AWS Certified Cloud Practitioner（CLF-C02）學習教材講義第六單元：安全性

# AWS Certified Cloud Practitioner 講義筆記：第六單元 - 安全性 > AWS Certified Cloud Practitioner（CLF-C02） > 這是[AWS Cloud Practitioner Essentials](https://explore.skillbuilder.aws/learn/course/internal/view/elearning/134/aws-cloud-practitioner-essentials)的課程筆記 ## 學習目標在本單元中，您將學到如何： 1. 說明共同責任模型的優點。 2. 說明多重因素認證 (MFA)。 3. 區分 AWS Identity and Access Management (IAM) 的安全層級。 4. 說明 AWS Organizations 的主要優點。 5. 說明基本的安全原則。 6. 概要說明遵守 AWS 規則的優點。 7. 說明基本的其他 AWS 安全服務。 --- ## 1. 共同責任模型可以把這個模型視為類似於屋主和建商之間的責任劃分。建商 (AWS) 負責建造您的房子，並確保房子建造牢固。身為屋主 (客戶)，您有責任將房門關上並上鎖，確保屋內所有物品的安全。 AWS 與客戶共同承擔在雲端上的安全責任： * **AWS 負責雲端本身的安全**： * 資料中心的保全、硬體與基礎設施的安全性。 * 網路、虛擬化層等底層設施的防護。 * **客戶負責雲端內部的安全**： * 作業系統、應用程式、資料與設定的安全。 * IAM 身分與權限控管、資料加密、網路防火牆設定等。舉例：如同建商負責房子結構，屋主則需負責鎖門與家中財產安全。 ![image](https://hackmd.io/_uploads/Hkba_l8eee.png) --- ## 2. AWS Identity and Access Management (IAM) IAM 是一套可管理 AWS 服務與資源存取權限的工具。 ### 2.1 IAM 元件 * **IAM 使用者**：代表一個具名身分，有獨立認證憑證。 * **IAM 群組**：使用者的集合，可套用統一政策。 * **IAM 角色**：可被用戶或服務臨時假扮的身分，適用於臨時權限管理。 * **IAM 政策**：JSON 格式的文件，定義允許/拒絕的 API 動作與資源存取權，自訂使用者存取資源的層級。 #### IAM使用者 ![image](https://hackmd.io/_uploads/ByFJ6Mvxgx.png) #### IAM群組 ![image](https://hackmd.io/_uploads/H14egYDgge.png) #### IAM角色 ![image](https://hackmd.io/_uploads/HkbmxKvglg.png) #### IAM政策 ![image](https://hackmd.io/_uploads/SkPLJKPlle.png) ### 2.2 最低權限原則僅授與 IAM 身分執行工作所需的最小許可，避免權限過大導致資安風險。 ### 2.3 多重因素認證 (MFA) * 增加登入安全性，除了密碼外需額外提供一次性驗證碼。 * 對根使用者啟用 MFA 是最佳實務。您可以為根使用者和 IAM 使用者啟用 MFA。最佳實務是為您帳戶中的根使用者和所有 IAM 使用者啟用 MFA，保護 AWS 帳戶安全。 --- ## 3. AWS Organizations 集中管理多個 AWS 帳戶的平台，可統一控管合規性、存取權與帳單。 ### 3.1 主要功能 1. **集中帳號管理**：統一管理企業各部門帳號。 2. **合併帳單**：彙整付款並獲得大量使用折扣。 3. **組織單位 OU**：將帳戶依部門或功能分組，便於政策控管。 4. **服務控制政策 SCP**：可限制子帳戶的最大權限範圍。 ![image](https://hackmd.io/_uploads/Hy9yNtPlll.png) ![image](https://hackmd.io/_uploads/BJzZNFwlel.png) ![image](https://hackmd.io/_uploads/SykXEFvexl.png) 即使您已經將這些帳戶放入 OU 中，您仍然可以透過 IAM 繼續為使用者、群組和角色提供存取權。