Link

AWS 管理相关服务

目录

  1. AWS 管理相关服务
    1. 参考文档
    2. Cloudwatch
    3. AWS Config
    4. CloudHMS
    5. Cost Explorer
    6. AWS Budgets
    7. 日志 CloudTrail
    8. SCP 服务控制策略
    9. Secret Manager
    10. KMS
    11. Cognito - 用户注册和身份验证
    12. Macie - 敏感数据发现
    13. Inspector
    14. Guardduty
    15. Trusted Advisor
    16. AWS Certificate Manager (ACM)
    17. AWS Systems Manager
    18. AWS Resource Access Manager (RAM)
    19. AWS Organizations

参考文档

http://d0.awsstatic.com/whitepapers/aws-overview.pdf

Cloudwatch

监控服务,可以使用 CloudWatch 来检测环境中的异常行为、设置告警、并排显示日志和指标、执行自动化操作、排查问题,以及发现可确保应用程序正常运行的洞察。

AWS Config

AWS Config 服务可供您评估、审计和评价您的 AWS 资源配置。Config 持续监控和记录您的 AWS 资源配置,并支持您自动依据配置需求评估记录的配置。借助 Config,您可以查看配置更改以及 AWS 资源之间的关系、深入探究详细的资源配置历史记录并判断您的配置在整体上是否符合内部指南中所指定的配置要求。如此一来,您将能够简化合规性审计、安全性分析、变更管理和操作故障排除。

CloudHMS

云上托管的硬件安全模块。

Cost Explorer

查看和管理 AWS 开销,可以导出 cost report

AWS Budgets

您可以使用 AWS Budgets 来跟踪 AWS 成本和使用情况并执行操作。您可以使用 AWS Budgets 监控预留实例 (RI) 或 Savings Plans 的聚合利用率和覆盖率指标。如果您不熟悉 AWS Budgets,请参阅 AWS Budgets 的最佳实践

您可以使用 AWS Budgets 启用简单到复杂成本和使用情况跟踪。一些示例包括:

  • 设置具有固定目标金额的月度成本预算,以跟踪与您的账户关联的所有成本。您可以选择收到实际(产生费用后)和预测(产生费用前)支出的提醒。
  • 设置具有可变目标金额的月度成本预算,随后每个月将预算目标每月增加 5%。然后,您可以配置为达到预算金额的 80% 发出通知并应用操作。例如,您可以自动应用自定义 IAM 策略,该策略拒绝您在账户内预置其他资源的能力。
  • 设置具有固定使用量和预测通知的月度使用预算,以帮助确保您保持在特定服务的服务限制范围内。您还可以确保一直享有特定的 AWS 免费套餐优惠。
  • 设置每日利用率或覆盖率预算,以跟踪您的 RI 或 Savings Plans。您可以选择在指定日期的利用率降至 80% 以下时通过电子邮件和 Amazon SNS 主题接收通知。

日志 CloudTrail

CloudTrail :跟踪用户活动和 API 使用情况。监控和记录所有账户的 activity。

SCP 服务控制策略

Service Control Policy

您可以使用 SCP 允许或拒绝拥有 AWS Organizations 成员账户的单一 AWS 账户或组织单位 (OU) 内的账户组对 AWS 服务进行访问。来自附加 SCP 的指定操作会影响所有 IAM 身份,包括成员账户的根用户

AWS Organizations SCP 不会替换 AWS 账户中的关联 IAM 策略。IAM 策略可允许或拒绝访问与 IAM 结合使用的 AWS 服务或 API 操作。IAM 策略只能应用于 IAM 身份(用户、组或角色)。IAM 策略不能限制 AWS 账户根用户

