安全最佳实践-个人博客
  • 首页概览
    • 三个常见的云安全误解
    • AWS网络保险合作伙伴
    • 安全开源工具
    • Video + Podcast Series Conversations with Security Leaders
    • AWS Security Workshops
    • AWS Security Whitepaper
      • Organizing Your AWS Environment Using Multiple Accounts
    • AWS Jam
  • Multiple Accounts 多账号管理
    • 使用AWS Control Tower管理多账户
      • 通过AWS Control Tower简化跨账号部署
    • 多账户策略和最佳实践
      • 使用多账户的好处
      • 使用单组织OU
      • 多账户设计原则
      • 推荐使用的OU和账户
        • Security OU
          • 相关博客
            • Set up an organization-wide aggregator in AWS Config using a delegated administrator account
            • Simplify governance with declarative policies
        • Infrastructure OU
          • Backup account 备份账户
          • Identity account 身份账户
          • Network account 网络账户
            • IPAM的配置
          • Operations Tooling account 运维工具账户
          • Monitoring account 监控账户
          • Shared Services
    • 跨账号访问S3存储桶
    • 在 AWS 上构建安全的企业机器学习平台
    • 跨账户以最小权限共享资源
    • Global-多国组织
    • 中国-使用第三方代付的企业管理资源最佳实践
    • VMware’s Cloud Journey: AWS Account Management at Scale
  • 1. IAM 身份识别与访问控制
    • 新手起步
      • IAM常用术语
      • 什么是ABAC?
      • 中国区使用IAM编写策略需要注意的地方
      • 组织,管理账户和成员账户
      • 什么时候使用user,什么时候使用role
      • IAM Role的应用场景
      • IAM SCP的应用场景
      • IAM 策略类型:如何使用以及何时使用
      • AWS SIGv4 和 SIGv4A
      • 如何写condition
        • Services that work with IAM
        • AWS IAM Policy Condition Operators Explained
        • Every Condition Operator You Technically CAN Put in an IAM Policy
        • 限制IP地址段
        • 设置时间范围
        • 允许某个请求者操作 - ArnLike/ArnLikeIfExists
        • 允许AWS服务访问 aws:PrincipalIsAWSService
      • 添加虚拟MFA或硬件MFA
      • Authentication(AuthN) 和 Authorization(AuthZ)
      • How to Clear your AWS CLI Credentials
      • 通过CLI获取EC2的验证凭据的方式
      • Amazon Cognito
      • 去中心化标识符(Decentralized Identifier,DID)
    • 多因素认证MFA启用计划
      • 如何强制IAM用户使用MFA
      • 多因素身份验证可防范哪些类型的攻击?
    • ABAC权限控制方式
      • 给云资源打标签
      • 标记 Amazon EC2 资源
      • 标记Amazon S3
      • ABAC的应用
        • 如何根据标签定义配置访问 Amazon 资源的权限
        • 如何使用SAML session tags实现SSO的ABAC权限管理
        • Identity Center的Attribute Based Access Control (ABAC)
      • How to implement SaaS tenant isolation with ABAC and AWS IAM
    • Privileged Access Management 特权访问管理
      • 限制使用AdministratorAccess策略的用户或者角色
      • 使用SCP限制根用户的行为
      • Centralize Root Access In AWS(AssumeRoot)
      • 用SCP限制创建IAM User结合安全规范要求指定人员才能创建
      • 特权账号管理实践
      • 禁用不使用的服务和区域
    • Data Perimeters 数据防护边界
      • SCP(Service control policies)示例策略
        • 通过Service Control Policies(SCP)限制只能使用某个区域的AWS服务
        • 禁止成员账户访问管理账户/指定账户
        • 限制高危操作
          • 指定角色才能操作名称中含有security-nono的secrets
        • tagging:阻止标记被修改,除非由授权委托人修改
        • tagging:要求创建/运行某类资源时必须打了标签
        • iam:阻止根用户的访问
        • iam: 阻止创建根用户的AKSK
        • ec2:防止在没有 IMDSv2 的情况下启动 EC2 实例
        • RAM: 阻止外部共享
        • S3: 限制仅从预期网络可以访问
        • S3: 防止上传文件到未授权的存储桶
        • S3:防止上传 Amazon S3 未加密对象
        • S3:关键S3存储桶保护
        • S3:防止开放到公网
        • lambda: 确保开发部署lambda程序只能从VPC连接
        • 安全日志管理涉及的安全控制
        • 安全产品管理涉及的安全控制
        • 阻止 IaC 已经支持的所有行动
        • kms: 阻止组织外使用KMS
        • 拒绝生产账户使用 DisableKey 和 ScheduleKeyDeletion
        • 仅可信网络/预期网络
        • 仅访问可信资源
      • 资源策略(Resource-based policies)示例策略
        • IAM Role Trust Policy
        • S3存储桶策略
          • Examples of Amazon S3 bucket policies
          • 仅限OU范围内共享存储桶
          • 必须采用加密传输访问S3存储桶
        • KMS key策略
        • Secrets Manager Secret策略
