亚马逊AWS官方博客

AWS APN Marketing Central 现已提供简体中文版

如果您是中国的 AWS 合作伙伴网络 (APN) 合作伙伴，或是在中国设有分支机构的全球 APN 合作伙伴，则 APN Marketing Central 提供的资产可帮助您使用 Amazon Web Services (AWS) 进入市场。

AWS IoT 物联网系列 | 第七篇：AWS IoT Core服务成本优化

在进行物联网设备连接时，每个设备都需要通过消息的形式与 IoT Core 进行数据交互。随着消息交互数量的增加，如果不对整体架构进行优化，很容易造成消息成本的指数增长，甚至是不必要的浪费。本文结合 AWS IoT Core 的相关计费方式，探讨潜在的成本优化模型，从而更好的帮助在有限预算下提升产业性能及使用体验。

AWS IoT 物联网系列 | 第八篇：Alexa 入门实验

Amazon Echo 是当前最炙手可热的智能语音音响，内置的语音助理 Alexa 可以高效准确的理解用户对它发出的语音指令，而不需要任何的遥控器。市场上的一些智能产品，比如咖啡机、灯具、电视等，只需要语音它们就可以执行一系列的动作，而这些产品都没有内置 Alexa，那设备厂商是如何做到的呢？开发者可以通过 Alexa Skill 来增加更多丰富多彩的应用。

AWS IoT 物联网系列 | 第六篇：IoT 设备多区域架构方案

物联网场景中，终端设备的生产者和销售者往往并不是同一个，而产品的最终使用地点也可能因为销售路径的不同而有差异。为了在全球区域提供相同的使用体验，设备应该能够根据其所在的区域进行自发性的连接选择，并通过这种方式提供更低的网络时延。作为 IoT 服务提供者，需要设计部署一套跨区域的合理架构从而满足这样的需求。

本文将根据以上的场景，探讨如何利用 AWS 的服务进行架构设计和业务逻辑设计。

AWS IoT 物联网系列 | 第五篇：物联网场景中灵活实施对设备的控制管理

随着 IoT 设备的普及，如何安全、灵活地管理对设备的控制权限变得更加复杂。在以往简单的应用场景中，控制端 APP 仅仅需要使用 AWS IoT 平台对一个设备进行控制。但随着家庭拥有的物联网设备愈加丰富，控制端 APP 需要同时控制多个设备。另外，某些终端设备还需要提供给多人控制，例如家具式的智能排插能够支持被所有的家人打开或者关闭，因此就出现一个控制端 APP 能够控制多个设备端，或者多个用户能够相互控制多个设备的权限管理问题。
对这两种场景，本文分别介绍如何结合 AWS STS 服务，以临时安全凭证的方式在多设备和多用户的场景下精细化地向控制端 APP 分发和管理控制权限。

AWS IoT 物联网系列 | 第三篇：Certificate Vending Machine – IoT 设备接入 AWS IoT 平台解决方案

为了保证通信的安全性，IoT 设备与 AWS IoT 平台的 MQTT 通信使用基于证书的 TLS 1.2双向认证体系。所谓的双向认证，即意味着 IoT 设备端需安装 IoT 设备证书，并且，该证书应该由 IoT 平台所使用的 CA 证书进行签发，从而完成 IoT 平台对 IoT设备端的认证，反之亦然。

AWS IoT 物联网系列 | 第二篇：使用模版自动化 IoT 设备创建及证书注册过程 (Just-In-Time Provisioning)

利用即时注册（JITR）功能，可以快速的进行设备证书注册及设备上线。但是配置相关 Lambda 函数的方式相对复杂。使用本文介绍的即时部署（JITP）功能，可以简化 IoT 规则和 Lambda 函数的步骤，直接在注册设备 CA 证书的同时附加上一个自定义好的模版。在设备第一次连接 AWS IoT 平台的时候，JITP 会参照该模版的定义来完成设备证书的注册和设备在云端的创建过程。

AWS IoT 物联网系列 | 第一篇：利用 Lambda 实现 IoT 设备证书的即时注册 (Just-In-Time Registration)

为了保证通信的安全性，IoT 设备与 AWS IoT Core 的 MQTT 通信使用基于证书的 TLS 1.2双向认证体系。所谓的双向认证，即意味着 IoT 设备端需安装 IoT 设备证书，并且，签发该证书所使用的 CA 证书需要被 IoT Core 授信，从而完成 IoT Core 对 IoT 设备端的认证。并且，IoT 设备也会验证 IoT Core 的身份。

如何将亚马逊 AWS S3 存储桶的访问权限到一个特定 IAM 角色

在本博文中，我们会向您展示如何使用 Conditions（而非 NotPrincipal 元素），将 S3 存储桶的访问权限限制到一个账户内的特定 IAM 角色或用户。即便相同账户中的另一个用户拥有 Admin 策略或带有 s3:* 的策略，只要未被显式列出，也同样会被拒绝。例如，您可以使用此方法配置存储桶，以供 Auto Scaling 组内的实例访问。您还可以使用此方法，限制对具有高级别安全需求的存储桶的访问。

怎样利用 AWS Config 监控和响应 Amazon Simple Storage Service (S3) 允许公开读写访问权限

AWS Config 支持持续监控 AWS 资源，简化评估、审核以及记录资源配置和变化的过程。为此，AWS Config 使用一系列规则来定义 AWS 资源所需的配置状态。AWS Config 提供多种 AWS 托管规则来解决各种安全问题，例如，检查您是否已将 Amazon Elastic Block Store (Amazon EBS) 卷加密，是否已正确标记资源，以及是否为根账户启用了 Multi-Factor Authentication (MFA)。您还可以使用 AWS Lambda 函数创建自定义规则，以编写整理您的合规性需求。

在本文中，我们将向您展示如何使用 AWS Config 监控 Amazon Simple Storage Service (S3) 存储桶 ACL 和策略，确定是否存在允许公开读写访问权限的违规行为。