Category: Security, Identity, & Compliance

今天，我们简化了 CloudFormation StackSets 集功能的使用，让客户能够轻松借助 AWS Organizations 管理多个账户。
现在，您可以跨多个 AWS 账户和区域集中编排任何启用了 AWS CloudFormation 的服务。

我们很高兴地宣布，我们将在 Amazon Elasticsearch Service 上推出新的 Open Distro for Elasticsearch 安全功能。Amazon Elasticsearch Service 经常用于敏感的企业工作负载，今天发布的新内容将增加多项功能，让您可以更严格地控制自己的数据。新功能包括使用角色来定义针对索引、文档和字段的精细权限，以及使用只读视图和租户级控制面板与图表扩展 Kibana 的功能。

对于关键的业务系统，一般都会需要考虑部署灾备方案。在设计灾备方案的时候，对于加密的资料，如何能够在另外的区域使用？密钥如何管理？采用了KMS加密的方案，如何实施灾备呢？针对这些问题，区分服务器端加密和客户端加密两种方式，本文提供了相应的解决方案建议。

今天，我要跟大家分享我最喜欢的一种公告。也就是说，能为几乎所有基于 AWS 构建产品或服务的人带来更可靠的安全性，并且几乎无需任何配置就能启用，不会产生任何使用费用。我们将推出一项同类首创的新功能，称为 AWS Identity and Access Management (IAM) Access Analyzer。IAM Access Analyzer 从数学角度分析附加到资源的访问权限控制策略，并确定可以公开或者通过其他账户访问哪些资源。它会持续监控 Amazon Simple Storage Service (S3) 存储桶、IAM 角色、AWS Key Management Service (KMS) 密钥、AWS Lambda 函数和 Amazon Simple Queue Service (SQS) 队列的所有策略。使用 IAM Access Analyzer，您可以查看访问权限控制的整体影响，从而确信自己的资源受到妥善保护，不会受到来自账户外部的意外访问。

构建和部署安全的应用程序是一项至关重要的工作，而威胁形势总在不断变化。我们一直在努力减轻维持强大的云安全态势所带来的痛苦。今天，我们将推出一款名为适用于 AWS WAF 的 AWS 托管规则的新功能，来帮助保护您的应用程序，且无需直接创建或管理规则。我们还对 AWS WAF 进行了多项改进，并推出了经过改进的新控制台和 API，从而让您更加轻松地保护应用程序的安全。

在 AWS 上，您可以使用 AWS Identity and Access Management (IAM) 权限策略和IAM 角色来实施 RBAC策略。

AWS中国的北京和宁夏区域，支持使用KMS加密。本文通过实际操作的演示，描述了在KMS建立迁移专用秘钥，并描述在DMS的使用过程中，如果食用Key去加密复制实例的过程。

本篇主要从AWS安全视角中的数据保护层面对S3和EBS进行加密管理，并结合CloudTrail 和 CloudWatch相结合做到数据加密中的可追溯性，并阐述EBS加密与解密的过程。另外通过本篇你将掌握利用AWS Key Management Service (KMS) 去创建和管理密钥，并管理AWS 服务和应用程序中加密的使用方式，这里主要围绕生产场景常用的AWS服务EBS和S3的最佳实践方法供其参考。

中国网络安全等级保护2.0已经颁布并生效，很多部署AWS云上部署应用的客户都在不断加固自己的工作负载以满足监管部门的要求。我们根据等级保护2.0的范围划分，结合AWS安全最佳实践，探讨AWS的处理建议。我们的这些内容提供给客户为合规做准备，但是客户最终需要根据评测机构的要求，结合AWS提供的服务和安全的实践，选择适合的方法和手段来满足等级保护2.0的要求。本文以等级保护2.0的三级要求为目标，对其中的网络与通信部分的内容进行探讨，希望给客户面对等保合规时疑问提供参考。

本文将着重介绍利用 AWS KMS 对 Amazon Aurora 进行服务器端静态加密。Amazon Aurora 数据库的静态加密是指，对数据库集群的基础存储、自动化备份、只读副本和快照的加密，以确保AWS客户的数据不被非法访问或窃取。