配置错误检查

S3

检查存储桶是否可公开访问：

aws s3api get-bucket-acl --bucket [bucket-name]

检查存储桶日志记录是否启用：

aws s3api get-bucket-logging --bucket [bucket-name]

检查服务端加密是否启用：

aws s3api get-bucket-encryption --bucket [bucket-name]

IAM

检查未使用的IAM用户和角色：

aws iam list-users and aws iam list-roles

检查未使用的IAM访问密钥：

aws iam list-access-keys --user-name [user-name]

检查未使用的IAM权限：

aws iam get-policy --policy-arn [policy-arn]

安全组

检查安全组中开放的端口：

aws ec2 describe-security-groups --group-id [security-group-id]

检查出站流量是否限制：

aws ec2 describe-security-groups --filters Name=ip-permission.protocol,Values=all Name=ip-permission.cidr,Values=0.0.0.0/0

检查特定IP地址范围的不受限制的入站流量：

aws ec2 describe-security-groups --filters Name=ip-permission.protocol,Values=tcp Name=ip-permission.cidr,Values=[ip-range]/32

VPC

检查未使用的VPC：

aws ec2 describe-vpcs

检查不受限制的对等互连：

aws ec2 describe-vpc-peering-connections --filters Name=status-code,Values=active Name=requester-vpc-info.vpc-id,Values=[vpc-id]