        • SNS策略
        • SQS队列策略
      • 资源控制策略Resource control policies (RCPs)
        • 增强KMS保护
        • 增强secrets保护
        • 增强网络防护边界
        • 上传到 S3 的文件都必须加密
      • VPC端点策略(VPC endpoint policies)示例策略
        • VPCE和第三方资源
        • VPCE和AWS托管的资源
        • VPCE和S3
        • VPCE和组织内资源
      • blog-如何使用 data perimeter helper 评估影响并完善数据边界控制
    • Workforce Identity Integration 单点登录
      • IAM Identity Center作为IdP
        • 如何将IAM User迁移到IAM Identity Center
        • AWS Lake Formation Integrating IAM Identity Center
        • Authenticate AWS Client VPN users with SAML
        • 如何将 IAM Identify Center 与 Amazon Cognito User Pool集成?
        • Federated access to Amazon Athena using AWS IAM Identity Center
        • Integrate Identity Provider (IdP) with Amazon Redshift Query Editor V2 and SQL Client using AWS IAM Identity Center for seamless Single Sign-On
        • Jenkins 如何与 AWS Identity Center 集成
        • SAML Single Sign On (SSO) into Jira using AWS as IDP
      • IAM Identity Center作为SP
        • 配置 SAML assertions 用于授权响应
        • 将Okta 作为权限集中管理的控制中心,整合AWS IAM Identity Center 来访问AWS
        • Configure SAML and SCIM with Google Workspace and IAM Identity Center
        • Single Sign-On between Okta Universal Directory and AWS
      • AWS SSO用户如何使用CLI
      • AWS Federated Authentication with Active Directory Federation Services (AD FS)
      • 通过Identity Store API大规模管理和审计 AWS IAM 身份中心的用户和组操作
      • 令牌认证和单点登录协议
        • OpenID Connect (OIDC)
        • 代码交换证明密钥(Proof Key for Code Exchange,简称PKCE)
        • OpenID协议
        • SCIM 2.0
        • SAML2.0
          • 常见缩略语和定义
          • SAML2 Assertion 示例
          • SAML tokens
          • 在线工具
          • SP Metadata示例
        • OAuth 2.0授权模型
          • OAuth 2.0
          • OAuth 2.0 Simplified
          • OAuth 2.0 Simplified by okta
      • AWS IAM Identity Center Region Switch
      • How to bulk import users and groups from CSV into AWS IAM Identity Center
    • AWS认证和授权:IAM最佳实践
      • AWS CLI 和 AWS SDKs配置权限的几种方式
      • 通过IAM Role连接Github
      • IAM 账户设置最佳实践
      • 一些权限策略中可以用到的condition
        • AllowSSLRequestsOnly
        • Time-based access control
      • 场景化IAM实践-应用程序安全
        • IAM Role for RDS
        • IAM Roles for Amazon EC2
        • IAM role for GitHub OIDC
        • IAM Role for EKS
      • 场景化IAM实践-人员安全
        • IAM Identity Center for human
        • FinanceManager
        • FinanceUser
        • SystemsManager
        • AuditManager
        • SecurityManager
        • IAMAdmin
        • Developers
        • KMS Admin
        • 基于时间的访问控制
        • 第三方访问您的AWS资源
    • IAM相关的开源解决方案
      • Temporary elevated access management (TEAM)
        • Unable to deploy due to AWS Codecommit being deprecated #293
      • 免费开源的CIAM解决方案
        • ZITADEL
        • keycloak
      • 备份和恢复IAM Identity Center权限集和用户
      • 自动审阅AWS IAM Identity Center权限
      • AWS IAM Identity Center Region Switch
    • 目录服务AWS Directory Service
      • 在 AWS Managed AD 和运行 Windows Server Core 版本的本地 Active Directory 之间创建信任关系
      • 轻量级目录访问协议(Lightweight Directory Access Protocol,LDAP)
    • CIAM,即客户身份和访问管理(Customer Identity and Access Management)
      • APP认证系统:Amazon Cognito最佳实践
        • 通过简单的登录注册APP学习SAML和OAuth
        • 基本概念
          • 身份令牌 (ID Token) 和访问令牌 (Access Token)
          • Auth2.0
        • 高级安全功能
        • 与IAM Identity Center结合
        • 如何在 Amazon Cognito 中使用 OAuth 2.0:了解不同的 OAuth 2.0 授权
        • SaaS authentication: Identity management with Amazon Cognito user pools
