如需获得对任意 AWS 资源进行渗透测试的权限,请填写并提交 AWS 漏洞/渗透测试申请表。以下为有关渗透测试申请的几个重要事项:
- 所有渗透测试都需要许可权限。
- 要申请渗透测试权限,您必须使用与要测试的实例相关联的根凭证登录 AWS 门户网站,否则将无法正确地预先填充申请表。如果您已经聘请了第三方来执行测试,则必须先填写该表,在获得我们的批准后再通知第三方。AWS 不会批准第三方测试公司进行测试。
- 我们的政策仅允许测试以下资源:
- EC2
- RDS
- Aurora
- CloudFront
- API Gateway
- Lambda
- Lightsail
- DNS Zone Walking
- 目前,我们的政策不允许测试小型或微型实例类型。禁止测试 m1.small、t1.micro 或 t2.nano EC2 实例类型。这是为了防止对您可能会与其他客户共享的资源造成潜在的负面性能影响。
您提交的表格需填写与测试实例相关的各种信息,包括识别测试的预计开始和结束时间及测试时长,还要求您阅读并同意针对渗透测试及相应测试工具的使用的条款与条件。注意:结束日期距离开始日期不得超过 90 天。
AWS 会对您在此过程中共享的信息保密。未经您的许可,AWS 不会与第三方共享这些信息。
我们会在审查您的请求后立即给予回复,这最多需要两个工作日。请求经过审查后,您会收到授权编号。如果我们有任何疑问,将要求您予以解释。注意,请求更多信息会延迟这一过程,因此,请相应地加以规划并确保您的初始请求尽可能地详细。
如果您对漏洞和渗透测试审批流程有疑问,请发送电子邮件至 aws-security-cust-pen-test@amazon.com 联系我们
• 安全模拟或安全比赛日
• 支持模拟或支持比赛日
• 战争游戏模拟
• 白卡
• 红队和蓝队测试
• 灾难恢复模拟。
• 其他模拟事件
请直接发送电子邮件到 aws-security-simulated-event@amazon.com。在就事件进行沟通时,请务必提供有关事件的详细信息,如:
• 日期
• 涉及账户
• 涉及资源
• 联系方式,包括电话号码
• 规划事件的详细说明
AWS 会竭力尽快回应,并让您随时了解进度。你将在 2 个工作日内收到针对您的初次联系的非自动回应,确认我们已收到您的请求。
在审查您提交的申请信息时,我们会将它转交给适当的团队进行评估。考虑到申请的性质以及每项提交均需人工审查,我们可能需要长达 7 天才能给予回复。最后决定可能需要更长的时间,具体视是否需要更多信息来完成评价而定。
收到我们的授权后,您不需要采取任何后续行动。您可以在您指定的期限内开展测试。
