本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # 選擇 AWS 安全、身分和控管服務 **採取第一步** | | | | --- |--- | | **讀取時間** | 27 分鐘 | | **用途** | 協助您判斷哪些 AWS 安全、身分和控管服務最適合您的組織。 | | **上次更新** | 2024 年 12 月 30 日 | | **涵蓋的服務** | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/decision-guides/latest/security-on-aws-how-to-choose/choosing-aws-security-services.html) | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/decision-guides/latest/security-on-aws-how-to-choose/choosing-aws-security-services.html) | ## 簡介 雲端中的安全、身分和控管是實現和維護資料和服務完整性和安全性的重要元件。隨著更多企業遷移到 Amazon Web Services () 等雲端供應商,這尤其重要AWS。 本指南可協助您選取最符合您的需求和組織 AWS 的安全性、身分和控管服務和工具。 首先,讓我們來探索安全性、身分和控管的含義: + [雲端安全性](https://aws.amazon.com/security/)是指使用 措施和實務來保護數位資產免受威脅。這包括資料中心的實體安全性和網路安全措施,以防止線上威脅。 透過加密的資料儲存、網路安全和持續監控潛在威脅來 AWS 優先考慮安全性。 + [身分](https://aws.amazon.com/identity/)服務可協助您以可擴展的方式安全地管理身分、資源和許可。 AWS 提供專為人力資源和面向客戶的應用程式設計的身分服務,以及管理工作負載和應用程式的存取。 + [雲端控管](https://aws.amazon.com/cloudops/cloud-governance/)是一組規則、程序和報告,可引導您的組織遵循最佳實務。您可以跨 AWS 資源建立雲端控管、使用內建的最佳實務和標準,以及自動化合規和稽核程序。雲端[https://aws.amazon.com/compliance/](https://aws.amazon.com/compliance/)合規是指遵守管理資料保護和隱私權的法律和法規。[AWS 合規計劃](https://aws.amazon.com/compliance/programs/)提供有關符合的認證、法規和架構 AWS 的資訊。 [![AWS Videos](http://img.youtube.com/vi/https://www.youtube.com/embed/T4svAhNLNfc/0.jpg)](http://www.youtube.com/watch?v=https://www.youtube.com/embed/T4svAhNLNfc) ## 了解 AWS 安全、身分和控管服務 ### 安全與合規是共同的責任 在選擇您的 AWS 安全、身分和控管服務之前,請務必了解安全與合規是您和 [之間的共同責任](https://aws.amazon.com/compliance/shared-responsibility-model/) AWS。 此共同責任的性質有助於減輕您的營運負擔,並為您提供彈性和對部署的控制。這種責任差異通常稱為*「雲端」安全性*和*「雲端」安全性*。 透過了解此模型,您可以了解可用的選項範圍,以及適用的 AWS 服務 如何結合在一起。 ### 您可以結合 AWS 工具和服務,協助保護您的工作負載 ![\[安全性、身分和控管的五個網域包括身分和存取管理、網路和應用程式保護、資料保護、偵測和回應,以及控管和合規。\]](http://docs.aws.amazon.com/zh_tw/decision-guides/latest/security-on-aws-how-to-choose/images/security-identity-governance-services.png) 如上圖所示, 跨五個網域 AWS 提供工具和服務,協助您在雲端中實現和維護強大的安全性、身分管理和控管。您可以使用這五個網域 AWS 服務 中的 來協助您執行下列動作: + 形成多層方法來保護您的資料和環境 + 強化您的雲端基礎設施,防範不斷演變的威脅 + 遵守嚴格的法規標準 若要進一步了解 AWS 安全性,包括 的安全性文件 AWS 服務,請參閱 [AWS 安全性文件](https://docs.aws.amazon.com/security/)。 在下列各節中,我們會進一步檢查每個網域。 #### 了解 AWS 身分和存取管理服務 安全性的中心 AWS 是最低權限的原則:個人和服務只有他們所需的存取權。 [AWS IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html) 是 AWS 服務 管理使用者存取 AWS 資源的建議。您可以使用此服務來管理對帳戶和這些帳戶中許可的存取,包括來自外部身分提供者的身分。 下表摘要說明本指南討論的身分和存取管理方案: ------ #### [ AWS IAM Identity Center ] [AWS IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html) 可協助您連接身分來源,或建立使用者。您可以集中管理對多個 AWS 帳戶 和應用程式的人力資源存取。 ------ #### [ Amazon Cognito ] [Amazon Cognito](https://docs.aws.amazon.com/cognito/latest/developerguide/what-is-amazon-cognito.html) 為 Web 和行動應用程式提供身分工具,以驗證和授權來自內建使用者目錄、您的企業目錄和消費者身分提供者的使用者。 ------ #### [ AWS RAM ] [AWS RAM](https://docs.aws.amazon.com/ram/latest/userguide/what-is.html) 可協助您安全地跨組織 AWS 帳戶、組織內以及與 IAM 角色和使用者共用資源。 ------ #### [ IAM ] [IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html) 可對 AWS 工作負載資源的存取進行安全、精細的控制。 ------ #### 了解 AWS 資料保護服務 資料保護在雲端至關重要, AWS 並提供可協助您保護資料、帳戶和工作負載的服務。例如,加密傳輸中和靜態資料有助於保護資料免於暴露。使用 [AWS Key Management Service](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html)(AWS KMS) [AWS CloudHSM](https://docs.aws.amazon.com/cloudhsm/latest/userguide/introduction.html) 和 ,您可以建立和控制用來保護資料的密碼編譯金鑰。 下表摘要說明本指南討論的資料保護方案: ------ #### [ Amazon Macie ] [Amazon Macie](https://docs.aws.amazon.com/macie/latest/user/what-is-macie.html) 使用機器學習和模式比對來探索敏感資料,並啟用自動化保護來防範相關風險。 ------ #### [ AWS KMS ] [AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html) 會建立和控制您用來保護資料的密碼編譯金鑰。 ------ #### [ AWS CloudHSM ] [AWS CloudHSM](https://docs.aws.amazon.com/cloudhsm/latest/userguide/introduction.html) 提供高可用性的雲端型硬體安全模組 HSMs)。 ------ #### [ AWS Certificate Manager ] [AWS Certificate Manager](https://docs.aws.amazon.com/acm/latest/userguide/acm-overview.html) 處理建立、儲存和續約公有和私有 SSL/TLS X.509 憑證和金鑰的複雜性。  ------ #### [ AWS 私有 CA ] [AWS 私有 CA](https://docs.aws.amazon.com/privateca/latest/userguide/PcaWelcome.html) 可協助您建立私有憑證授權機構階層,包括根憑證授權機構和次級憑證授權機構 (CAs)。 ------ #### [ AWS Secrets Manager ] [AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/intro.html) 可協助您管理、擷取和輪換資料庫登入資料、應用程式登入資料、OAuth 權杖、API 金鑰和其他秘密。 ------ #### [ AWS Payment Cryptography ] [AWS Payment Cryptography](https://docs.aws.amazon.com/payment-cryptography/latest/userguide/what-is.html) 根據支付卡產業 (PCI) 標準,提供用於付款處理的密碼編譯函數和金鑰管理的存取權。 ------ #### 了解 AWS 網路和應用程式保護服務 AWS 提供多種 服務來保護您的網路和應用程式。 [AWS Shield](https://docs.aws.amazon.com/waf/latest/developerguide/shield-chapter.html)為您提供防範分散式阻斷服務 (DDoS) 攻擊的保護,並[AWS WAF](https://docs.aws.amazon.com/waf/latest/developerguide/waf-chapter.html)協助您保護 Web 應用程式免受常見的 Web 入侵攻擊。 下表摘要說明本指南討論的網路和應用程式保護方案: ------ #### [ AWS Firewall Manager ] [AWS Firewall Manager](https://docs.aws.amazon.com/waf/latest/developerguide/fms-chapter.html) 可簡化跨多個帳戶和資源的管理和維護任務,以提供保護。 ------ #### [ AWS Network Firewall ] [AWS Network Firewall](https://docs.aws.amazon.com/network-firewall/latest/developerguide/what-is-aws-network-firewall.html) 為您的 VPC 提供具狀態的受管網路防火牆和入侵偵測和預防服務。 ------ #### [ AWS Shield ] [AWS Shield](https://docs.aws.amazon.com/waf/latest/developerguide/shield-chapter.html) 為網路、傳輸和應用程式層 AWS 的資源提供防範 DDoS 攻擊的保護。 ------ #### [ AWS WAF ] [AWS WAF](https://docs.aws.amazon.com/waf/latest/developerguide/waf-chapter.html) 提供 Web 應用程式防火牆,讓您可以監控轉送到受保護 Web 應用程式資源的 HTTP(S) 請求。 ------ #### 了解 AWS 偵測和回應服務 AWS 提供工具,協助您簡化整個 AWS 環境的安全操作,包括[多帳戶環境](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_integrate_services_list.html)。例如,您可以使用 [Amazon GuardDuty](https://docs.aws.amazon.com/guardduty/latest/ug/what-is-guardduty.html) 進行智慧威脅偵測,也可以使用 [Amazon Detective](https://docs.aws.amazon.com/detective/latest/adminguide/what-is-detective.html) 透過收集日誌資料來識別和分析安全調查結果。 [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html)支援多個安全標準,並提供 安全提醒和合規狀態的概觀 AWS 帳戶。 會[AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html)追蹤使用者活動和應用程式程式設計界面 (API) 使用情況,這對於了解和回應安全事件至關重要。 下表摘要說明本指南討論的偵測和回應方案: ------ #### [ AWS Config ] [AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/WhatIsConfig.html) 提供 中 AWS 資源組態的詳細檢視 AWS 帳戶。 ------ #### [ AWS CloudTrail ] [AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html) 會記錄使用者、角色或 採取的動作 AWS 服務。 ------ #### [ AWS Security Hub CSPM ] [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html) 提供 中安全狀態的完整檢視 AWS。 ------ #### [ Amazon GuardDuty ] [Amazon GuardDuty](https://docs.aws.amazon.com/guardduty/latest/ug/what-is-guardduty.html) 會持續監控您的 AWS 帳戶、工作負載、執行時間活動和資料是否有惡意活動。 ------ #### [ Amazon Inspector ] [Amazon Inspector](https://docs.aws.amazon.com/inspector/latest/user/what-is-inspector.html) 會掃描您的 AWS 工作負載是否有軟體漏洞和意外的網路暴露。 ------ #### [ Amazon Security Lake ] [Amazon Security Lake](https://docs.aws.amazon.com/security-lake/latest/userguide/what-is-security-lake.html) 會自動將來自 AWS 環境、SaaS 提供者、內部部署環境、雲端來源和第三方來源的安全資料集中到資料湖中。 ------ #### [ Amazon Detective ] [Amazon Detective](https://docs.aws.amazon.com/detective/latest/adminguide/what-is-detective.html) 會協助您分析、調查並快速識別安全調查結果或可疑活動的根本原因。  ------ #### [ AWS Security Incident Response ] [AWS 安全事件回應](https://docs.aws.amazon.com/security-ir/latest/userguide/what-is.html) 協助您快速準備、回應和接收指引,以協助從安全事件中復原。  ------ #### 了解 AWS 控管和合規服務 AWS 提供的工具可協助您遵守安全、營運、合規和成本標準。例如,您可以使用 [AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/what-is-control-tower.html) 來設定和管理具有方案控制的多帳戶環境。使用 [AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html),您可以為組織內的多個帳戶設定以政策為基礎的管理。 AWS 也可讓您全面檢視合規狀態,並根據組織的 AWS 最佳實務和業界標準,使用自動化合規檢查來持續監控您的環境。例如, [AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/what-is-aws-artifact.html)可讓您隨需存取合規報告,並[AWS Audit Manager](https://docs.aws.amazon.com/audit-manager/latest/userguide/what-is.html)自動化證據收集,讓您更輕鬆地評估控制項是否有效運作。 下表摘要說明本指南討論的控管和合規產品: ------ #### [ AWS Organizations ] [AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html) 可協助您將多個 合併 AWS 帳戶 到您建立並集中管理的組織。 ------ #### [ AWS Control Tower ] [AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/what-is-control-tower.html) 可協助您設定和管理以最佳實務為基礎的 AWS 多帳戶環境。 ------ #### [ AWS Artifact ] [AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/what-is-aws-artifact.html) 提供隨需下載 AWS 的安全與合規文件。 ------ #### [ AWS Audit Manager ] [AWS Audit Manager](https://docs.aws.amazon.com/audit-manager/latest/userguide/what-is.html) 協助您持續稽核 AWS 用量,以簡化評估風險與合規的方式。 ------ ## 考慮 AWS 安全性、身分和控管條件 在 上選擇正確的安全、身分和控管服務 AWS ,取決於您的特定需求和使用案例。[決定採用 AWS 安全服務](https://docs.aws.amazon.com/prescriptive-guidance/latest/strategy-evaluating-security-service/introduction.html)可提供決策樹,協助您決定 AWS 服務 採用安全、身分和控管是否適合您的組織。此外,在決定要使用哪些 服務時,以下是一些需要考慮的條件。 ------ #### [ Security requirements and threat landscape ] 對組織**的特定漏洞和威脅**進行全面評估。這包括識別您處理的資料類型,例如個人客戶資訊、財務記錄或專屬商業資料。了解每個 相關的潛在風險。 評估您的應用程式和基礎設施**架構**。判斷您的應用程式是否公開,以及它們處理的 Web 流量類型。這將影響您對 等服務的需求 AWS WAF ,以防止 Web 入侵。對於內部應用程式,請考慮使用 Amazon GuardDuty 進行內部威脅偵測和持續監控的重要性,這可以識別不尋常的存取模式或未經授權的部署。 最後,請考慮**現有安全狀態**的複雜性,以及安全團隊的專業知識。如果您的團隊資源有限,選擇提供更多自動化和整合的服務可以為您提供有效的安全增強功能,而不會讓您的團隊負擔過重。範例服務包括 AWS Shield DDoS 保護和 AWS Security Hub CSPM 集中式安全監控。 ------ #### [ Compliance and regulatory requirements ] 識別您產業或地理區域的**相關法律和標準**,例如[一般資料保護法規](https://aws.amazon.com/compliance/gdpr-center/) (GDPR)、[1996 年美國健康保險流通與責任法案 ](https://aws.amazon.com/compliance/hipaa-compliance/)(HIPAA) 或[支付卡產業資料安全標準](https://aws.amazon.com/compliance/pci-dss-level-1-faqs/) (PCI DSS)。 AWS 提供 AWS Config 和 AWS Artifact 等服務,協助您管理各種標準的合規性。透過 AWS Config,您可以評估、稽核和評估 AWS 資源的組態,讓您更輕鬆地確保符合內部政策和法規要求。 AWS Artifact 提供隨需存取 AWS 合規文件的權限,協助您進行稽核和合規報告。 選擇符合您特定合規需求的服務,可協助您的組織符合法律要求,並為您的資料建立安全且值得信賴的環境。探索[AWS 合規計劃](https://aws.amazon.com/compliance/programs/)以進一步了解。 ------ #### [ Scalability and flexibility ] 考慮您的組織將如何成長,以及速度有多快。選擇 AWS 服務 可協助您的安全措施與基礎設施無縫成長,並適應不斷變化的威脅。 為了協助您**快速擴展**, AWS Control Tower 會協調其他數個 的功能[AWS 服務](https://docs.aws.amazon.com/controltower/latest/userguide/integrated-services.html),包括 AWS Organizations 和 AWS IAM Identity Center,在不到一小時的時間內建置登陸區域。Control Tower 會代表您設定和管理資源。 AWS 也設計許多 服務,以根據應用程式的流量和用量模式**自動擴展**,例如 Amazon GuardDuty 用於威脅偵測和 AWS WAF 保護 Web 應用程式。隨著您的業務擴展,這些服務會隨之擴展,而不需要手動調整或造成瓶頸。 此外,您可以**自訂安全控制**以符合您的業務需求和威脅態勢至關重要。請考慮使用 管理您的帳戶 AWS Organizations,讓您可以跨多個帳戶管理 [40 多個 服務](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_integrate_services_list.html)的資源。這為個別應用程式團隊提供彈性和可見性,以管理工作負載特有的安全需求,同時為集中式安全團隊提供控管和可見性。 考量可擴展性和靈活性,有助於確保您的安全狀態強大、回應能力高且能夠支援動態商業環境。 ------ #### [ Integration with existing systems ] 考慮增強而不是中斷您目前操作的安全措施。例如,請考慮下列事項: + 透過**彙總**來自 的安全資料和警示 AWS 服務 ,以及與現有安全資訊和事件管理 (SIEM) 系統一起分析它們,簡化您的工作流程。 + 建立跨 和內部部署環境的安全威脅 AWS 和漏洞的**統一檢視**。 + AWS CloudTrail 與現有的日誌管理解決方案整合,以**全面監控** AWS 基礎設施和現有應用程式的使用者活動和 API 用量。 + 檢查您可以最佳化**資源使用**率的方式,並一致地跨環境套用安全政策。這可協助您降低安全涵蓋範圍漏洞的風險。 ------ #### [ Cost and budget considerations ] 檢閱您考慮的每個服務的[定價模型](https://aws.amazon.com/pricing)。 AWS 通常根據用量收費,例如 API 呼叫次數、處理的資料量或儲存的資料量。例如,Amazon GuardDuty 會根據針對威脅偵測分析的日誌資料量收費,而 AWS WAF 帳單是根據部署的規則數目和收到的 Web 請求數目。 估計您的預期用量,以準確**預測成本**。同時考慮目前需求和潛在的成長或需求激增。例如,可擴展性是 的主要功能 AWS 服務,但如果不小心管理,也可能會導致成本增加。使用 [AWS 定價計算工具](https://calculator.aws/)建立不同案例的模型,並評估其財務影響。 評估**總體擁有成本 **(TCO),其中包括直接成本和間接成本,例如管理和維護所需的時間和資源。選擇受管服務可以降低營運開銷,但價格可能更高。 最後,根據風險評估排定安全投資的**優先順序**。並非所有安全服務對您的基礎設施都同樣重要,因此請將您的預算集中在對降低風險和確保合規影響最大的領域。在成本效益與您需要的安全層級之間取得平衡,是成功 AWS 安全策略的關鍵。 ------ #### [ Organizational structure and access needs ] 評估您組織的結構和運作方式,以及您的存取需求可能因團隊、專案或位置而有所不同。其中的因素包括如何管理和驗證使用者身分、指派角色,以及在整個 AWS 環境中強制執行存取控制。實作[最佳實務](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html),例如套用最低權限許可和需要多重要素驗證 (MFA)。 大多數組織都需要**多帳戶**環境。檢閱此類環境的[最佳實務](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_best-practices.html),並考慮使用 AWS Organizations 和 AWS Control Tower 來協助您實作。 您應該考慮的另一個方面是管理**登入資料和存取金鑰**。請考慮使用 IAM Identity Center 集中多個 AWS 帳戶 和商業應用程式的存取管理,這可提高安全性和使用者便利性。為了協助您順暢管理組織帳戶的存取權,IAM Identity Center 會與 [整合](https://docs.aws.amazon.com/organizations/latest/userguide/services-that-can-integrate-sso.html) AWS Organizations。 此外,請評估這些身分和存取管理服務如何與您現有的目錄服務**整合**。如果您有現有的身分提供者,您可以使用 [SAML 2.0 ](https://docs.aws.amazon.com/singlesignon/latest/userguide/scim-profile-saml.html)或 [OpenID Connect](https://docs.aws.amazon.com/singlesignon/latest/OIDCAPIReference/Welcome.html) (OIDC) 將其與 IAM Identity Center 整合。IAM Identity Center 也支援[跨網域身分管理 ](https://docs.aws.amazon.com/singlesignon/latest/userguide/scim-profile-saml.html)(SCIM) 佈建,以協助保持目錄同步。這有助於您在存取 AWS 資源時確保無縫且安全的使用者體驗。 ------ ## 選擇 AWS 安全、身分和控管服務 現在您知道評估安全選項的條件,您就可以選擇哪些 AWS 安全服務可能非常適合您的組織需求。 下表重點介紹針對哪些情況最佳化哪些服務。使用 資料表來協助判斷最適合您組織和使用案例的服務。 **注意** 1 與 ( AWS Security Hub CSPM [完整清單](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-internal-providers.html)) 整合 2 與 Amazon GuardDuty 整合 ([完整清單](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_integrations.html)) 3 與 Amazon Security Lake 整合 ([完整清單](https://docs.aws.amazon.com/security-lake/latest/userguide/aws-integrations.html)) ### 選擇 AWS 身分和存取管理服務 授予適當的個人適當的存取層級,以存取系統、應用程式和資料。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/decision-guides/latest/security-on-aws-how-to-choose/choosing-aws-security-services.html) ### 選擇 AWS 資料保護服務 自動化並簡化資料保護和安全任務,範圍從金鑰管理和敏感資料探索到憑證管理。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/decision-guides/latest/security-on-aws-how-to-choose/choosing-aws-security-services.html) ### 選擇 AWS 網路和應用程式保護服務 集中保護您的網際網路資源,防範常見的 DDoS 和應用程式攻擊。  [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/decision-guides/latest/security-on-aws-how-to-choose/choosing-aws-security-services.html) ### 選擇 AWS 偵測和回應服務 持續識別安全風險並排定優先順序,同時及早整合安全最佳實務。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/decision-guides/latest/security-on-aws-how-to-choose/choosing-aws-security-services.html) ### 選擇 AWS 控管和合規服務 建立跨 資源的雲端控管,並自動化合規和稽核程序。 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/decision-guides/latest/security-on-aws-how-to-choose/choosing-aws-security-services.html) ## 使用 AWS 安全、身分和控管服務 您現在應該清楚了解每個 AWS 安全、身分和控管服務 (以及支援 AWS 工具和服務) 的功能,以及哪些可能適合您。 為了探索如何使用和進一步了解每個可用的 AWS 安全、身分和控管服務,我們提供了途徑來探索每個服務的運作方式。下列各節提供深入文件、實作教學課程和資源的連結,協助您開始使用。 ### 使用 AWS 身分和存取管理服務 下表顯示一些有用的身分和存取管理資源,依服務組織,以協助您開始使用。 ------ #### [ AWS IAM Identity Center ] + **啟用 AWS IAM Identity Center** 啟用 IAM Identity Center 並開始將其與 搭配使用 AWS Organizations。 [探索指南](https://docs.aws.amazon.com/singlesignon/latest/userguide/get-set-up-for-idc.html) + **使用預設 IAM Identity Center 目錄設定使用者存取權** 使用預設目錄做為您的身分來源,並設定和測試使用者存取。 [教學課程入門](https://docs.aws.amazon.com/singlesignon/latest/userguide/quick-start-default-idc.html) + **使用 Active Directory 做為身分來源** 完成使用 Active Directory 做為 IAM Identity Center 身分來源的基本設定。 [教學課程入門](https://docs.aws.amazon.com/singlesignon/latest/userguide/gs-ad.html) + **使用 Okta 和 IAM Identity Center 設定 SAML 和 SCIM** 設定與 Okta 和 IAM Identity Center 的 SAML 連線。 [教學課程入門](https://docs.aws.amazon.com/singlesignon/latest/userguide/gs-okta.html) ------ #### [ Amazon Cognito ] + **Amazon Cognito 入門** 了解最常見的 Amazon Cognito 任務。 [探索指南](https://docs.aws.amazon.com/cognito/latest/developerguide/cognito-getting-started.html) + **教學課程:建立使用者集區** 建立使用者集區,以允許使用者登入您的 Web 或行動應用程式。 [教學課程入門](https://docs.aws.amazon.com/cognito/latest/developerguide/tutorial-create-user-pool.html) + **教學課程:建立身分集區** 建立身分集區,這可讓您的使用者取得暫時 AWS 登入資料以進行存取 AWS 服務。 [教學課程入門](https://docs.aws.amazon.com/cognito/latest/developerguide/identity-pools.html) + **Amazon Cognito 研討會** 練習使用 Amazon Cognito 為假設性寵物商店建置身分驗證解決方案。  [教學課程入門](https://www.cognitobuilders.training/) ------ #### [ AWS RAM ] + **入門 AWS RAM** 了解 AWS RAM 術語和概念。 [探索指南](https://docs.aws.amazon.com/ram/latest/userguide/getting-started.html) + **使用共用 AWS 資源** 共用您擁有 AWS 的資源,並存取與您共用 AWS 的資源。 [探索指南](https://docs.aws.amazon.com/ram/latest/userguide/working-with.html) + **在 RAM AWS 中管理許可** 了解兩種類型的受管許可: AWS 受管許可和客戶受管許可。 [探索指南](https://docs.aws.amazon.com/ram/latest/userguide/security-ram-permissions.html) + **設定使用 RAM AWS 共用之資源的詳細存取權** 使用客戶受管許可來自訂您的資源存取,並實現最低權限的最佳實務。  [閱讀部落格](https://aws.amazon.com/blogs/security/configure-fine-grained-access-to-your-resources-shared-using-aws-resource-access-manager/) ------ #### [ IAM ] + **IAM 入門** 使用 建立 IAM 角色、使用者和政策 AWS 管理主控台。 [教學課程入門](https://docs.aws.amazon.com/IAM/latest/UserGuide/getting-started.html) + ** AWS 帳戶 使用角色委派跨 的存取權** 使用角色委派存取您擁有的不同 AWS 帳戶 資源,稱為 **生產** 和 **開發**。 [教學課程入門](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_cross-account-with-roles.html) + **建立客戶受管政策** 使用 AWS 管理主控台 建立 [客戶受管政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) ,然後將該政策連接到您 中的 IAM 使用者 AWS 帳戶。 [教學課程入門](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_managed-policies.html) + **根據標籤定義存取 AWS 資源的許可** 建立和測試政策,允許具有主體標籤的 IAM 角色存取具有相符標籤的資源。 [教學課程入門](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html) + **IAM 中的安全最佳實務** 使用 IAM 最佳實務協助保護您的 AWS 資源。 [探索指南](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) ------ ### 使用 AWS 資料保護服務 下一節提供您描述 AWS 資料保護的詳細資源連結。 ------ #### [ Macie ] + **Amazon Macie 入門** 為您的 啟用 Macie AWS 帳戶、評估您的 Amazon S3 安全狀態,並設定金鑰設定和資源,以探索和報告 S3 儲存貯體中的敏感資料。 [探索指南](https://docs.aws.amazon.com/macie/latest/user/getting-started.html) + **使用 Amazon Macie 監控資料安全和隱私權** 使用 Amazon Macie 監控 Amazon S3 資料安全並評估您的安全狀態。 [探索指南](https://docs.aws.amazon.com/macie/latest/user/monitoring-s3.html) + **分析 Amazon Macie 調查結果** 檢閱、分析和管理 Amazon Macie 調查結果。 [探索指南](https://docs.aws.amazon.com/macie/latest/user/findings.html) + **使用 Amazon Macie 調查結果擷取敏感資料範例** 使用 Amazon Macie 擷取並顯示個別調查結果報告的敏感資料範例。 [探索指南](https://docs.aws.amazon.com/macie/latest/user/findings-retrieve-sd.html) + **使用 Amazon Macie 探索敏感資料** 自動化探索、記錄和報告 Amazon S3 資料資產中的敏感資料。 [探索指南](https://docs.aws.amazon.com/macie/latest/user/data-classification.html) ------ #### [ AWS KMS ] + **入門 AWS KMS** 管理從建立到刪除的對稱加密 KMS 金鑰。 [探索指南](https://docs.aws.amazon.com/kms/latest/developerguide/getting-started.html) + **特殊用途金鑰** 了解 AWS KMS 支援的不同類型的金鑰,以及對稱加密 KMS 金鑰。 [探索指南](https://docs.aws.amazon.com/kms/latest/developerguide/key-types.html) + **使用 擴展靜態加密功能 AWS KMS** 了解 中可用的靜態加密選項 AWS。 [探索研討會](https://catalog.us-east-1.prod.workshops.aws/workshops/05f16f1a-0bbf-45a7-a304-4fcd7fca3d1f/en-US) ------ #### [ AWS CloudHSM ] + **入門 AWS CloudHSM** 建立、初始化和啟用 AWS CloudHSM 叢集。 [探索指南](https://docs.aws.amazon.com/cloudhsm/latest/userguide/getting-started.html) + **管理 AWS CloudHSM 叢集** 連線至您的 AWS CloudHSM 叢集,以及管理叢集的各種管理任務。 [探索指南](https://docs.aws.amazon.com/cloudhsm/latest/userguide/manage-clusters.html) + **在 中管理 HSM 使用者和金鑰 AWS CloudHSM** 在叢集的 HSMs上建立使用者和金鑰。 [探索指南](https://docs.aws.amazon.com/cloudhsm/latest/userguide/manage-hsm-users-and-keys.html) + **在 CloudHSM 中使用 Amazon ECS 搭配 TLS 卸載來自動化 NGINX Web 服務的部署** 使用 AWS CloudHSM 來存放託管於雲端之網站的私有金鑰。 [閱讀部落格](https://aws.amazon.com/blogs/security/automate-the-deployment-of-an-nginx-web-service-using-amazon-ecs-with-tls-offload-in-cloudhsm/) ------ #### [ AWS Certificate Manager ] + **請求公有憑證** 使用 AWS Certificate Manager (ACM) 主控台或 AWS CLI 請求公有 ACM 憑證。 [探索指南](https://docs.aws.amazon.com/acm/latest/userguide/gs-acm-request-public.html) + **的最佳實務 AWS Certificate Manager** 根據目前 ACM 客戶的真實體驗,了解最佳實務。 [探索指南](https://docs.aws.amazon.com/acm/latest/userguide/acm-bestpractices.html) + **如何使用 AWS Certificate Manager 強制執行憑證發行控制** 使用 IAM 條件金鑰,確保您的使用者根據組織的準則發行或請求 TLS 憑證。 [閱讀部落格](https://aws.amazon.com/blogs/security/how-to-use-aws-certificate-manager-to-enforce-certificate-issuance-controls/) ------ #### [ AWS 私有 CA ] + **規劃您的 AWS 私有 CA 部署** 建立私有憑證授權機構之前, AWS 私有 CA 請先準備使用 。 [探索指南](https://docs.aws.amazon.com/privateca/latest/userguide/PcaPlanning.html) + **AWS 私有 CA 管理** 建立根和次級憑證授權單位的完全 AWS 託管階層,以供組織內部使用。 [探索指南](https://docs.aws.amazon.com/privateca/latest/userguide/creating-managing.html) + **憑證管理** 使用 執行基本憑證管理任務 AWS 私有 CA,例如發行、擷取和列出私有憑證。 [探索指南](https://docs.aws.amazon.com/privateca/latest/userguide/PcaUsing.html) + **AWS 私有 CA 研討會** 開發私有憑證授權單位各種使用案例的實作體驗。 [探索研討會](https://catalog.us-east-1.prod.workshops.aws/workshops/1d889b6d-52c9-49be-95a0-5e5e97c37f81/en-US) + **如何使用 簡化 Active Directory 中的憑證佈建 AWS 私有 CA** 使用 AWS 私有 CA 可更輕鬆地為 Microsoft Active Directory 環境中的使用者和機器佈建憑證。 [閱讀部落格](https://aws.amazon.com/blogs/modernizing-with-aws/simplify-certificate-provisioning-in-ad-with-aws-private-ca/) + **如何在 中強制執行 DNS 名稱限制 AWS 私有 CA** 使用 AWS 私有 CA 服務將 DNS 名稱限制條件套用至次級 CA。 [閱讀部落格](https://aws.amazon.com/blogs/security/how-to-enforce-dns-name-constraints-in-aws-private-ca/) ------ #### [ AWS Secrets Manager ] + **AWS Secrets Manager 概念** 使用 執行基本憑證管理任務 AWS 私有 CA,例如發行、擷取和列出私有憑證。 [探索指南](https://docs.aws.amazon.com/secretsmanager/latest/userguide/getting-started.html) + **設定 的交替使用者輪換 AWS Secrets Manager** 為包含資料庫登入資料的秘密設定交替使用者輪換。 [探索指南](https://docs.aws.amazon.com/secretsmanager/latest/userguide/tutorials_rotation-alternating.html) + **將 AWS Secrets Manager 秘密與 Kubernetes 搭配使用** 使用 Secrets and Configuration Provider (ASCP),將 Secrets Manager 的 AWS 秘密顯示為掛載在 Amazon EKS Pod 中的檔案。 [探索指南](https://docs.aws.amazon.com/eks/latest/userguide/manage-secrets.html) ------ #### [ AWS Payment Cryptography ] + **入門 AWS Payment Cryptography** 建立金鑰,並在各種密碼編譯操作中使用它們。 [探索指南](https://docs.aws.amazon.com/payment-cryptography/latest/userguide/getting-started.html) + **AWS Payment Cryptography FAQs** 了解 的基本概念 AWS Payment Cryptography。 [探索FAQs](https://aws.amazon.com/payment-cryptography/faqs/) ------ ### 使用 AWS 網路和應用程式保護服務 下表提供詳細資源的連結,說明 AWS 網路和應用程式保護。 ------ #### [ AWS Firewall Manager ] + ** AWS Firewall Manager 政策入門** 使用 AWS Firewall Manager 啟用不同類型的安全政策。 [探索指南](https://docs.aws.amazon.com/waf/latest/developerguide/getting-started-fms-intro.html) + **如何使用 持續稽核和限制安全群組 AWS Firewall Manager** 使用 AWS Firewall Manager 限制安全群組,確保僅開啟必要的連接埠。 [閱讀部落格](https://aws.amazon.com/blogs/security/how-to-continuously-audit-and-limit-security-groups-with-aws-firewall-manager/) + **使用 AWS Firewall Manager 大規模部署保護 AWS Organizations** 使用 AWS Firewall Manager 在整個 中部署和管理安全政策 AWS Organizations。 [閱讀部落格](https://aws.amazon.com/blogs/security/use-aws-firewall-manager-to-deploy-protection-at-scale-in-aws-organizations/) ------ #### [ AWS Network Firewall ] + **入門 AWS Network Firewall** 為具有基本網際網路閘道架構的 VPC 設定和實作 AWS Network Firewall 防火牆。 [探索指南](https://docs.aws.amazon.com/network-firewall/latest/developerguide/getting-started.html) + **AWS Network Firewall 研討會** 使用基礎設施做為程式碼 AWS Network Firewall 來部署 。 [探索研討會](https://catalog.workshops.aws/networkfirewall/en-US) + ** AWS Network Firewall 彈性規則引擎的實作演練 – 第 1 部分** 在 AWS Network Firewall 中部署 的示範 AWS 帳戶 ,以與其規則引擎互動。 [閱讀部落格](https://aws.amazon.com/blogs/security/hands-on-walkthrough-of-the-aws-network-firewall-flexible-rules-engine/) + ** AWS Network Firewall 彈性規則引擎的實作演練 – 第 2 部分** 建立具有嚴格規則順序的防火牆政策,並設定一或多個預設動作。 [閱讀部落格](https://aws.amazon.com/blogs/security/hands-on-walkthrough-of-the-aws-network-firewall-flexible-rules-engine-part-2/) + **的部署模型 AWS Network Firewall** 了解您可以新增至 AWS Network Firewall 流量路徑的常見使用案例的部署模型。 [閱讀部落格](https://aws.amazon.com/blogs/networking-and-content-delivery/deployment-models-for-aws-network-firewall/) + ** AWS Network Firewall 具有 VPC 路由增強功能的 部署模型** 使用增強型 VPC 路由基本概念,在相同 VPC 的不同子網路中的工作負載 AWS Network Firewall 之間插入 。 [閱讀部落格](https://aws.amazon.com/blogs/networking-and-content-delivery/deployment-models-for-aws-network-firewall-with-vpc-routing-enhancements/) ------ #### [ AWS Shield ] + ** AWS Shield 運作方式** 了解 AWS Shield Standard 和 如何為網路和傳輸層 (第 3 層和第 4 層) 和應用程式層 (第 7 層) AWS 的資源 AWS Shield Advanced 提供 DDoS 攻擊保護。 [探索指南](https://docs.aws.amazon.com/waf/latest/developerguide/ddos-overview.html) + **入門 AWS Shield Advanced** AWS Shield Advanced 使用 Shield Advanced 主控台開始使用 。 [探索指南](https://docs.aws.amazon.com/waf/latest/developerguide/getting-started-ddos.html) + **AWS Shield Advanced 研討會** 保護網際網路暴露的資源免受 DDoS 攻擊、監控對基礎設施的 DDoS 攻擊,並通知適當的團隊。 [探索研討會](https://catalog.us-east-1.prod.workshops.aws/workshops/6396761b-6d1f-4a4d-abf1-ffb69dee6995/en-US) ------ #### [ AWS WAF ] + **入門 AWS WAF** 設定 AWS WAF、建立 Web ACL,並透過新增規則和規則群組來篩選 Web 請求來保護 Amazon CloudFront。 [教學課程入門](https://docs.aws.amazon.com/waf/latest/developerguide/getting-started.html) + **分析 Amazon CloudWatch AWS WAF Logs 中的日誌** 將原生 AWS WAF 記錄設定為 Amazon CloudWatch logs,並將日誌中的資料視覺化和分析。 [閱讀部落格](https://aws.amazon.com/blogs/mt/analyzing-aws-waf-logs-in-amazon-cloudwatch-logs/) + **使用 Amazon CloudWatch 儀表板視覺化 AWS WAF 日誌** 使用 Amazon CloudWatch 透過 CloudWatch 指標、Contributor Insights 和 Logs Insights 來監控和分析 AWS WAF 活動。 [閱讀部落格](https://aws.amazon.com/blogs/security/visualize-aws-waf-logs-with-an-amazon-cloudwatch-dashboard/) ------ ### 使用 AWS 偵測和回應服務 下表提供詳細資源的連結,說明 AWS 偵測和回應服務。 ------ #### [ AWS Config ] + **入門 AWS Config** 設定 AWS Config 和使用 AWS SDKs。 [探索指南](https://docs.aws.amazon.com/config/latest/developerguide/getting-started.html) + **風險與合規研討會** 使用 AWS Config 和 AWS 受管 Config 規則來自動化控制項。 [探索研討會](https://catalog.us-east-1.prod.workshops.aws/workshops/dd2bea89-dc7a-4bda-966a-70b4ff6e90e0/en-US/3-detective-controls-config/1-config-setup) + **AWS Config 規則開發套件程式庫:大規模建置和操作規則** 使用規則開發套件 (RDK) 來建置自訂 AWS Config 規則,並使用 RDKLib 部署它。 [閱讀部落格](https://aws.amazon.com/blogs/mt/aws-config-rule-development-kit-library-build-and-operate-rules-at-scale/) ------ #### [ AWS CloudTrail ] + **檢視事件歷史記錄** 檢閱 中支援 CloudTrail AWS 帳戶 之服務的 AWS API 活動。 [教學課程入門](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/tutorial-event-history.html) + **建立追蹤以記錄管理事件** 建立追蹤以記錄所有區域中的管理事件。 [教學課程入門](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/tutorial-trail.html) ------ #### [ AWS Security Hub CSPM ] + **啟用 AWS Security Hub CSPM** 在獨立帳戶中 AWS Security Hub CSPM 啟用 AWS Organizations 或 。 [探索指南](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-settingup.html) + **跨區域彙總** 將 AWS Security Hub CSPM 問題清單從多個彙總 AWS 區域 到單一彙總區域。 [探索指南](https://docs.aws.amazon.com/securityhub/latest/userguide/finding-aggregation.html) + **AWS Security Hub CSPM 研討會** 了解如何使用 AWS Security Hub CSPM 和 來管理和改善 AWS 環境的安全狀態。 [探索研討會](https://catalog.workshops.aws/security-hub/en-US) + **三個重複的 Security Hub CSPM 使用模式,以及如何部署它們** 了解三種最常見的 AWS Security Hub CSPM 使用模式,以及如何改善識別和管理問題清單的策略。 [閱讀部落格](https://aws.amazon.com/blogs/security/three-recurring-security-hub-usage-patterns-and-how-to-deploy-them/) ------ #### [ Amazon GuardDuty ] + **Amazon GuardDuty 入門** 啟用 Amazon GuardDuty、產生範例問題清單,以及設定提醒。 [探索教學課程](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_settingup.html) + **Amazon GuardDuty 中的 EKS 保護** 使用 Amazon GuardDuty 監控 Amazon Elastic Kubernetes Service (Amazon EKS) 稽核日誌。 [探索指南](https://docs.aws.amazon.com/guardduty/latest/ug/kubernetes-protection.html) + **Amazon GuardDuty 中的 Lambda 保護** 當您叫用 AWS Lambda 函數時,識別潛在的安全威脅。 [探索指南](https://docs.aws.amazon.com/guardduty/latest/ug/lambda-protection.html) + **GuardDuty Amazon RDS 保護** 使用 Amazon GuardDuty 來分析和描述 Amazon Relational Database Service (Amazon RDS) 登入活動,以找出對 Amazon Aurora 資料庫的潛在存取威脅。 [探索指南](https://docs.aws.amazon.com/guardduty/latest/ug/rds-protection.html) + **Amazon GuardDuty 中的 Amazon S3 保護 Amazon GuardDuty** 使用 GuardDuty 監控 CloudTrail 資料事件,並識別 S3 儲存貯體內的潛在安全風險。 [探索指南](https://docs.aws.amazon.com/guardduty/latest/ug/s3-protection.html) + **Amazon GuardDuty 和 Amazon Detective 的威脅偵測和回應** 了解 Amazon GuardDuty 和 Amazon Detective 的基本概念。 [探索研討會](https://catalog.workshops.aws/guardduty/en-US) ------ #### [ Amazon Inspector ] + **Amazon Inspector 入門** 啟用 Amazon Inspector 掃描以了解 主控台中的問題清單。 [教學課程入門](https://docs.aws.amazon.com/inspector/latest/user/getting_started_tutorial.html) + **使用 Amazon Inspector 進行漏洞管理** 使用 Amazon Inspector 掃描 Amazon Elastic Container Registry (Amazon ECR) 中的 Amazon EC2 執行個體和容器映像是否有軟體漏洞。 [探索研討會](https://catalog.workshops.aws/inspector/en-US) + **如何使用 Amazon Inspector 掃描 EC2 AMIs ** 使用多個 AWS 服務 來掃描 AMIs 是否有已知的漏洞,以建置解決方案。 [閱讀部落格](https://aws.amazon.com/blogs/security/how-to-scan-ec2-amis-using-amazon-inspector/) ------ #### [ Amazon Security Lake ] + **Amazon Security Lake 入門** 啟用並開始使用 Amazon Security Lake。 [探索指南](https://docs.aws.amazon.com/security-lake/latest/userguide/getting-started.html) + **使用 管理多個帳戶 AWS Organizations** 從多個 收集安全日誌和事件 AWS 帳戶。 [探索指南](https://docs.aws.amazon.com/security-lake/latest/userguide/multi-account-management.html) + **擷取、轉換和交付 Amazon Security Lake 發佈至 Amazon OpenSearch Service 的事件** 擷取、轉換 Amazon Security Lake 資料並將其交付至 Amazon OpenSearch Service,以供您的 SecOps 團隊使用。 [閱讀部落格](https://aws.amazon.com/blogs/big-data/ingest-transform-and-deliver-events-published-by-amazon-security-lake-to-amazon-opensearch-service/) + **如何使用 Quick 視覺化 Amazon Security Lake 調查結果** 使用 Amazon Amazon Athena Security Lake 的資料。  [閱讀部落格](https://aws.amazon.com/blogs/security/how-to-visualize-amazon-security-lake-findings-with-amazon-quicksight/) ------ #### [ Amazon Detective ] + **Amazon Detective 術語和概念** 了解 Amazon Detective 及其運作方式的重要關鍵術語和概念。 [探索指南](https://docs.aws.amazon.com/detective/latest/userguide/detective-terms-concepts.html) + **設定 Amazon Detective** 從 Amazon Detective 主控台、Amazon Detective API 或 啟用 Amazon Detective AWS CLI。 [探索指南](https://docs.aws.amazon.com/detective/latest/userguide/detective-setup.html) + **Amazon GuardDuty 和 Amazon Detective 的威脅偵測和回應** 了解 Amazon GuardDuty 和 Amazon Detective 的基本概念。 [探索研討會](https://catalog.workshops.aws/guardduty/en-US) ------ ### 使用 AWS 控管和合規服務 下表提供詳細資源的連結,說明控管和合規。 ------ #### [ AWS Organizations ] + **建立和設定組織** 建立您的組織,並使用兩個 AWS 成員帳戶進行設定。 [教學課程入門](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_tutorials_basic.html) + **使用 的服務 AWS Organizations** 了解 AWS 服務 您可以搭配哪些 使用, AWS Organizations 以及在全組織層級使用每項服務的優點。 [探索指南](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_integrate_services_list.html) + **使用多個帳戶來組織您的 AWS 環境** 實作最佳實務和目前的建議,以組織您的整體 AWS 環境。 [閱讀白皮書](https://docs.aws.amazon.com/pdfs/whitepapers/latest/organizing-your-aws-environment/organizing-your-aws-environment.pdf) ------ #### [ AWS Artifact ] + **入門 AWS Artifact ** 下載安全與合規報告、管理法律協議和管理通知。 [探索指南](https://docs.aws.amazon.com/artifact/latest/ug/getting-started.html) + **在 中管理協議 AWS Artifact** 使用 AWS 管理主控台 來檢閱、接受和管理您帳戶或組織的協議。 [探索指南](https://docs.aws.amazon.com/artifact/latest/ug/managing-agreements.html) + **準備第 1 AWS 部分的稽核: AWS 稽核管理員 AWS Config和 AWS 成品** 使用 AWS 服務 可協助您自動收集稽核中使用的證據。 [閱讀部落格](https://aws.amazon.com/blogs/mt/prepare-for-an-audit-in-aws-part-1-aws-audit-manager-aws-config-and-aws-artifact/) ------ #### [ AWS Audit Manager ] + **啟用 AWS Audit Manager** 使用 AWS 管理主控台、Audit Manager API 或 啟用 Audit Manager AWS CLI。 [探索指南](https://docs.aws.amazon.com/audit-manager/latest/userguide/setup-audit-manager.html) + **稽核擁有者教學課程:建立評估** 使用 Audit Manager 範例架構建立評估。 [探索指南](https://docs.aws.amazon.com/audit-manager/latest/userguide/tutorial-for-audit-owners.html) + **委派代表的教學課程:檢閱控制集** 檢閱 Audit Manager 中稽核擁有者與您共用的控制集。 [探索指南](https://docs.aws.amazon.com/audit-manager/latest/userguide/tutorial-for-delegates.html) ------ #### [ AWS Control Tower ] + **入門 AWS Control Tower** 設定並啟動符合規範最佳實務的多帳戶環境,稱為登陸區域。 [探索指南](https://docs.aws.amazon.com/controltower/latest/userguide/getting-started-with-control-tower.html) + **使用 Amazon Bedrock 和 現代化帳戶管理 AWS Control Tower** 佈建安全工具帳戶,並利用生成式 AI 來加速 AWS 帳戶 設定和管理程序。 [閱讀部落格](https://aws.amazon.com/blogs/mt/modernizing-account-management-with-amazon-bedrock-and-aws-control-tower/) + **使用 建置架構良好的 AWS GovCloud (US) 環境 AWS Control Tower** 在 AWS GovCloud (US) 區域中設定您的管理,包括使用組織單位 (OUs) 和 來管理 AWS 工作負載 AWS 帳戶。 [閱讀部落格](https://aws.amazon.com/blogs/mt/building-a-well-architected-aws-govcloud-us-environment-with-aws-control-tower/) ------ ## 探索 AWS 安全、身分和控管服務 ------ #### [ Editable architecture diagrams ] **參考架構圖** 探索參考架構圖,協助您開發安全性、身分和控管策略。 [探索安全性、身分和管理參考架構](https://aws.amazon.com/architecture/?nc2=h_ql_le_arc&cards-all.sort-by=item.additionalFields.sortDate&cards-all.sort-order=desc&awsf.content-type=content-type%23reference-arch-diagram&awsf.methodology=*all&awsf.tech-category=tech-category%23security-identity-compliance&awsf.industries=*all&awsf.business-category=*all) ------ #### [ Ready-to-use code ] **** | | | | --- |--- | | *精選解決方案* **上的安全洞見 AWS** 部署 AWS建置的程式碼可協助您視覺化 Amazon Security Lake 中的資料,以更快速地調查和回應安全事件。 [探索此解決方案](https://aws.amazon.com/solutions/implementations/security-insights-on-aws/) | **AWS 解決方案** 探索由 建置的預先設定、可部署的解決方案及其實作指南 AWS。 [探索所有 AWS 安全性、身分和控管解決方案](https://aws.amazon.com/architecture/?nc2=h_ql_le_arc&cards-all.sort-by=item.additionalFields.sortDate&cards-all.sort-order=desc&awsf.content-type=content-type%23solution&awsf.methodology=*all&awsf.tech-category=tech-category%23security-identity-compliance&awsf.industries=*all&awsf.business-category=*all) | ------ #### [ Documentation ] **** | | | | --- |--- | | **安全性、身分和管理白皮書** 探索白皮書,進一步了解如何選擇、實作和使用最適合您組織的安全性、身分和控管服務。 [探索安全性、身分和管理白皮書](https://aws.amazon.com/architecture/?nc2=h_ql_le_arc&cards-all.sort-by=item.additionalFields.sortDate&cards-all.sort-order=desc&awsf.content-type=content-type%23whitepaper&awsf.methodology=*all&awsf.tech-category=tech-category%23security-identity-compliance&awsf.industries=*all&awsf.business-category=*all) | **AWS 安全部落格** 探索解決特定安全使用案例的部落格文章。 [探索 AWS 安全部落格](https://aws.amazon.com/blogs/security/) | ------