安全信息
在AWS基础设施上构建系统时,您和AWS共同承担安全责任。这种责任共担模式减轻了您的运营负担,因为AWS操作、管理和控制组件,包括主机操作系统、虚拟化层和服务所在设施的物理安全。有关AWS安全的更多信息,请访问AWS 云安全性。
IAM角色
AWS身份和访问管理(IAM)角色允许客户将细粒度的访问策略和权限分配给AWS上的服务和用户。此解决方案创建授予解决方案组件之间访问权限的IAM角色。
使用Amazon CloudWatch警报监控服务
您可以在Amazon CloudWatch的警报仪表板上设置警报,以监控并接收有关您的AWS资源的警报。通常,我们建议配置您的警报,以在指标开始过度或低于使用特定资源(如高CPU或内存使用率)时通知您。这可能表明您的服务正在遭受DoS-style攻击。此外,当您的数据存储容器(如RDS)接近100%的容量利用时,设置警报也是必要的,因为这表明可能存在资源耗尽或枯竭式攻击。
提醒
使用CloudWatch alarms可能会产生额外费用。
在亚马逊云科技中国区域中(cn-north-1和cn-northwest-1),您可以在警报中创建RDS和NAT网关的指标。
在亚马逊云科技海外区域中,您可以启用更多服务的指标,例如Lambda、SQS和应用程序负载均衡器。
例如,如果您想要创建警报以监控NAT网关中的ActiveConnectionCount,可以使用CloudWatch控制台按照以下步骤操作。
- 登录AWS管理控制台。
- 访问CloudWatch控制台。
- 在导航窗格中,在警报下选择所有警报,然后选择创建警报。
- 选择选择指标,在指标中选择NATGateway。
- 搜索指标ActiveConnectionCount,单击并选择它。
- 选择选择指标。
- 在条件中,定义当ActiveConnectionCount大于100时的警报条件。然后选择下一步。
- 在通知中,配置CloudWatch在触发警报状态时向您发送电子邮件。
- 选择下一步。
- 为警报输入名称和描述,然后选择创建警报。
启用Admin账户S3存储桶的访问日志记录
在部署解决方案后,您可以启用Admin账户的S3存储桶的访问日志记录,以便检测和防止安全问题。启用日志记录使Amazon S3能够将访问日志传送到您选择的目标存储桶。目标存储桶必须位于与Admin账户S3存储桶相同的AWS区域和AWS账户中。
如果您想通过S3控制台为Admin账户S3存储桶启用访问日志记录,请按照以下步骤操作。
- 登录AWS管理控制台。
- 进入S3控制台。
- 在部署CloudFormation堆栈后找到相应的S3存储桶,存储桶名称以CloudFormation堆栈名称开头。
- 点击“属性”选项卡。
- 滚动到“服务器访问日志记录”部分,然后点击“编辑”。
- 选择“启用”选项以启用S3存储桶的访问日志记录。
- 在“目标桶”字段中,选择存储访问日志的目标存储桶。
- 点击“保存”以启用S3存储桶的访问日志记录。