跳转至

安全信息

在AWS基础设施上构建系统时,您和AWS共同承担安全责任。这种责任共担模式减轻了您的运营负担,因为AWS操作、管理和控制组件,包括主机操作系统、虚拟化层和服务所在设施的物理安全。有关AWS安全的更多信息,请访问AWS 云安全性

IAM角色

AWS身份和访问管理(IAM)角色允许客户将细粒度的访问策略和权限分配给AWS上的服务和用户。此解决方案创建授予解决方案组件之间访问权限的IAM角色。

使用Amazon CloudWatch警报监控服务

您可以在Amazon CloudWatch的警报仪表板上设置警报,以监控并接收有关您的AWS资源的警报。通常,我们建议配置您的警报,以在指标开始过度或低于使用特定资源(如高CPU或内存使用率)时通知您。这可能表明您的服务正在遭受DoS-style攻击。此外,当您的数据存储容器(如RDS)接近100%的容量利用时,设置警报也是必要的,因为这表明可能存在资源耗尽或枯竭式攻击。

提醒

使用CloudWatch alarms可能会产生额外费用。

在亚马逊云科技中国区域中(cn-north-1和cn-northwest-1),您可以在警报中创建RDSNAT网关的指标。

在亚马逊云科技海外区域中,您可以启用更多服务的指标,例如LambdaSQS应用程序负载均衡器

例如,如果您想要创建警报以监控NAT网关中的ActiveConnectionCount,可以使用CloudWatch控制台按照以下步骤操作。

  1. 登录AWS管理控制台
  2. 访问CloudWatch控制台。
  3. 在导航窗格中,在警报下选择所有警报,然后选择创建警报
  4. 选择选择指标,在指标中选择NATGateway
  5. 搜索指标ActiveConnectionCount,单击并选择它。
  6. 选择选择指标
  7. 条件中,定义当ActiveConnectionCount大于100时的警报条件。然后选择下一步
  8. 通知中,配置CloudWatch在触发警报状态时向您发送电子邮件。
  9. 选择下一步
  10. 为警报输入名称和描述,然后选择创建警报

启用Admin账户S3存储桶的访问日志记录

在部署解决方案后,您可以启用Admin账户的S3存储桶的访问日志记录,以便检测和防止安全问题。启用日志记录使Amazon S3能够将访问日志传送到您选择的目标存储桶。目标存储桶必须位于与Admin账户S3存储桶相同的AWS区域和AWS账户中。

如果您想通过S3控制台为Admin账户S3存储桶启用访问日志记录,请按照以下步骤操作。

  1. 登录AWS管理控制台。
  2. 进入S3控制台。
  3. 在部署CloudFormation堆栈后找到相应的S3存储桶,存储桶名称以CloudFormation堆栈名称开头。
  4. 点击“属性”选项卡。
  5. 滚动到“服务器访问日志记录”部分,然后点击“编辑”。
  6. 选择“启用”选项以启用S3存储桶的访问日志记录。
  7. 在“目标桶”字段中,选择存储访问日志的目标存储桶。
  8. 点击“保存”以启用S3存储桶的访问日志记录。