了解 AWS 云安全、治理和合规概念
发布: (2026年1月2日 GMT+8 15:54)
5 min read
原文: Dev.to
Source: Dev.to
考试指南:云从业者 – 领域 2:安全与合规(任务 2.2)
治理与合规概述
- 治理 – 政策、控制和监督,以确保 AWS 使用符合业务目标和风险容忍度。
- 合规 – 符合法律、监管和行业要求(例如 POPIA、HIPAA、PCI DSS、GDPR)。
AWS 提供合规的云基础设施,但您必须以合规的方式配置和使用服务(共享责任模型)。
在哪里查找合规信息
- AWS Artifact – 按需获取合规报告和协议(SOC 报告、ISO 报告、其他审计文档)。
问题:“您从哪里下载 AWS 合规报告?” → AWS Artifact。 - AWS Compliance Resources – 按行业和地区提供的 AWS 合规计划指南。
问题:“您从哪里了解按行业/地区划分的 AWS 合规计划?” → AWS Compliance。
影响合规要求的因素
- 国家/地区数据法律 – 数据驻留、隐私规则。
- 行业监管 – 医疗、金融、政府等。
- 服务合规资格 – 并非所有 AWS 服务都获准用于每个框架;某些框架(例如 HIPAA)有合规服务列表。
关键安全、治理与合规服务
| Service | Primary Function |
|---|---|
| Amazon GuardDuty | 使用 CloudTrail 事件、VPC Flow Logs 和 DNS 日志进行威胁检测。 |
| AWS Security Hub | 提供集中式安全姿态视图;聚合来自多个 AWS 服务/工具的发现。 |
| Amazon Inspector | 自动化漏洞管理(对受支持资源进行软件漏洞和暴露的扫描)。 |
| AWS Shield | 为面向互联网的应用提供 DDoS 防护。 |
| AWS Config | 记录资源配置更改;根据规则评估配置(对合规漂移有用)。 |
| AWS Audit Manager | 持续收集证据并映射到常见合规框架,降低手动审计工作量。 |
| IAM Credential Reports & Access‑Related Reports | 审查访问并支持治理。 |
加密
- 传输中加密 – 保护跨网络传输的数据(通常为 TLS/HTTPS)。关键词:“客户端到服务器加密”,“安全通信通道”。
- 静止加密 – 保护已存储的数据(磁盘、数据库、对象存储)。与 AWS 服务及密钥管理选项集成。关键词:“存储数据加密”,“磁盘/数据库/对象加密”。
指南:
- 如果场景提到保护 客户端与 AWS 之间 的数据,选择 传输中加密。
- 如果提到保护 存储在 S3/EBS/数据库中的 数据,选择 静止加密。
日志记录与监控
- AWS CloudTrail – 记录账户活动和 API 调用(谁在何时何地做了什么)。将日志发送至 Amazon S3(长期存储)和/或 CloudWatch Logs(近实时监控)。
- Amazon CloudWatch – 进行运营监控(指标、告警)以及通过 CloudWatch Logs 实现集中式日志存储/分析。
- VPC Flow Logs – 网络流量元数据(接受/拒绝的流量),发送至 CloudWatch Logs 或 S3。
- 负载均衡器和 S3 访问日志 – 服务级别的访问日志存储在 S3 中。
常见映射
- “审计 API 活动” → CloudTrail
- “监控并对日志/指标发出
参考资源: AWS Artifact(下载报告)+ AWS Compliance(项目指南)。