Category: Security, Identity, & Compliance

 如果您在 Amazon Relational Database Service（Amazon RDS）控制 […]

本方案介绍了 Amazon Security Lake 和第三方日志分析平台集成的方案。介绍了 Security Lake 使用到的相关云服务、支持的数据采集、支持的数据源、自定义数据和支持的外部数据订阅。并与 Splunk 集成方案的方案优势、挑战和适用场景，并给出了的部署方案的参考步骤和示例代码。

我们推出了 Amazon EC2 实例连接（EIC）端点，这是一项新功能，让您可以通过互联网安全地连接到您的实例和其他 VPC 资源。使用 EIC 端点，不再需要 VPC 中的 IGW、资源上的公有 IP 地址、堡垒主机或任何代理即可连接到您的资源。

使用 Firewall Manager 轻松搞定多帐号 WAF 资源管理. 本文主要介绍针对典型使用场景，如何进行帐号之间的权限配置。

Cedar 是一款开源的策略描述语言和软件开发套件（SDK），可为您的应用程序编写和执行授权策略。开发人员能够使用 Cedar 执行细粒度的权限管理，例如图片共享软件中的单个图片，微服务集群中计算节点，以及自动化工作流系统中的单个组件等。您可以将细粒度授权定义为 Cedar 的策略，由应用程序调用 Cedar SDK 的授权引擎来获取授权。

SaaS-EDR 是一款集成了丰富的系统防护与加固、网络防护与加固等功能的主机安全产品。具备业界独有的高级威胁模块，通过自主研发的文件诱饵引擎，有着业界领先的勒索专防专杀能力；通过内核级东西向流量隔离技术，实现网络隔离与防护；拥有补丁修复、外设管控、文件审计、阻断等主机安全能力。

本文主要介绍了基于 Amazon Systems Manager Session Manager 的堡垒机的设计和实现，并通过 IaC 自动化方式构建和部署云上堡垒机，同时基于堡垒机的使用场景进行了举例，介绍了不同场景下堡垒机的使用方法和步骤。

通过使用符合 FIPS 140-2 Level 3 标准、PCI-DSS 合规要求的 CloudHSM，为用户传输中的 TLS 加密数据分载方案。

亚马逊云科技的 GuardDuty 产品可以自动检测 EC2 的恶意文件并进行告警，但不能自动处置。本博客通过监控 GuardDuty 对恶意文件检测而产生的 event 事件，通过 lambda 来触发 Systems Manager Run Command 来自动化处置改 EC2 上的恶意文件，并把处置的恶意文件保存在 S3 中、恶意文件的 profile 属性保存在 DDB 中，以便于后续如果需要可以进行恢复使用。

AWS Verified Access 是亚马逊云科技原生的零信任安全服务，提供了无需 VPN 的互联网安全访问能力，支持为企业应用程序提供精细访问权的配置能力，确保只有在满足安全的情况下才授予应用程序访问权。本文将详细介绍在零信任架构下，构建基于 AWS Verified Access 服务的用户端浏览器到服务端的无 VPN 安全通信的过程步骤。帮助企业用户理解云端零信任架构的具体技术实现。