AWS - Trusted Advisor Enum

AWS - Trusted Advisor Enum

支持 HackTricks

AWS Trusted Advisor 概述

Trusted Advisor 是一项 提供建议 的服务,旨在优化您的 AWS 账户,符合 AWS 最佳实践。它是一项跨多个区域运行的服务。Trusted Advisor 在四个主要类别中提供见解:

  1. 成本优化: 建议如何重组资源以减少开支。

  2. 性能: 识别潜在的性能瓶颈。

  3. 安全: 扫描漏洞或弱安全配置。

  4. 容错: 推荐增强服务弹性和容错能力的实践。

Trusted Advisor 的全面功能仅在 AWS 商业或企业支持计划 下可用。没有这些计划,访问限制为 六个核心检查,主要集中在性能和安全上。

通知和数据刷新

  • Trusted Advisor 可以发出警报。

  • 可以将项目排除在其检查之外。

  • 数据每 24 小时刷新一次。然而,在上次刷新后 5 分钟可以手动刷新。

检查细分

类别核心

  1. 成本优化

  2. 安全

  3. 容错

  4. 性能

  5. 服务限制

  6. S3 存储桶权限

核心检查

限于没有商业或企业支持计划的用户:

  1. 安全组 - 特定端口不受限制

  2. IAM 使用

  3. 根账户上的 MFA

  4. EBS 公共快照

  5. RDS 公共快照

  6. 服务限制

安全检查

主要集中在识别和纠正安全威胁的检查列表:

  • 高风险端口的安全组设置

  • 安全组不受限制的访问

  • 对 S3 存储桶的开放写/列访问

  • 根账户上启用 MFA

  • RDS 安全组的宽松性

  • CloudTrail 使用

  • Route 53 MX 记录的 SPF 记录

  • ELB 上的 HTTPS 配置

  • ELB 的安全组

  • CloudFront 的证书检查

  • IAM 访问密钥轮换(90 天)

  • 访问密钥的暴露(例如,在 GitHub 上)

  • EBS 或 RDS 快照的公共可见性

  • 弱或缺失的 IAM 密码策略

AWS Trusted Advisor 是确保 AWS 服务基于既定最佳实践的优化、性能、安全和容错的重要工具。

参考文献

支持 HackTricks

Last updated