В продолжение темы защиты #root_user — для особо опасливых можно посоветовать накрыть всё это дело сверху #SCP политикой для #AWS_Organizations, запрещающей работу из-под рута.
#paranoid #security
{
"Effect": "Deny",
"Action": "*",
"Resource": "*",
"Condition": {
"StringLike": {
"aws:PrincipalARN": "arn:aws:iam::*:root"
}
}
}
Правда некоторые сервисы под капотом используют (требуют) рута, потому стоит протестировать на чём-то неважном (возможно разбанить нужные сервисы, требующие root).#paranoid #security
Disallow Actions as a Root User
Полгода назад я добавил тэг #paranoid к посту про защиту от работы из-под рута, а теперь это в официальной документации:
https://docs.aws.amazon.com/controltower/latest/userguide/strongly-recommended-guardrails.html#disallow-root-auser-actions
Полгода назад я добавил тэг #paranoid к посту про защиту от работы из-под рута, а теперь это в официальной документации:
https://docs.aws.amazon.com/controltower/latest/userguide/strongly-recommended-guardrails.html#disallow-root-auser-actions
In-transit шифрование
Есть некоторые типы виртуалок для особо озабоченных безопасностью внутрисетевого трафика. На текущий момент следующие типы виртуалок имеют железное шифрование AES-256, которое #Nitro даёт им совершенно бесплатно и без потери производительности:
https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/data-protection.html#encryption-transit
#EC2 #paranoid #security
Есть некоторые типы виртуалок для особо озабоченных безопасностью внутрисетевого трафика. На текущий момент следующие типы виртуалок имеют железное шифрование AES-256, которое #Nitro даёт им совершенно бесплатно и без потери производительности:
C5a, C5ad, C5n, G4, I3en, M5dn, M5n, P3dn, R5dn и R5nhttps://docs.aws.amazon.com/AWSEC2/latest/UserGuide/data-protection.html#encryption-transit
#EC2 #paranoid #security
Amazon
Data protection in Amazon EC2 - Amazon Elastic Compute Cloud
Learn how the AWS shared responsibility model applies to data protection in Amazon Elastic Compute Cloud.