Category: Security, Identity, & Compliance

新推出的 AWS Resource Access Manager (RAM) 可以方便 AWS 账户之间的资源共享。通过它可以在您的 AWS 组织内部共享资源，可以从控制台、CLI或通过一组 API 来使用。我们现已推出对 Route 53 解析器规则的支持（昨天已在 Shaun 的优秀博文中宣布）并且将很快支持更多资源类型。

对于云的安全性、合规性和成本管理解决方案而言，受欢迎的选择之一是 Cloud Custodian，一个由 Capital One 赞助的开源项目。Cloud Custodian 是灵活的规则引擎，采用简单的 YAML 配置文件写出政策，支持超过 130 种 AWS 资源类型。然而，因为 Cloud Custiodian 主要通过邮件通知或命令行输出以及云观察指标进行报告，所以缺乏带有搜索和过滤功能的统一视图对于拥有大型环境和多个账户的客户来说是一个痛点。

现在，这一痛点的处理方式是集成 Cloud Custodian，作为 AWS Security Hub 的结果提供商。新发布的 AWS Security Hub 提供了您在 AWS 中安全状态的全面视图，包括关于安全行业标准和最佳规范的合规性。Security Hub 搜集了关于 AWS 账户、服务和受支持第三方合作伙伴的安全数据，帮助分析安全趋势，识别最高优先度的安全问题。

入侵和异常检测是重要的安全工具，可提高在 Amazon EKS 集群上的容器中部署的应用程序的运行时安全性。在本博文中，来自 Sysdig 公司的 Michael Ducy 将会介绍 Falco（CNCF 沙盒项目）如何在检测到异常应用程序行为时发出提醒。然后配置 AWS Lambda 函数，将提醒消息传送到 Slack。

Application Load Balancer (ALB) 提供内置的身份验证功能。ALB 现在可以在用户访问应用程序时安全对其进行身份验证，开发人员不必再编写支持身份验证的代码，也不必承担从后端进行身份验证的责任了。我们的团队构建了一个非常精彩的演示示例，您可以利用该实例尝试身份验证功能。

大家在使用 AWS 过程中总会遇到一些问题。在此以 Q&A 形式，总结一些常见的架构和故障排查问题，希望有所帮助。如果有中国（北京和宁夏区域）特有的问题，会特别注明。

立即参加我们的讲座，了解有关 AWS 服务和解决方案的知识，本月特色主题包括 Amazon EMR、Amazon SageMaker、AWS Lambda、Amazon S3、Amazon WorkSpaces、Amazon EC2 Fleet 等等! 此外我们也将迎来“How to re:Invent”的第三波活动，与 AWS 培训和认证团队一起深入了解新手训练营、动手实验室，以及如何通过 re:Invent 取得 AWS 认证。立即注册! 我们期待与您相会。 请注意 — 所有讲座均免费呈献，并以太平洋时间为准。   本月的技术讲座有：   分析和大数据 2018 年 7 月 23 日 | 太平洋时间上午 11:00 – 中午 12:00 – 在 EMR 上使用 Spark 进行大规模机器学习 – 了解如何在 Amazon EMR 上进行大规模的机器学习。 2018 年 7 月 […]

欧盟通用数据保护条例 (GDPR) 规定了数据处理者和数据控制者的角色，一些客户和 AWS 合作伙伴网络 (APN) 合作伙伴也在询问这将如何影响建立已久的 AWS 责任共担模式。 我想借此机会，帮助大家理解我们和客户在 GDPR 背景下的共担责任。

AWS 责任共担模式在 GDPR 会如何变化？简单来说 — 它不会发生变化。AWS 负责保护支持云和所提供服务的底层基础设施，而作为数据控制者或数据处理者的客户和 APN 合作伙伴则负责保护其放入云中的任何个人数据。责任共担模式说明了 AWS 与客户以及 APN 合作伙伴所承担的不同责任，在 GDPR 下也执行同样的责任划分原则。

无论是仅创办公司还是迁移现有存储或应用程序，网络安全、速度和可扩展性问题都是每家公司检查清单上的首要问题。现在，隐私和“数据保护”（这是欧洲对此领域的称谓）也成为首要问题。

首先，隐私和数据保护对任何企业的成功都至关重要，如果它还不是您考虑的重中之重，那么您应当如此考虑。欧洲联盟的通用数据保护条例 (GDPR) 是近 20 年来数据隐私和保护法律领域最大的变化。它提出了多项重要的要求，每家企业都应当了解下列有关 GDPR 的事实

鉴于 Amazon Web Services (AWS) 已经宣布所有 AWS 服务均 符合通用数据保护条例 (GDPR) 的要求，我们想借此机会介绍一些 AWS 可以帮助您履行合规要求的方式。GDPR 保护欧洲联盟数据主体的基本隐私和个人数据保护权利。它引入了强有力的要求，将提高和统一数据保护、安全性和合规性标准。在此博文中，我们将介绍 AWS 通过 AWS 合作伙伴网络 (APN)、 AWS Premium Support 和 AWS 专业服务等部门提供的支持。我们将解释这些团队如何携手欧洲及全球的客户以及 APN 合作伙伴，以支持他们有关 GDPR 和 AWS 的问题。

AWS Config 支持持续监控 AWS 资源，简化评估、审核以及记录资源配置和变化的过程。为此，AWS Config 使用一系列规则来定义 AWS 资源所需的配置状态。AWS Config 提供多种 AWS 托管规则来解决各种安全问题，例如，检查您是否已将 Amazon Elastic Block Store (Amazon EBS) 卷加密，是否已正确标记资源，以及是否为根账户启用了 Multi-Factor Authentication (MFA)。您还可以使用 AWS Lambda 函数创建自定义规则，以编写整理您的合规性需求。

在本文中，我们将向您展示如何使用 AWS Config 监控 Amazon Simple Storage Service (S3) 存储桶 ACL 和策略，确定是否存在允许公开读写访问权限的违规行为。