Secret Manager

安全地保存数据库和应用使用的密钥。使用此服务后,无需把密码写在代码中,支持 rotate 密码。

https://docs.aws.amazon.com/secretsmanager/latest/userguide/intro.html

工作流:

img

  1. 数据库管理员在 Personnel 数据库上创建一组凭据,供名为 MyCustomApp 的应用程序使用。管理员还使用应用程序访问人员数据库所需的权限配置这些凭据。
  2. 数据库管理员将凭证作为 secret 存储在 Secrets Manager 中,使用名称 MyCustomAppCreds 标识 。然后,Secrets Manager 加密并保存 secret。
  3. 当 MyCustomApp 访问数据库时,应用程序会向 Secrets Manager 查询名为 MyCustomAppCreds 的 secret。
  4. Secrets Manager 检索 secret,解密受保护的机密文本,然后通过安全(HTTPS 和 TLS)通道将机密返回给客户端应用程序。
  5. 客户端应用程序从响应中解析凭据、连接字符串和任何其他所需信息,然后使用这些信息访问数据库服务器。

Secret Manager 会使用 KMS 服务来对 secret 进行加密。使用 KMS 加密时,同时支持 AWS 托管的 KMS key 和用户手动生成的 KMS key。

KMS

Key Management Service,是一个全托管的加密密钥管理服务,这些密钥通常用于加密数据,比如加密 DB 实例。

KMS 可以和很多 AWS 服务集成来进行数据加密,详见:

https://aws.amazon.com/kms/features/#AWS_Service_Integration

KMS 可以集成 CloudTrail 来记录 KMS key 的使用情况。

用户可以在控制台中创建、更新、管理 KMS 密钥。

KMS 支持多区域 key(multi-region keys),这类 key 在多个区域有相同的 key ID 和 key material。可以用于跨区域加解密。

KMS 可用于:

  • 使用对称或者非对称算法对数据进行加密
  • 使用非对称密钥为消息进行签名和验证
  • 生成可导出的对称密钥或者非对称密钥对
  • 生成随机数字来满足加密要求

Cognito - 用户注册和身份验证

借助 Amazon Cognito,您可以轻松将用户注册和身份验证功能添加到自己的移动和 Web 应用程序。Amazon Cognito 还支持您通过外部身份提供商对用户进行身份验证,并提供临时安全凭证,以供访问您的应用程序在 AWS 中的后端资源或 Amazon API Gateway 后的服务。Amazon Cognito 可与支持 SAML 或 OpenID Connect 的外部身份提供商和 Facebook、Twitter、Amazon 等社交身份提供商配合使用,同时您也可以将其与您自己的身份提供商相整合。

此外,Amazon Cognito 还支持您在用户的多台设备之间同步数据,以便用户在切换设备或升级至新设备时能够获得一致的应用程序体验。您的应用程序可以将数据本地保存在用户的设备上,这样一来,即使设备处于离线状态,您的应用程序仍然可以运行,并且会在设备重新上线后自动同步相关数据。

借助 Amazon Cognito,您可以集中精力打造出色的应用程序体验,在处理用户管理、身份验证以及跨平台和设备的同步操作时,无需担心解决方案的构建、保护和扩展。

谁应该使用 Amazon Cognito?

Amazon Cognito 是专为想要将用户管理和同步功能添加到其移动和 Web 应用程序的开发人员设计的。开发人员可以使用 Cognito Identity 将注册和登录功能添加到他们的应用程序,以便用户能够安全访问其应用程序的资源。Cognito 还使得开发人员能够跨设备、平台和应用程序同步数据。

Macie - 敏感数据发现

Amazon Macie 是一项完全托管的数据安全和数据隐私服务,它利用机器学习和模式匹配来发现和保护 AWS 中的敏感数据。

Macie 会自动检测大量不断增多的敏感数据类型,包括姓名、地址和信用卡号等个人身份信息 (PII)。它让您可以持续了解存储在 Amazon S3 中数据的数据安全性和数据隐私性。

Inspector

模拟攻击,检查安全配置是否合规

Guardduty

分析日志和事件,发现未授权的行为,可用于发现挖矿软件

Trusted Advisor

提供优化基础架构、安全和成本的建议

AWS Certificate Manager (ACM)

AWS Certificate Manager 是一项服务,可帮助您轻松地预置、管理和部署公有和私有安全套接字层/传输层安全性 (SSL/TLS) 证书,以便用于 AWS 产品和您的内部互联资源。

