AWS 云安全相关知识点。

AWS Directory Service（AWS 目录服务）

一、微软 AD (Active Directory) 基本概念

• 负责处理以及存储在组织中的网络对象，包括用户、群组、电脑、邮件、配置文件和打印机等
• ⭐ Windows 环境中的集中管理方式，用于安全管理、创建账户和分配权限等

AD 中域、域树和域森林的概念：

• 域 (domain)：最基本的管理单元，同时也是最基层的容器。它可以对员工、计算机等基本数据进行存储。
• 域树 (tree)：在一个活动目录中可以根据需要建立多个域，比方说“甲公司”的财务科、人事科、销售科就可以各建一个域，因为这几个域同属甲公司，所以就可以将这几个域构成一棵域树并交给域树管理，这棵域树就是甲公司。
• 森林 (forest)：又因为，甲公司、乙公司、丙公司都归属 A 集团，那么为了让A集团可以更好地管理这三家子公司，就可以将这三家公司的域树集中起来组成域森林（即A集团）。

二、AWS Directory Service 基本概念

三、AWS Managed Microsoft AD

• AWS Managed Microsoft AD 是部署到 VPC 级别的，但是可以在不同的 可用区 创建域控制器实现高可用

四、AWS Managed Microsoft AD 集成

五、AWS Managed Microsoft AD 连接到本地 AD

• ⭐ 信任关系 (Trust relationship) 不等于数据复制，只是如果在 AWS 托管 AD 上没有找到用户，会再去本地 AD 查找

六、AD Connector

七、Simple AD

联合身份验证 (Identity federation)

一、AWS 联合身份验证基本概念

二、SAML 2.0 联合身份验证

• 必须配置组织的 IdP (Identity Provider) 和 AWS 账户的相互信任
• ⭐ 在用户侧与 STS 进行通信

三、自定义身份代理 (Custom Identity Broker)

• ⭐（公司）认证程序直接和 STS 通信获取临时安全凭证

四、Web 联合身份验证 (Web Federated Identity)

• ⭐ AWS 推荐使用 AWS Cognito 实现 Web 联合身份验证
• 也可以通过编写代码并调用 AssumeRoleWithWebIdentity API 实现 Web 联合身份验证

AWS Key Management Service (KMS)

一、AWS Key Management Service 基本概念

• ⭐ 无论是客户创建的 CMK 还是 AWS 创建的 CMK，都无法从 KMS 中导出！
• ⭐ AWS KMS 服务创建的密钥永远不会在创建密钥的 区域 以外传输，且只能在该区域内使用！
• AWS 托管密钥 (AWS managed keys)：AWS 创建、管理和使用的 CMK

  例如加密 EBS 卷的密钥。

• 客户管理的密钥 (Customer managed keys)：客户自己创建、管理和使用的 CMK，客户可以对其进行完全控制

二、AWS Key Management Service 使用流程

• ⭐ 用户使用密钥 ID 加密和解密数据，而非使用密钥本身

AWS Certificate Manager (ACM)

一、AWS Certificate Manager (ACM) 基本概念

网络安全、DDoS 攻击防护、Shield 和 WAF

一、网络安全基本组成

• ⭐ 网络 ACL (NACL) 位于子网级别

二、网络攻击类型

三、AWS 的 DDoS 防护

四、AWS 针对 DDoS 防护的架构示例

五、AWS Shield

• ➕ 使用第三方 DNS 需要购买 AWS Shield Advanced

六、AWS WAF（Web 应用程序防火墙）

七、AWS WAF 的 Web ACL 日志

八、AWS Firewall Manager