AWS基础知识Training Notes （Phase Ⅵ） - 安全性

安全性

责任共担模式

用户权限和访问

AWS Identity and Access Management (IAM)

让用户能够安全地管理对AWS资源和服务的访问。能够灵活配置访问权限。

功能：

• IAM用户、组和角色
• IAM策略
• 多重验证

注意 不要将根用户用于日常任务。

IAM 用户

是用户在AWS创建的身份。
它代表的是与AWS服务和资源交互的人员或应用程序。
由名称和凭证组成。
默认情况下，创建的IAM新用户没有任何权限。需要时授权。

IAM 策略

是一个文档，用于授予或拒绝对 AWS 服务和资源的权限。
IAM策略使您能够自定义用户对资源的访问级别。
e.g. 可以允许用户访问AWS账户中的所有Amazon S3存储桶，也可以仅允许用户访问特定存储桶。

IAM 组

IAM 组是IAM用户的集合。当您为某个组分配IAM策略时，该组内的所有用户都会获得该策略指定的权限。

IAM 角色

一名咖啡店员工在一天中需要轮换到不同的工作区。根据咖啡店的人员配备情况，该员工可能会履行多项职责：收银、更新库存系统、处理在线订单等。
当员工需要切换到其他任务时，他们将放弃对一个工作区的访问权限，并获得对下一个工作区的访问权限。员工可以轻松地在工作区之间切换，但在任何给定的时间点，他们只能访问单个工作区。
这时候引入 IAM 角色。
IAM 角色是一种身份，您可以通过担任这种身份来获得临时权限。
必须先对 IAM 用户、应用程序或服务授予切换到 IAM 角色的权限，然后它们才能使用该角色。

多重验证

MFA

AWS Organizations

公司有多个 AWS 账户，可以使用 AWS Organizations 在一个中心位置整合和管理多个 AWS 账户。
创建组织时，AWS Organizations 会自动创建根，根是组织中所有账户的父容器。
在 AWS Organizations 中，可以使用 服务控制策略（SCP）集中控制组织中账户的权限。SCP 是您能够对每个账户中的用户和角色可以访问的 AWS 服务、资源和各项 API 操作设置限制。
AWS Organizations 的另一项功能是整合账单。

组织单位

在 AWS Organizations 中，可以将账户分组到组织单位（OU）中，以便更轻松地管理具有类似业务或安全性要求的账户。将策略应用于 OU 时，OU 中的所有账户都会自动继承策略中指定的权限。
通过将各个单独的账号组织到 OU 中，可以更轻松地隔离具有特定安全性要求的工作负载或应用程序。例如，如果公司的一些账号只能访问满足特定法规要求的 AWS 服务，可以将这些账号放入一个 OU 中。然后，将策略附加到该 OU，阻止其中的账号访问所有其他不符合法规要求的 AWS 服务。

注意 在 AWS Organizations 中，可以将服务控制策略（SCP）应用于组织根、单个成员账号或 OU。SCP 会影响账户内的所有 IAM 用户、组和角色，包括 AWS 账户根用户。
可以将 IAM 策略应用于 IAM 用户、组或角色。但不能将 IAM 策略应用于 AWS 账户根用户。

合规性

收集文档和记录并检查自己的 AWS 环境，以便确定自己是否符合应遵守的合规性法规的工具。

1. 主要集中精力在 AWS 上的架构的合规性上。
2. 选择使用的区域可能会帮助满足合规性法规。

AWS Artifact

查看由第三方针对各种合规性标准编制的合规性报告。
是一项服务，使用户能够按需访问 AWS 安全性与合规性报告和选择在线协议。
分为两个部分：AWS Artifact Agreements 和 AWS Artifact Reports。

• AWS Artifact Agreements: 假设您的公司需要就在 AWS 服务中使用某些类型的信息与 AWS 签订相关协议。您可以通过 AWS Artifact Agreements 实现这一点。
  在 AWS Artifact Agreements 中，可以查看、接受和管理单个账户以及 AWS Organizations 中所有账户的协议。它提供各种类型的协议，可以满足受特定法规（例如健康保险流通与责任法案[HIPAA]）约束的客户的需求。
• AWS Artifact Reports: 假设公司开发团队的一名成员正在构建应用程序，需要更多有关他们在遵守特定法规标准方面的责任的信息。可以建议在 AWS Artifact Reports 中获取这些信息。
  AWS Artifact Reports 可以提供来自第三方审计机构的合规性报告。经过这些审计机构的测试和验证，AWS 符合各种全球性、区域性和特定于行业的安全性标准和法规。AWS Artifact Reports 与发布的最新报告保持同步。可以向审计机构或监管机构提供 AWS 审计构件，作为 AWS 安全控制的证据

AWS 合规性

查找各种合规性信息。它将展示支持合规性的各种服务以及《AWS 风险与安全性白皮书》之类的文档。

拒绝服务攻击

DDoS(分布式拒绝服务)，如何防御。
DDoS攻击的目的，是压垮系统，让系统无法运行，从而使应用程序无法发挥作用。
正常运行的应用程序，会接受来自客户的请求，然后返回结果。而发生 DDoS 攻击时，攻击者会试图占用应用程序的全部容量，让应用程序拒绝为任何客户提供服务。但是，一台机器无法形成足够的攻击规模，因此攻击者会采用分布式攻击，利用互联网上其他不知情的计算机来攻击基础设施。有效的攻击，关键在于尽可能减少攻击指挥官的工作量，并让攻击目标的工作量多到他们无法承受。

• UDP 泛洪：这种攻击是利用互联网上的服务资源，例如国际气象局服务，攻击者发送了一个简单的请求，要求提供天气信息，但会在请求中提供假的返回地址，就是被攻击者的地址。
  这是低级别的暴力攻击中的一种，目标是耗尽对方的网络资源。
• HTTP 级攻击：这种攻击看上去就像普通用户提出正常要求一样，比如用僵尸机器人计算机反复进行复杂的产品搜索。
• Slowloris 攻击：比如您在咖啡店排队，您前面的人要花7分钟来点某样东西，他们点完之后要离开让位，您才能得到服务。攻击者不会像正常点咖啡一样使用正常的连接，而会假装自己的连接速度非常慢，与此同时，生产服务器在等待客户完成请求，然后才能返回结果，但是，服务器在收到整个数据包之前无法处理下一个线程，无法为下一个客户服务。

解决方案：
UDP 泛洪——使用安全组。安全组只允许正常的请求流量传入。
Slowloris 攻击—— Elastic Load Balancer。
为了最大限度地减少 DoS 和 DDoS 攻击对应用程序产生的影响，可以使用 AWS Shield。

AWS Shield

提供标准和高级两种级别的防护。
AWS Shield Standard 是免费的，可以自动保护所有 AWS 客户。
AWS Shield Advanced 是付费服务。

其他安全服务

e.g. 例如处理加密的服务。