使用 AWS Certificate Manager,您无需再为购买、上传和续订 SSL/TLS 证书而经历耗时的手动流程。

利用 AWS Certificate Manager,您可以快速请求证书,在 AWS 资源(如 Elastic Load Balancer、Amazon CloudFront 分配和 API Gateway 上的 API)上部署该证书,并让 AWS Certificate Manager 处理证书续订事宜。

它还让您能够为内部资源创建私有证书并集中管理证书生命周期。

通过 AWS Certificate Manager 预置的专用于 ACM 集成服务(例如 Elastic Load Balancing、Amazon CloudFront 和 Amazon API Gateway)的公有和私有 SSL/TLS 证书均免费。您只需为您创建的用于运行应用程序的 AWS 资源付费。您需要按月支付每个 CA 的操作费用,直至您将其删除,并为您颁发的并非专用于 ACM 集成服务的私有证书付费。

AWS Systems Manager

获得对 AWS 和本地资源的运营洞察。

借助 AWS Systems Manager,您可以集中来自多种 AWS 服务的运行数据并对不同 AWS 资源自动执行操作。您可以创建应用程序、应用程序堆栈的不同层或生产与开发环境等资源的逻辑组。借助 Systems Manager,您可以选择一个资源组并查看其最近的 API 活动、资源配置变化、相关通知、运行提醒、软件清单以及补丁合规性状态。您可以根据操作需要对每个资源组执行操作。Systems Manager 让您可以在一个位置查看和管理 AWS 资源,从而完全了解和控制各项操作。

哪些人应该使用 AWS Systems Manager? 如果您使用多种 AWS 服务,则可以通过 AWS Systems Manager 以集中而一致的方式收集运行信息并执行日常管理任务。您可以使用 AWS Systems Manager 执行日常操作、跟踪开发、测试和生产环境,还可以主动处理各种事件或其他运行问题。AWS Systems Manager 为代码编辑器和集成式开发环境 (IDE) 等更侧重于开发人员的工具提供了一种操作补充。与 IDE 类似,AWS Systems Manager 也集成了多种操作工具。

AWS Resource Access Manager (RAM)

AWS Resource Access Manager (RAM) 可帮助您在 AWS Organizations 中的组织或组织单元 (OU) 内的 AWS 账户之间安全地共享资源,还可针对支持的资源类型与 IAM 角色和 IAM 用户共享。您可以使用 AWS RAM 共享中继网关、子网、AWS License Manager 许可证配置、Amazon Route 53 Resolver 规则和更多资源类型。

许多组织使用多个账户创建管理或账单隔离,以及限制错误的影响。利用 AWS RAM,您无需在 AWS 账户中创建重复的资源。这可以降低管理您拥有的每一个账户中的资源的运营开销。此外,在多账户环境中,您只需创建资源一次,即可使用 AWS RAM 通过创建资源共享在账户中共享该资源。创建资源共享时,您可以选择要共享的资源,选择每个资源类型的 AWS RAM 托管权限,并指定可以访问资源的用户。AWS RAM 供您免费使用。

AWS Organizations

AWS Organizations 有助于您在 AWS 上扩展工作负载时对您的环境进行集中管理。无论您是一个成长型初创公司还是一个大型企业,Organizations 都能帮助您以编程方式创建新账户和分配资源,通过为所有账户设置单个付款方式简化计费,创建账户组以组织您的工作流,并将策略应用于这些组进行治理。另外,AWS Organizations 与其他 AWS 服务进行了集成,以便在您的组织中跨账户指定中央配置、安全机制和资源共享。

问:AWS Organizations 支持哪些集中监管和管理功能? 借助 AWS Organizations,可以实现以下功能:

通过 AWS CloudFormation Stacksets,实现 AWS 账户创建和管理的自动化,并预置资源 通过 AWS 安全服务的策略和管理来维护安全环境 管理 AWS 服务、资源和区域的访问权 针对多个 AWS 账户集中管理策略 审核环境的合规性 使用整合账单查看和管理成本 对多个账户配置 AWS 服务