用发送到 Amazon CloudWatch 的日志和指标,在其中对数据进行风险分析。使用单个 CloudFormation 模板可以让客户轻松安装和卸载资源。
-
性能效率阅读《性能效率》白皮书
Lambda 专为本指南而构建,让客户能够更改自定义详解,并修改 Lambda 函数以满足其安全需求。
-
成本优化阅读《成本优化》白皮书
本指南仅使用所需的最低资源,通过使用无服务器服务交付安全评测来扩展以满足需求。成本仅在实际消耗的资源基础上产生。
-
可持续性阅读《可持续性》白皮书
本指南使用完全托管的无服务器服务,这些服务可随需求扩展,并允许客户仅使用所需的最低资源持续匹配负载。
免责声明
示例代码;软件库;命令行工具;概念验证;模板;或其他相关技术(包括由我方人员提供的任何前述项)作为 AWS 内容按照《AWS 客户协议》或您与 AWS 之间的相关书面协议(以适用者为准)向您提供。您不应将这些 AWS 内容用在您的生产账户中,或用于生产或其他关键数据。您负责根据特定质量控制规程和标准测试、保护和优化 AWS 内容,例如示例代码,以使其适合生产级应用。部署 AWS 内容可能会因创建或使用 AWS 可收费资源(例如,运行 Amazon EC2 实例或使用 Amazon S3 存储)而产生 AWS 费用。