Cloud Posture 常見問題

Lambda-009：使用客戶管理的金鑰啟用環境變數的靜態加密：AVTD 資源使用預設金鑰進行安全加密。此外，環境變數不包含任何秘密，因此不需要使用客戶管理的金鑰進行額外的加密。

SecretsManager-001: 使用 KMS 客戶主密鑰加密的秘密： AVTD 資源已使用預設密鑰安全加密，因此不需要使用客戶管理的密鑰進行額外加密。

Lambda-001：使用最新運行環境的 Lambda： AVTD 確保我們所有的 Lambda 使用 受支持的運行環境，且沒有 生命週期結束 日期。所有受支持的運行環境都會定期從 AWS 獲得安全更新。

Lambda-003: 已啟動 Lambda 追蹤: AVTD 確保在發佈之前對此功能進行徹底測試，因此不需要通過啟動追蹤來獲得額外的可見性。

SecretsManager-002:已啟動秘密輪換 AVTD 使用其自己的秘密功能，而不是 AWS 提供的功能，因此不需要啟用 AWS 提供的秘密輪換功能。

SecretsManager-003: 秘密輪換間隔 AVTD 使用其自有的秘密功能，而非 AWS 提供的功能，因此不需要啟用 AWS 提供的秘密輪換功能。

S3-024: S3 傳輸加速：AVTD 功能不使用傳輸加速功能。

Lambda-006：對多個 Lambda 函數使用 IAM 角色：AVTD 採用一種稱為「權限平面」的策略，讓需要相同權限的 Lambda 函數使用單一 IAM 角色。這確保了在部署到多個區域時的效率和可管理性，例如減少客戶雲端帳戶中使用的 IAM 角色數量

Lambda-007: AWS Lambda 函數的 VPC 存取： AVTD 不使用像 Redshift、ElastiCache 和 RDS 這樣可能需要 VPC 實作的資源。

CFM-001: CloudFormation 堆疊通知： AVTD CloudFormation 堆疊已通過 V1 CAM 管理，而非 AWS。

CFM-002: CloudFormation 堆疊政策： AVTD CloudFormation 堆疊已透過 V1 CAM 管理，而非 AWS。

CFM-005: CloudFormation 堆疊終止保護： 為了讓客戶能夠控制其環境中的堆疊，AVTD 允許用戶停用並從其帳戶中移除該堆疊

S3-025: 使用客戶提供的金鑰 CMKs 加密的 S3 存儲桶： AVTD 已使用 S3 管理的金鑰進行加密。

SQS-006:SQS 死信佇列： AVTD 在某些適用的 SQS 資源中實現了死信佇列 (DLQ)。

S3-013: S3 Bucket MFA 刪除已啟動：存儲在 AVTD S3 中的物件相對短暫，因此不需要啟用 MFA 刪除保護以防止意外刪除

S3-023: 物件鎖定: 存儲在 AVTD S3 中的物件相對短暫，因此不需要物件鎖定以防止意外刪除。

為了防止這些失敗影響您雲端帳戶的合規性，請將 AVTD 資源排除在上述規則之外，您可以使用資源標籤 AppManagerCFNStackKey::V1 無代理弱點和安全威脅偵測 創建一個 規則例外 以排除這些資源。或者，您可以使用資源標籤創建並應用 例外配置檔：