        • Adding threat detection to custom authentication flow with Amazon Cognito advanced security features
      • APP授权系统:Amazon Verified Permissions最佳实践
        • 使用 Amazon Verified Permissions 和 Amazon Cognito 为 API Gateway API授权
        • 使用 Amazon Verified Permissions 和 Amazon Cognito 授权 API Gateway API
        • 使用 Amazon Verified Permissions 管理 AWS IoT smart home 应用的权限
    • An AWS IAM Security Tooling Reference [2024]
  • 2. 基础架构安全
    • 网络安全架构设计案例
    • 端口管控
  • 3. 数据保护
    • 识别及标识敏感数据
      • 如何系统地打标签Tag
      • 使用Tag Policies和Service Control Policies控制对包含 PII 数据的 AWS 资源的访问
      • 自动识别敏感数据
      • 敏感数据扫描与匿名化开源工具
    • 保护敏感数据
      • 数据匿名化方法概览
      • 日志匿名化处理
      • 保护S3的数据
      • CloudFront预签名
      • 重要数据备份
      • 关系型数据库字段级加密
      • 如何加密数据
      • 数据完整性校验
      • Amazon RDS 数据库密码管理
      • Web3的私钥托管
      • 防止未授权访问
      • 代码中使用SecureString保存敏感的参数
      • 交易签名
      • 隐私计算:构建可信执行环境
      • 如何实现代码中不出现明文口令
        • 通过AWS Secrets Manager统一管理混合云上的安全凭据
      • PKI构建
        • How to build a CA hierarchy across multiple AWS accounts and Regions for global organization
    • 数据资产管理与保护
  • 4. 日志与监控
    • AWS Config
      • Using AWS Config custom resources to track any resource on AWS
      • Simplify compliance management of multicloud or hybrid resources with AWS Config
      • Discover duplicate AWS Config rules for streamlined compliance
    • 使用Athena分析日志
    • 使用CloudWatch Logs Insights检索日志
      • 收集数据库审计日记
    • 使用Amazon Security Lake收集安全日志
      • Open Cybersecurity Schema Framework(OCSF)
      • 通过Security Lake构建你的安全数据湖
      • 使用Security Lake和Athena分析日志
        • Unauthorized attempts
        • 调查可疑用户
        • 检索某账号AKSK在指定时间范围内做了什么
        • 调查GuardDuty的发现
        • 错误使用aws_sts_getsessiontoken
      • 使用Security Lake & Jupyter Notebooks实现事件响应
    • SIEM on Amazon OpenSearch Service
      • 如何配置OpenSearch发送安全告警
      • 使用IAM Identity Center 登录OpenSearch Cluster
      • Configure SAML federation for Amazon OpenSearch Serverless with AWS IAM Identity Center
    • 告警通知设置
      • AWS Security Hub发送Slack告警通知
      • AWS Security Hub 发送邮件通知
      • 应用CloudTrail实现告警通知常见场景
        • API未授权访问告警通知
        • 安全组更改告警通知
        • NACL更改告警通知
        • IGW更改告警通知
        • 路由表更改告警通知
        • VPC更改告警通知
        • 没有通过MFA登录时的告警通知
        • 根用户使用时的告警通知
        • IAM策略变更告警通知
        • AWS控制台登录失败告警通知
        • 禁用或计划删除客户管理密钥告警通知
        • 更改S3 Bucket Policy 告警通知
        • 更改Amazon Config告警通知
        • AWS Personal Health Dashboard告警通知
        • CloudTrail配置变更告警通知
        • Ten Ways to Improve Your AWS Operations
    • 理解并利用CloudTrail
      • 了解 IAM Identity Center 登录事件
      • Understanding IAM Identity Center sign-in events
      • 使用CloudTrail Lake进行日志筛选
      • 跨多账号收集CloudTrail日志
    • Service Screener
    • Safer SCPs: Real-Time SCP Error Monitor
  • 5. 事件响应
    • 安全自动化合规审计与自动修复
    • Security Hub安全检查与自动修复
    • 安全合规自动审计
      • 基础:使用AWS Security Hub
        • 导出Security Hub的发现
      • 进阶:使用AWS Config扩展检查项目
      • 进阶:使用Chef InSpec profiles with Systems Manager实现主机和容器的基线检查
      • 高级:通过JIRA+Security Hub实现SOC安全运营中心
      • 合规检测规则集
        • GDPR(Global AWS Config)
        • 等保3级(中国区AWS Config)
    • 自动安全响应与修复
      • Security Hub发现自动修复
        • IAM.3-自动轮换IAM用户AK/SK
      • WAF自动拦截恶意请求
        • 在WAF上自动部署 web 访问控制列表过滤web攻击
        • 允许或阻止来自特定国家/地区或地理位置的请求
        • ATP 托管规则组
        • 登录页WAF验证码
        • 登录页面的基于速率的规则
        • 服务器端代码执行防范
      • AWS Trusted Advisor 发现自动修复
      • GuardDuty告警自动响应
