极简概括 | AWS 安全与合规(Security, Identity, & Compliance)之一
Amazon Resource Access Manager
Amazon Resource Access Manager(RAM)是AWS提供的集中式资源管理服务,旨在简化跨账户的AWS资源共享与治理。其核心功能是允许用户将特定AWS资源(如Amazon Transit Gateway、子网、License Manager配置等)安全地共享给其他AWS账户、组织内账户或组织单位(OU),甚至第三方账户,而无需在每个账户中重复创建资源。通过创建资源共享并指定资源和接收账户,用户可集中管理资源权限,利用托管权限定义共享资源的操作范围(如只读或读写),从而降低运营开销,提升多账户环境下的资源利用效率。
RAM的优势在于提供一致且安全的资源共享体验。共享资源在接收账户中如同原生资源般可见,用户可直接在原始服务控制台或API中操作,无需切换账户。同时,RAM与AWS IAM、CloudTrail等集成,支持细粒度权限控制和操作审计,确保共享过程的安全性。此外,RAM支持跨Region资源共享(需资源本身支持),并允许与组织外部账户共享时通过邀请机制管理访问权限,进一步增强了灵活性与治理能力。
Amazon Cognito
Amazon Cognito 是亚马逊云科技提供的用户身份与访问管理服务,旨在为 Web 和移动应用程序提供安全、可扩展的用户注册、登录及权限控制功能。
其核心组件包括用户池(User Pools)和身份池(Identity Pools):用户池作为用户目录,支持本地注册、第三方身份提供商(如 Google、Facebook)联合登录,并提供多因素认证(MFA)、自适应风险检测等安全功能;身份池则通过临时 AWS 凭证(如 IAM 角色)授权用户访问 AWS 资源(如 S3、DynamoDB),实现无缝集成。Cognito 每月处理超千亿次身份验证,支持百万级用户规模,提供低代码开发工具(如 AWS Amplify)与品牌化界面,助力企业快速构建合规的客户身份与访问管理(CIAM)系统,典型应用场景包括企业 B2B 身份管理、医疗健康数据安全访问等。
Amazon Secrets Manager
Amazon Secrets Manager 是 AWS 提供的全托管机密管理服务,专为安全存储、轮换和访问控制敏感数据(如数据库密码、API 密钥、OAuth 令牌等)而设计。
其核心功能包括:通过加密存储保护机密(支持 AWS KMS 自定义密钥),提供细粒度的 IAM 策略控制访问权限;支持自动轮换机制(可集成 RDS、Redshift 等 AWS 服务),定期更新机密并同步至依赖系统,降低泄露风险;提供 API 和 CLI 接口,允许应用程序动态检索机密,无需硬编码或手动配置。此外,Secrets Manager 支持跨区域复制和审计日志(通过 AWS CloudTrail),满足合规要求(如 GDPR、HIPAA)。典型应用场景包括:保护微服务架构中的动态凭证、管理多环境(开发/测试/生产)的差异化机密,以及自动化替换即将过期的证书或密钥。
Amazon GuardDuty
Amazon GuardDuty 是 AWS 的智能威胁检测服务,无需部署任何代理或软件,启用后即可自动分析 CloudTrail 事件、VPC 流日志、DNS 日志等数据源,结合机器学习和威胁情报,持续监控你的 AWS 账户、工作负载和 S3 数据中的异常行为——从凭据泄露、加密货币挖矿到存储桶入侵,近乎实时地生成带严重程度(低/中/高)的安全调查结果。
Amazon Inspector
Amazon Inspector 是 AWS 的自动化漏洞管理服务,启动后自动发现并持续扫描 EC2 实例、ECR 容器镜像、Lambda 函数以及代码仓库,查找软件漏洞(CVE)和意外的网络暴露,无需手动排程。扫描覆盖 SSM Agent 方式和无代理(EBS 快照)方式,发现问题后生成带严重程度和上下文风险评分的调查结果(Finding),修复后自动关闭,并可通过 EventBridge、Security Hub 联动自动化响应,支持 Organizations 多账户集中管理。
Amazon Macie
Amazon Macie 是 AWS 的全托管数据安全服务,专盯 S3 桶里的敏感数据。它用机器学习和模式匹配自动扫描 S3 对象,识别 PII(姓名、地址、信用卡号等)、PHI、财务信息等敏感内容,同时持续评估存储桶的安全配置——未加密、公开访问、跨组织共享等问题都会生成告警(Finding)。支持自定义数据类型(正则表达式),也支持 Organizations 多账户集中管理,发现结果可推送到 EventBridge 和 Security Hub 联动自动化响应。