Category: Security, Identity, & Compliance

AWS Organizations简述 AWS Organizations 可为多个 AWS 账户提供基于策略的管理。借助 AWS Organizations，您可以创建账户组，然后将策略应用于这些组。Organizations 支持您针对多个账户集中管理策略，无需使用自定义脚本和手动操作流程。 使用 AWS Organizations，您可以创建服务控制策略 (SCP)，从而集中控制多个 AWS 账户对 AWS 服务的使用。Organizations 支持您通过 包括API，SDK和Console界面创建新账户。Organizations 还有助于简化多个账户的计费模式，即您可以通过整合账单(Consolidated Billing)为您组织中的所有账户设置一种付费方式。所有 AWS 客户都可以使用 AWS Organizations，且无需额外付费。要注意的是任意的AWS账户只能存在一个Organization中。 AWS Organizations关键性概念 在正式接触AWS Organizations之前我们必须要先弄清楚其中的关键性名词和概念 Organization – 组织 组织是指一系列AWS账户，您可以将其整理为一个层次结构并进行集中式管理 AWS account – 账户 AWS账户是您AWS资源的容器，例如： Amazon S3 存储桶、 Amazon EC2 实例等 通过AWS Identity and Access Management (IAM) 规则  (users, roles) 管理AWS资源 AWS […]

您的 IT 基础设施 (AWS 账户和凭证、AWS 资源、来宾操作系统和应用程序) 面临着各色各样、不同规模的威胁！网络世界可能是一个各种危险暗流涌动的地方，我们希望确保您拥有正确的工具和知识并制定适当的远景，保证您的 IT 基础设施安全无虞。 Amazon GuardDuty 应运而生。通过各种公开的和 AWS 生成的数据源，在机器学习的大力支持下，GuardDuty 分析了数十亿个事件，追踪趋势、模式和异常，在其中识别暗藏潜在风险的蛛丝马迹。您可以通过一次单击来启用它，并在数分钟内即可查看前几项结果。 工作原理 GuardDuty 处理能力强大，可使用多个数据流，其中包括多个威胁情报源，保持对恶意 IP 地址和生僻域的了解；更重要的是，它会学习如何准确地识别 AWS 账户中恶意或未经授权的行为。结合从您的 VPC Flow Logs、AWS CloudTrail Event Logs 和 DNS 日志中收集的信息，GuardDuty 能够检测许多不同类型的危险和有害行为，包括探测已知漏洞、端口扫描和探测，以及来自不寻常位置的访问。在 AWS 方面，它会查找可疑的 AWS 账户活动，例如未经授权的部署、异常的 CloudTrail 活动、AWS API 函数访问模式以及超出多个服务限制的尝试。GuardDuty 还将查找与恶意实体或服务进行通信的受损 EC2 实例、数据泄漏尝试以及正在进行加密货币挖矿的实例。 GuardDuty 完全在 AWS 基础设施上运行，不会影响工作负载的性能或可靠性。您不需要安装或管理任何代理、传感器或网络设备。这个纯净的零占用空间模型应该对您的安全团队有很大吸引力，可以让他们不假思索地批准在所有 AWS 账户中使用 GuardDuty。 结果按照三个级别 (低、中或高) 之一呈现给您，并附有详细的证据和修复建议。这些结果还作为 Amazon CloudWatch […]

作者：薛峰，亚马逊AWS解决方案架构师 背景介绍 Amazon Cognito可以为我们移动开发中的终端用户维护唯一标识符，跨不设备和平台维护用户登录的一致。Cognito还可以为我们的应用提供限制权限的临时凭据来访问 AWS的资源。 使用Amazon Cognito我们的应用可以支持未验证用户，以及使用公开的身份提供方来验证用户，目前支持的身份提供方包括Facebook, Google 和Login with Amazon。 未验证的用户绑定到设备，即通过Cognito客户端SDK在用户使用相同设备时为他们维护唯一标识符。而已验证的用户则可以跨设备维护唯一标识符，即使他们使用iOS和Android这样不同的操作系统。 今天我们通过一个Android开发实例，详细讲解Amazon Cognito 与 Login with Amazon 集成，以针对移动应用程序和 Web 应用程序用户提供联合身份验证。 Login with Amazon 使用Amazon账号登录，可以省去注册账号的繁琐，使用用户已经熟练使用的账号直接登录。借助Amazon.com相同的验证机制，可以轻松享受其健壮的安全性和可扩展性。开发者可以不必自己再构建用户管理系统，而集中精力于自己的产品。Login with Amazon使用业界主流的OAuth 2.0标准，方便更快速地接入开发，也基于此Amazon Cognito也可以方便地接入。 我们使用当前主流的 Android Studio，为了方便调试先使用模拟器进行开发和演示。这些基础工作请大家自行准备好。 注册Login with Amazon 首先需要注册成Amazon开发者，然后到以下网址注册一个应用。 http://login.amazon.com/manageApps 左上角Applications 模块下点击“Register New Application”按钮。Name 和 Description按自己需求填写。 Privacy Notice URL这是在登录时显示给用户的隐私协议页面，生产环境中需要是你的网站的一个页面。这里我们可以使用演示页面的URL https://www.example.com/privacy.html Logo Image 这里是显示给用户的我们的应用图标，该图片会被自动缩小到50 x150像素，所以选择一个适当尺寸的图片上传。点击 save保存即可。 创建成功后，我们到该应用详情页，标题名称右下角有一行形如下面的应用ID： App ID: […]