课程说明
借助 Amazon S3,您可以使用多种不同的方法来解决数据保护问题,包括防止存储桶公有访问、实施访问控制以及对静态和传输中的数据进行加密。Amazon S3 可以轻松保护您的数据免受安全事件的影响。在本课程中,您将学习有助于改善安保状况的 Amazon S3 安全最佳实践,以及防止对您的数据进行不必要访问或遵守业务和监管义务的方法。
• 课程级别:高级
• 时长:100 分钟
注意:本课程具有本地化的注释/字幕。 旁白保留英语。
要显示字幕,请单击播放器右下角的 CC 按钮。
活动
本课程包括互动课时、演示和专业知识考核。
课程目标
在本课程中,您将学习:
• 为资源访问控制实施用户和资源策略
• 实施 Amazon Virtual Private Cloud (VPC) 终端节点,以简化从 VPC 内访问 Amazon S3 资源的过程
• 实施 Amazon S3 访问点以大规模管理访问权限
• 使用 S3 阻止公有访问功能阻止对资源的公有访问
• 实施预签名 URL 来共享对象
• 使用 CORS 控制跨源资源共享
• 使用加密来保护敏感数据
• 使用 Amazon Macie 来保护存储在 Amazon S3 中的数据
目标受众
本课程主要面向:
• 云架构师
• 存储架构师
• 开发人员
• 运营工程师
预备知识
我们建议符合以下条件的人员参加本课程:
• 已完成 Architecting on AWS 课程或同等培训
• 已完成 AWS Storage Offerings 课程
• 已完成 Amazon Simple Storage Service (Amazon S3) 入门课程
课程大纲
第 1 部分:简介
• 课程简介
• 课程场景
第 2 部分:保护数据免受意外的公有访问
• Amazon S3 阻止公有访问
• Amazon S3 阻止公有访问的工作原理
• 阻止公有访问设置
• 演示:使用 AWS 管理控制台和 AWS CLI 来配置 Amazon S3 阻止公有访问
• 防止意外公有访问的方式
• 使用 S3 访问分析器
第 3 部分:使用访问策略来控制访问
• 访问策略简介
• 何时使用 IAM 用户策略
• 使用存储桶策略
• 访问控制列表
• 访问策略元素
• 演示:创建 IAM 策略以满足访问要求
第 4 部分:访问策略评估逻辑
• 操作逻辑
• 演示:在 IAM 策略中使用显式拒绝
• Amazon S3 对象所有权
• 强制对象所有权
第 5 部分:使用接入点大规模管理访问
• 最小权限原则
• 什么是接入点?
• 接入点 ARN 格式
• 接入点的工作原理是什么?
• 接入点访问控制机制
• 阻止接入点的公有访问
第 6 部分:使用预签名 URL 共享对象
• 预签名 URL 简介
• 预签名 URL 注意事项
• 演示:为 S3 对象访问创建预签名 URL
第 7 部分:使用加密保护敏感数据
• 传输中的数据和静态数据
• 传输中的数据
• 确保加密连接
• AWS Config 规则
• 服务器端加密
• 服务器端加密选项
• 适用于 SSE-KMS 的 S3 存储桶密钥
• 使用 Amazon S3 默认加密
第 8 部分:使用 Amazon VPC 终端节点简化访问
• 什么是 VPC 终端节点?
• VPC 终端节点类型
• 功能比较
• 网关终端节点的工作原理是什么?
• 使用终端节点策略的访问控制
• 终端节点策略示例
• 存储桶策略示例
• 接口终端节点
• 本地连接
• 保护终端节点安全
第 9 部分:安全监控和控制面板
• Amazon Macie 简介
• Amazon GuardDuty 简介