將您的帳戶整合在 OU 中，您就能輕鬆地讓他們存取所需的服務和資源。您也可以防止他們存取他們不需要的任何服務或資源。 --- ## 4. 合規性與 AWS Artifact ### 4.1 合規需求範圍 * 視業務性質而定，常見如 GDPR、HIPAA 等。 * 客戶須負責建構滿足合規標準的應用與架構。 ### 4.2 AWS Artifact * 取得 AWS 合規性報告與協議的平台。 * 包含： * AWS Artifact 協議：如 HIPAA、GDPR 合作協議。 * AWS Artifact 報告：第三方稽核之合規認證證明。 --- ## 5. 分散式阻斷服務攻擊 (DDoS) 防禦 ### 5.1 常見攻擊類型 * **UDP Flood**：大量無效流量癱瘓網路（多）。 * **Slowloris**：延遲封包使伺服器資源耗盡（慢）。 * **HTTP 層攻擊**：重複請求造成網站資源過載。 #### DoS： ![image](https://hackmd.io/_uploads/Hyft9Fwelg.png) #### DDoS： ![image](https://hackmd.io/_uploads/rkxi5FPlgl.png) ### 5.2 防禦工具 1. **AWS Shield**： * Standard：免費自動保護常見攻擊。 * Advanced：付費，防禦複雜攻擊並可與 CloudFront、Route 53 整合。 2. **AWS WAF**：Web 應用防火牆，可針對 IP、URI 等條件設定拒絕或允許規則。 3. **Elastic Load Balancer (ELB)**：可緩衝慢速連線與突增請求量（不怕慢）。 4. **安全群組**：限制只允許特定通訊協定與來源流量（不怕多）。 --- ## 6. 加密與資料安全 ### 6.1 加密方式 * **靜態加密 (At Rest)**：資料存放於 S3、DynamoDB 等服務時加密。 * **傳輸中加密 (In Transit)**：資料於用戶端與 AWS 間傳輸時加密，如 SSL/TLS。 ### 6.2 AWS Key Management Service (KMS) * 管理與保護加密金鑰。 * 控制金鑰使用權限與啟用狀態。 * 金鑰永不離開 AWS KMS 系統。 ### 6.3 AWS WAF AWS WAF 是 Web 應用程式防火牆，可讓您監控進入 Web 應用程式的網路要求。就像之前學過的網路存取控制清單 (ACL)。AWS WAF 的運作方式類似於封鎖或允許流量。不過它會使用 Web 存取控制清單 (ACL) 來保護您的 AWS 資源。 ![image](https://hackmd.io/_uploads/HJZD3FPegl.png) ![image](https://hackmd.io/_uploads/rkrO2YDleg.png) --- ## 7. 其他安全服務 ### 7.1 Amazon Inspector * 自動執行安全評估，偵測漏洞與設定偏差。 * 評估結果會依嚴重性排列，提供修正建議。 ### 7.2 Amazon GuardDuty * 持續監控 AWS 活動，使用機器學習識別威脅行為。 * 整合 VPC 流程記錄、DNS 日誌等來源。 * 支援事件觸發自動修復機制。 ![image](https://hackmd.io/_uploads/HJns2KDeeg.png) --- ## 單元總結 1. AWS 採用共同責任模型分擔安全管理責任。 2. IAM 提供使用者、角色、群組與政策以精細控管權限。 3. MFA 是加強帳戶安全的有效機制。 4. AWS Organizations 有助於集中帳號管理與合規控管。 5. 合規要求可透過 AWS Artifact 管理與存取報告。 6. AWS 提供多種防禦工具保護應用免於 DDoS 攻擊。 7. AWS KMS 與 WAF 等服務可進一步保護資料與應用。 8. Inspector 和 GuardDuty 提供進階威脅偵測與安全建議。本單元結束，請確認您理解 IAM、安全原則與 AWS 合規工具的應用方式，以強化您的雲端架構安全。