Category: Security, Identity, & Compliance

从今天开始，当员工使用 AWS Single Sign-On 登录到云时，您可以在 AWS 会话中传递用户属性。这让您不仅能够利用 AWS Single Sign-On 和 ABAC 的集中账户访问管理功能，而且还可以灵活地将 AWS SSO、Active Directory 或外部身份提供商作为您的身份来源使用。要了解更多有关在 AWS 上使用 ABAC 策略的优势的信息，请参阅我之前有关此主题的博客文章。

为了让更多的 AWS 用户能够方便地分析系统的安全情况，大中华区企业支持团队根据与企业客户协作的实际经验，创建了基于Elasticsearch的WAF日志分析系统方案。

我们的客户构建为生活在世界各地的用户提供服务所需的应用程序。我们在聆听客户的意见时，得知尽管客户习惯在 AWS 上构建 Active Directory (AD) 感知应用程序，但对他们而言，在全球范围内运行可能是一个真正的挑战。

我们的客户希望拥有高可用性、可扩展的防火墙服务来保护其云中的虚拟网络。安全性是 AWS 的首要任务，AWS 在 AWS 上提供各种防火墙功能来满足特定安全需求，例如用于保护 Amazon Elastic Compute Cloud (EC2) 实例的安全组、用于保护 Amazon Virtual Private Cloud (VPC) 子网的网络 ACL、用于保护 Amazon CloudFront 上运行的 Web 应用程序的 AWS Web Application Firewall (WAF)、 Application Load Balancer (ALB) 或 Amazon API Gateway 以及用于防范分布式拒绝服务 (DDoS) 攻击的 AWS Shield。

拥有良好架构的多租户策略能够帮助您在AWS中加快创新步伐，同时帮助您满足安全性与可扩展性需求。本文中提及的框架充分体现了AWS最佳实践，建议大家将其作为AWS探索之旅的理想起点。

AWS Security Hub可以帮助用户利用技术手段实现对业务运行环境的持续安全合规检测。常用的安全工具包括防火墙，端点保护，漏洞和合规性扫描程序，数据加密等，日常的安全运维工作总是千头万绪，四处扑火，安全工程师每天需要处理数百甚至数千个安全警报。

电商已经深入生活的方方面面，电商平台作为直接面对消费者的业务平台，处理着大量的个人敏感数据，包括姓名，住址，电话号码，银行卡号等等。同时电商平台要维持24小时的运营，任何原因导致的业务中断都可能会造成订单的损失，用户体验下降等等。又由于平台面对的消费者通常来自于不同的国家和地区，这就使得电商平台要适应不同区域的合规要求。

在本文中，我们演示了如何在整个AWS Control Tower组织中启用IAM访问分析器。我们展示了如何将IAM访问分析器的管理权限委派至AWS Control Tower审计账户，以及如何在所有区域中启用分析器。在组织层面实施IAM访问分析器，能够帮助大家快速确定哪些资源允许来自AWS Organization之外的访问，进而提高组织的整体安全性。

如何基于 SAML 2.0 集成第三方身份提供商，使用 AWS 联合身份认证通过单点登录 (SSO) 方式登录 AWS 控制台，如何配置 AWS IAM 身份提供商，角色以及相互之间的信任关系，实现基于角色切换的多账户多用户管理。

描述如何在中国 AWS 区域使用 Keycloak 通过 SAML 建立 SSO 登录 AWS Console。