        • IAM AKSK泄漏自动响应
        • 基于 Amazon GuardDuty 威胁级别的自动化通知
        • 删除EC2上的恶意文件
        • 拦截恶意IP访问EC2实例或者阻止EC2实例外联恶意IP
        • 创建自定义脚本自动隔离EC2实例
      • Config+SSM 的方式自动修复
        • config: restricted-ssh
        • config: required-tags
      • 利用custodian实现自动修复
        • 为S3存储桶自动打标签
        • 为EC2自动打标签
      • 自动修复常见场景
        • 自动生成组织策略
        • 自动抑制告警,减少噪音
        • 自动添加自定义字段到Findings告警,"Tag production findings"
        • 自动升级Security Hub的严重等级
      • 高级:使用Systems Manager自动修复
    • 自动补丁管理
  • 安全合规
    • 安全认证和合规框架
      • Cloud Controls Matrix (CCM)
      • 中国-三级等级保护合规检测
      • ISO 27001:2022
      • US Cyber Trust Mark
    • 全球各国法律速查
      • USA 美国
        • 汽车-UNECE Regulation No. 155(UN R155)
        • 拜登总统发布行政命令保护美国人的敏感个人数据
        • 美国出口管理条例(EAR)
        • 医疗-HIPAA
      • Europ欧洲
      • Singapore 新加坡
      • Japan 日本
      • Australia 澳大利亚
      • China 中国
      • 行业类隐私数据保护
        • 生物医疗出海企业需要满足的合规要求
      • 数据跨境流通要求
        • GDPR-数据跨境流通应对方案
        • 新加坡数据跨境流通应对方案
        • 中国-个人信息跨境处理活动安全认证规范
        • 全球数据本地化要求与AWS region
          • 如何选择合适的region
        • 数据泄露通知要求
          • 数据泄漏通知建设建议
      • 什么是GDPR
        • GDPR法规详细解读
        • 如何销毁数据满足GDPR
        • 隐私保护安全评估模板
          • 个人数据保护影响评估(DPIA)-GDPR
          • 个人隐私数据保护自查清单
    • AWS Privacy Reference Architecture (AWS PRA)
    • 数据安全合规
    • 可证明安全性 Provable Security
      • 自动推理如何帮助亚马逊 S3 实现大规模创新
      • AWS 如何利用自动推理帮助您实现大规模安全
    • 亚马逊云科技是值得客户信任的云
      • AWS Fault Isolation Boundaries
    • 敏感数据分级分类
      • 按照客户数据和业务数据分类
      • 金融领域
  • 安全产品成本估算
    • 计算器地址与报价地址
    • 安全合规持续检测和自动修复费用
    • MATTER认证费用
    • WEB应用防护和DDOS防护费用
    • 数据库和S3加密费用
    • Amazon Security Lake收集日志并分析的费用
    • Amazon Security Lake 和 AWS CloudTrail Lake做日志分析的成本对比
    • 如何实现AWS账单预警
  • 📑安全体系建设
    • 风险管理
    • 安全价值衡量指标与展现
      • IAM项目投资价值衡量指标
    • 云资产入侵防范
      • 通过Amazon GuardDuty检测入侵
        • IAM入侵防护
        • Kubernetes审计日志发现
        • EKS运行时监控
        • EC2入侵防护
      • 通过 AWS Web Application Firewall (AWS WAF)保护网站
      • 防止AKSK泄漏
        • 回收IAM User的AKSK计划
        • 防止临时权限凭据泄漏
        • 排查未绑定IAM Role的EC2
        • AK/SK泄漏后如何禁用权限
        • 排查泄漏的IAM AKSK
        • IAM最佳实践自查清单
      • 跨账户混淆代理人
      • S3存储桶被入侵防范
        • S3存储桶策略安全最佳实践
        • 防止Amazon S3存储桶被未授权访问并安全地开放到公网
        • 防止 IAM 角色从 VPC 外部访问S3存储桶
        • How to securely transfer files with presigned URLs
      • EC2和容器入侵防护
        • EC2使用 IMDSv1,受到 SSRF(服务器端请求伪造)的攻击
        • 如何防范勒索软件 Ransomware Defense
        • 在AWS上如何实现恶意删除保护
        • 通过Amazon Inspector保护主机和容器
        • 用Systems Manager替代堡垒机
      • 模拟攻击测试防护效果
        • 模拟EC2实例被远程控制
        • Steal EC2 Metadata Credentials via SSRF
        • 模拟EC2中挖矿木马
        • 获取IAM安全凭据
        • [Github]awslabs - Threat Composer
        • Breaching AWS Accounts Through Shadow Resources
        • AWS pwn
        • LLMjacking: Stolen Cloud Credentials Used in New AI Attack
      • Security Hub整合Prowler发现
    • 从DevOps到DevSecOps
      • IaC安全检查
        • AWS CloudFormation Guard
        • CFN Lint
      • Powertools for AWS Lambda (Python)
      • SLSA-software supply chain security
      • Secure Software Development Framework SSDF
      • Integrating AWS IAM Access Analyzer in a CI/CD Pipeline
        • IAM Access Analyzer custom policy checks
    • 安全管理流程建设计划
      • 安全应急响应计划
      • 终端保护计划
  • 数据安全处罚/泄漏案例库
    • 云上安全风险案例
      • 因AWS IAM AK/SK泄漏导致的安全事件
    • 数据泄漏事件
    • GDPR处罚案例
      • X(原Twitter)的AI训练计划遭遇 9 起GDPR投诉
    • 新加坡PDPC处罚案例
    • 中华人民共和国数据安全法
由 GitBook 提供支持

