内容领域 6： 安全性与合规性

相应地使用不同的 IAM 实体以进行人和机器访问（例如，用户、组、角色、身份提供程序、基于身份的策略、基于资源的策略、会话策略）

身份联合验证技术（例如，使用 IAM 身份提供商和 AWS IAM Identity Center）

使用 IAM 权限边界进行权限管理委派

企业 SCP

设计策略以实施最低权限访问

实施基于角色和基于属性的访问控制模式

自动为机器身份执行凭证轮换（例如 AWS Secrets Manager）

管理权限以控制对人和机器身份的访问（例如，启用多重身份验证 [MFA]、AWS Security Token Service [AWS STS]、IAM 配置文件）

网络安全组件（例如，安全组、网络 ACL、路由、AWS Network Firewall、AWS WAF、AWS Shield）

证书和公有密钥基础设施 (PKI)

数据管理（例如，数据分类、加密、密钥管理、访问控制）

在多账户和多区域环境中自动应用安全控制措施（例如 AWS Security Hub、AWS Organizations、AWS Control Tower、AWS Systems Manager）

结合使用安全控制措施以应用纵深防御（例如 AWS Certificate Manager [ACM]、AWS WAF、AWS Config、AWS Config 规则、Security Hub、Amazon GuardDuty、安全组、网络 ACL、Amazon Detective、Network Firewall）

自动批量查找敏感数据（例如 Amazon Macie）

加密传输中的数据和静态数据（例如 AWS Key Management Service [AWS KMS]、AWS CloudHSM、ACM）

安全审计服务和功能（例如 AWS CloudTrail、AWS Config、VPC 流日志、AWS CloudFormation 偏差检测）

用于查找安全漏洞和事件的 AWS 服务（例如 GuardDuty、Amazon Inspector、IAM 访问权限分析器、AWS Config）

常见的云安全威胁（例如，不安全的 Web 流量、AWS 访问密钥暴露、启用了公有访问或禁用了加密的 S3 存储桶）

实施强大的安全审计措施

配置基于意外或异常安全事件的警报

配置服务和应用程序日志记录（例如 CloudTrail、Amazon CloudWatch Logs）

分析日志、指标和安全发现