AWS安全與身分控管服務

AWS提供了一系列安全性和身分管理服務，用於幫助AWS客戶保護其雲端基礎架構和數據，並確保合規性，下方會介紹幾個較常見的服務。

AWS IAM (Identity and Access Management)

AWS身分與存取管理服務，能讓使用者管理對AWS服務與資源的存取，用戶可建立擁有唯一安全憑證的使用者與群組，並管理每個使用者的權限，也可以自行定義IAM的角色，這樣就能在不需要AWS憑證發布出去的情況下，讓應用程式安全的執行API的呼叫。

以下會分享AWS IAM的特點：

• 身份管理: AWS IAM允許用戶在AWS上創建和管理使用者、群組和角色，每個使用者都有唯一的安全憑證，用於訪問AWS資源。

• 細粒度的訪問控制: 用戶可以為每個使用者、群組或角色分配精確的權限，以控制他們可以訪問的AWS資源和執行的操作，這可以確保最小特權原則，減少了安全風險。

• 多因素身份驗證(MFA): IAM支援多因素身份驗證，提供額外的安全性層，要求使用者在登錄時提供多種身份驗證因素，如密碼和安全令牌。

• 臨時憑證: 用戶可以為使用者生成臨時安全憑證，以限制他們對資源的訪問時間和權限。這對於臨時授權臨時任務非常有用。

• 訪問審計: IAM記錄所有身份和資源上的操作活動，這些活動可以通過AWS CloudTrail進行監控和審計，這有助於檢測潛在的安全問題和滿足合規性要求。

• 整合其他AWS服務: IAM可以與其他AWS服務整合，例如Amazon S3、EC2和RDS，以確保這些服務的安全訪問和管理。

• 跨AWS帳戶訪問: 用戶可以使用IAM角色來實現跨AWS帳戶的資源訪問，這對於多帳戶環境和資源共享非常有用。

• 自定義策略: 使用者可以創建自定義策略來定義資源的訪問控制規則，並將其分配給使用者、群組或角色。

AWS IAM是確保AWS環境安全性的關鍵工具，幫助組織有效管理和保護其雲資源，它支持身份驗證、授權和審計，以確保只有授權的使用者能夠訪問和操作AWS資源，從而提高了雲的安全性和合規性。

AWS Directory Service

AWS受管目錄服務可以讓用戶使用企業憑證，來存取AWS的雲端資源，可以將以存取的目錄服務整合進來，也可以直接使用在雲端環境上的目錄服務，這些目錄可以與 Microsoft Active Directory（AD）或 AWS Directory Service Simple AD（AD DS）等標準協議兼容的目錄服務整合，以便在 AWS 環境中管理使用者、組織結構和計算資源。。

以下會分享AWS Directory Service的特點：

• Microsoft Active Directory兼容性: AWS Directory Service可以建立 Microsoft Active Directory目錄，使使用者能夠輕鬆在 AWS 中擴展或遷移現有的 AD 部署，這使得在 AWS 環境中使用相同的身份驗證和策略變得更加容易。

• Simple AD: AWS Directory Service還提供了Simple AD，這是一個與 Microsoft AD 兼容的目錄服務，但它更簡化了管理和維護，它適用於小型組織或對 AD 功能的基本需求。

• AD Connector: AD Connector允許使用者將現有的本地AD部署與AWS的雲中的應用程序集成，而無需在雲中建立新的目錄，這有助於實現混合雲的環境。

• AWS Managed Microsoft AD: 這是AWS托管的Microsoft AD服務，完全受AWS管理，它提供高可用性、靈活的擴展性和安全性，適用於對高級AD功能有需求的企業。

• 單一登錄（SSO）整合: AWS Directory Service可以與AWS SSO集成，使使用者可以使用其AD憑證登錄AWS資源，從而簡化身份驗證流程。

• 安全性和合規性: AWS Directory Service提供安全性控制、監控和合規性功能，幫助保護和審核使用者和資源的訪問。

• 資源管理: 它還支持將使用者和組織結構與AWS計算資源(ex:EC2 instance和RDS資料庫)關聯，以便更好地管理權限。

AWS Directory Service是一項關鍵的服務，特別適用於需要在 AWS 環境中集成和管理目錄服務的組織，它提供了靈活性和可擴展性，以滿足各種身份驗證和授權需求，同時降低了管理成本和複雜性。

AWS Certificate Manager

AWS憑證管理服務，可以讓使用者建立、管理以及部署出SSL(安全通訊協定)或者TLS(傳輸層安全協定)憑證，用以存取AWS服務。

以下會分享AWS Certificate Manager的特點：

• 免費的SSL/TLS憑證: Certificate Manager提供免費的公共SSL/TLS憑證，可用於保護網站和應用程式，這些憑證由AWS管理和更新，使用戶無需購買和管理自己的憑證。

• 自動憑證管理: Certificate Manager可自動管理憑證的申請、頒發、更新和續訂。它還提供憑證到期通知，確使用者的憑證始終保持有效。

• 集成AWS服務: 可以將Certificate Manager憑證與多個AWS服務集成，包括彈性負載平衡、Amazon CloudFront、API Gateway等，以加密數據傳輸並確保通信的安全性。

• 多域和通配符憑證: Certificate Manager支持多域（SAN）憑證和通配符憑證，可用於保護多個域名和子域名。

• 憑證鏈管理: 該服務自動處理憑證鏈，確保憑證在各種設備和瀏覽器上獲得廣泛的支持。

• HTTPS集成: Certificate Manager支持輕鬆啟用HTTPS，為使用者的網站和應用程式提供加密的數據傳輸。

• 合規性支持: 憑證可以幫助您滿足合規性要求，如PCI DSS等，通過提供加密和身份驗證的層面。

AWS Certificate Manager簡化了數字憑證的管理和部署過程，使AWS用戶能夠輕鬆地提高其應用程式和網站的安全性，同時減少了憑證管理的複雜性和費用。

AWS KMS (Key Managemnet Service)

AWS金鑰管理服務，可以讓使用者建立與管理加密金鑰的全受管服務，用來將資料加密。

以下會分享AWS KMS的特點：

• 加密密鑰的創建和管理: AWS KMS允許用戶創建、導入、輪換和管理加密密鑰，用於保護數據的機密性。

• 整合性: KMS可與多個AWS服務集成，如Amazon S3、RDS、EBS等，以提供數據加密的功能。用戶可以選擇在使用這些服務時自動使用KMS創建的密鑰進行數據加密。

• 硬體安全模組（HSM）保護: AWS KMS使用硬體安全模組來保護密鑰的存儲和使用，提供了額外的安全性層，確保密鑰的機密性。

• 密鑰策略: 用戶可以定義密鑰策略，以控制哪些AWS資源可以使用特定密鑰進行加密和解密操作，這樣可以實現細粒度的訪問控制。

• 審計日誌: KMS提供審計日誌，記錄了密鑰的使用情況，以幫助用戶監控和審計密鑰的操作。

• 自定義密鑰: 用戶可以自定義創建加密密鑰，並選擇將其用於特定用途，如數據加密或簽名生成。

AWS KMS用於確保AWS用戶的數據在儲存和傳輸過程中得到適當的保護，它提供了強大的加密和密鑰管理功能，有助於用戶滿足數據保護和合規性方面的要求。

雲端入門新手，在這裡記錄學習雲端的筆記，願30天後可以如願上雲端。
我們明天見~