最后更新于10个月前

Attribute-based access control (ABAC)的优势在于其灵活性和可扩展性。使用ABAC,您可以通过定义基于资源和用户属性(如部门、地理位置或项目名称)的访问控制策略,来动态地控制对资源的访问。这意味着当资源或用户的属性发生变化时,您无需手动更新访问控制策略。例如,如果某个用户的职能从“开发”变更为“项目管理”,他们访问资源的权限可以自动根据其新的角色进行调整。

此外,ABAC能够支持细粒度的访问控制,允许您基于复杂的逻辑和条件为资源定义访问规则,如“只有来自特定IP地址、在工作时间访问的项目经理才允许查看此资源”。这种灵活性使得ABAC特别适合用于需要高度定制访问控制的大型和动态环境中。

对比ABAC和传统的RBAC模型

传统的RBAC模型根据人员的工作职能定义权限。在Amazon,角色通常指IAM role,是您可以代入的身份。

传统方式是为每个人创建一个user,放在一个group中,group配置不同的策略来实施RBAC。但是作为最佳实践,要求使用最小权限,列出能够访问的特定资源,可以执行的特定操作。那么RBAC模型的缺点是当有新的资源创建出来,必须更新策略来访问这些资源。

假设,你有三个项目,分别为“Heart”, “Sun”和“Lightning”。您为每个项目都创建了组或者IAM role和不同的策略,给人员或者程序分配好后,“Sun”添加了新的资源,比如新的S3存储桶。那么您就需要更新“Sun”的组或者IAM role的策略。否则,Sun的项目组成员就无法访问这个新建的资源。

ABAC的优势

ABAC更容易规模化管理

管理员不需要不断更新策略来允许访问新的资源。比如,您使用ABAC策略,开发人员和项目资源都是用🏷️标签tag进行标记。当项目需要额外的Amazon资源时,开发人员可以给资源加上标签,然后所有项目组的人员拥有一样的标签就可以看到/更改(可使用的action以策略里定义的为准)这个资源了。(需要policy中condition配置了基于标签进行权限控制)

ABAC需要更少的策略

您不再需要为不同的工作职能创建不同的策略,您只需要创建几个策略,给不同的IAM role,这些策略更易于管理。

使用ABAC,可以实现权限最小化原则

AWS安全最佳实践推荐要实现权限最小化,使用传统的RBAC,你必须创建策略允许访问指定的资源。实际使用时很难落地。使用ABAC只需要标签匹配就可以。如果您使用ABAC,只需要资源的tag与principal的tag匹配,你就可以拥有权限进行操作。不要调整策略,只需要创建资源时带上正确的标签🏷️。

在本页
  • 对比ABAC和传统的RBAC模型
  • ABAC的优势
  1. 1. IAM 身份识别与访问控制
  2. 新手起步

什么是ABAC?

What is ABAC for Amazon?

上一页IAM常用术语下一页中国区使用IAM编写策略需要注意的地方
🎉
🎉
🎉