亚马逊AWS官方博客

Category: Security, Identity, & Compliance

基于 AWS IoT 证书授权最终用户访问云上资源

前言 企业在 AWS 上构建自己的应用系统时,常常需要授权应用系统的最终用户直接访问 AWS 资源(例如:允许最终用户访问非公开权限的 Amazon S3 存储桶)。AWS 通过 Identity and Access Management (IAM)服务授权用户访问 AWS 资源。在面对最终用户时,企业可以选择 Amazon Cognito 结合 IAM从应用程序端控制 AWS 资源访问。这需要企业将 Amazon Cognito 与管理最终用户的身份提供商(IDP, Identity Provider)进行集成,以实现 AWS 资源访问控制[1]。 本文将会介绍一种基于 x.509 证书的认证方式,并结合 AWS Identity and Access Management (IAM) 服务完成对相关资源的授权。从实现角度上看,该方式具有如下特点: 无需与第三方 IDP 即成,实现简单; 无需预付费用,适合对成本敏感的企业; 基于 509 的认证方式,安全可靠   关于 AWS IoT 在 AWS 上,用户可以通过 AWS […]

Read More

使用全新的 AWS WAF Bot Control 减少您网站上不需要的流量

根据 AWS Shield 威胁研究团队所做的研究,在进入典型 Web 应用程序的流量中,高达 51% 的流量来源于机器(也称为机器人程序)上运行的脚本。各种各样的机器人程序(有些是您想要的,而有些是您不需要的)正在冲击您的终端节点。 您想要的机器人程序正在锁定您的网站以进行索引,并使您的客户能够发现这些网站;而您不需要的机器人程序正在监控您网站的可用性或性能。然而,大部分的机器人程序流量是由您不需要的机器人程序生成的:脚本检测漏洞或者在未经您同意的情况下将您的内容复制到其他地方。除了安全风险外,为这些流量提供服务还会给您的基础设施带来不必要的压力和成本。 保护您的网站免受这些不必要流量的影响,既费时又容易出错。管理一组规则是非常复杂的,很有可能会拦截您需要的流量或者允许应该被拦截的流量入站。 介绍 AWS WAF Bot Control 今天,我们将给您介绍 AWS WAF Bot Control,它可以用来识别常见的机器人程序流量、提高对常见机器人流量的可见性并采取措施。AWS WAF Bot Control 已集成到 AWS Web Application Firewall 中,针对大型的企业用例,可以使用 AWS Firewall Manager 进行集中管理。 Bot Control 会分析请求元数据(例如,TLS 握手、HTTP 属性和 IP 地址),以识别机器人程序的来源和目的。它对机器人程序进行分类,如刮板、SEO、爬虫或网站监控器。 一旦 Bot Control 识别出机器人程序,您就可以拦截来自不需要的机器人程序的流量。您只需将默认操作作为您 WAF 配置的一部分以拦截不需要的机器人程序流量,或者您可以自定义配置。例如,您可以使用自定义响应功能,根据机器人程序标识来返回自定义响应,或者通过插入新的标题来标记请求。与 AWS WAF 集成后,您可以可视化进入您应用程序的机器人程序流量的范围,并通过 WAF 规则控制这些流量。 Bot Control 采用了我们如今添加到 AWS […]

Read More

新增功能 – 使用 WebAuthn 对 AWS SSO 执行 Multi-Factor Authentication

即日起,除了当前支持的一次性密码 (OTP) 和 Radius 身份验证器之外,您还可以将 WebAuthn 作为一种新的 Multi-Factor Authentication (MFA) 添加到 AWS Single Sign-On。添加对 WebAuthn(一种 W3C 规范,与 FIDO Alliance 协同开发)的支持后,您现在可以使用系统管理员预置的或笔记本电脑或智能手机中内置的各种可互操作的身份验证器进行身份验证。例如,您现在可以点击硬件安全密钥,触摸 Mac 上的指纹传感器,或使用移动设备或 PC 上的面部识别功能,在 AWS 管理控制台或 AWS 命令行界面 (CLI) 中进行身份验证。

Read More

新增功能 – AWS Single Sign-On 支持基于属性的访问控制

从今天开始,当员工使用 AWS Single Sign-On 登录到云时,您可以在 AWS 会话中传递用户属性。这让您不仅能够利用 AWS Single Sign-On 和 ABAC 的集中账户访问管理功能,而且还可以灵活地将 AWS SSO、Active Directory 或外部身份提供商作为您的身份来源使用。要了解更多有关在 AWS 上使用 ABAC 策略的优势的信息,请参阅我之前有关此主题的博客文章。

Read More