Amazon Web Services：安全过程概述 · Amazon Web Services — 安全过程概述 2015 年 8...

Amazon Web Services — 安全过程概述 2015 年 8 月

第 1 页，共 74 页

Amazon Web Services：安全过程概述 2015 年 8 月

（有关此白皮书的最新版本，请查阅 http://aws.amazon.com/security/）

http://aws.amazon.com/security/


第 2 页，共 74 页

目录简介 ........................................................................................................................................................................................... 5

安全责任共担模型 .................................................................................................................................................................... 5

AWS 安全责任 ...................................................................................................................................................................... 6

客户安全责任 ........................................................................................................................................................................ 6

AWS 全球基础设施安全 .......................................................................................................................................................... 7

AWS 合规性计划 .................................................................................................................................................................. 7

物理和环境安全 .................................................................................................................................................................... 8

火灾探测及扑救 ............................................................................................................................................................... 8

电力 ................................................................................................................................................................................... 8

气候与温度 ....................................................................................................................................................................... 8

管理 ................................................................................................................................................................................... 8

存储设备的退役 ............................................................................................................................................................... 8

业务连续性管理 .................................................................................................................................................................... 9

可用性 ............................................................................................................................................................................... 9

事件响应 ........................................................................................................................................................................... 9

公司范围内的行政审查 .................................................................................................................................................... 9

通信 ................................................................................................................................................................................... 9

网络安全性 .......................................................................................................................................................................... 10

保护网络架构 ................................................................................................................................................................. 10

安全接入点 ..................................................................................................................................................................... 10

传输保护 ......................................................................................................................................................................... 10

Amazon Corporate 分离 .................................................................................................................................................. 10

容错能力设计 ................................................................................................................................................................. 11

网络监控和保护 ............................................................................................................................................................. 12

AWS 访问 ............................................................................................................................................................................ 14

账户审查和审批 ............................................................................................................................................................. 14

背景调查 ......................................................................................................................................................................... 14

凭证策略 ......................................................................................................................................................................... 14

安全设计原则 ...................................................................................................................................................................... 14

变更管理 .............................................................................................................................................................................. 15

软件 ................................................................................................................................................................................. 15

基础设施 ......................................................................................................................................................................... 15


第 3 页，共 74 页

AWS 账户安全功能 ................................................................................................................................................................ 16

AWS 凭证 ............................................................................................................................................................................ 16

密码 ................................................................................................................................................................................. 17

AWS Multi-Factor Authentication (AWS MFA) ............................................................................................................ 17

访问密钥 ......................................................................................................................................................................... 18

密钥对 ............................................................................................................................................................................. 18

X.509 证书 ....................................................................................................................................................................... 18

个人用户账户 ...................................................................................................................................................................... 19

安全 HTTPS 接入点 ........................................................................................................................................................... 19

安全日志 .............................................................................................................................................................................. 19

AWS Trusted Advisor 安全检查 ......................................................................................................................................... 20

特定于 AWS 服务的安全性 ................................................................................................................................................... 20

计算服务 .............................................................................................................................................................................. 20

Amazon Elastic Compute Cloud (Amazon EC2) 安全性................................................................................................ 20

Auto Scaling 的安全性 .................................................................................................................................................... 24

联网服务 .............................................................................................................................................................................. 25

Amazon Elastic Load Balancing 安全性 ......................................................................................................................... 25

Amazon Virtual Private Cloud (Amazon VPC) 安全性 .................................................................................................. 26

Amazon Route 53 安全性 ............................................................................................................................................... 32

Amazon CloudFront 安全性 ............................................................................................................................................ 32

AWS Direct Connect 安全性 .......................................................................................................................................... 34

存储服务 .............................................................................................................................................................................. 35

Amazon Simple Storage Service (Amazon S3) 安全性 .................................................................................................. 35

AWS Glacier 安全性 ....................................................................................................................................................... 37

AWS Storage Gateway 安全性 ....................................................................................................................................... 38

AWS Import/Export 安全性 ............................................................................................................................................ 39

数据库服务 .......................................................................................................................................................................... 41

Amazon DynamoDB 安全性 ........................................................................................................................................... 41

Amazon Relational Database Service (Amazon RDS) 安全性 ....................................................................................... 42

Amazon Redshift 安全性 ................................................................................................................................................ 46

Amazon ElastiCache 安全性 ........................................................................................................................................... 48

应用程序服务 ...................................................................................................................................................................... 50

Amazon CloudSearch 安全性 ......................................................................................................................................... 50

Amazon Simple Queue Service (Amazon SQS) 安全性 ................................................................................................. 51


第 4 页，共 74 页

Amazon Simple Notification Service (Amazon SNS) 安全性 ........................................................................................ 51

Amazon Simple Workflow Service (Amazon SWF) 安全性 .......................................................................................... 52

Amazon Simple Email Service (Amazon SES) 安全性 .................................................................................................. 52

Amazon Elastic Transcoder 服务安全性 ........................................................................................................................ 53

Amazon AppStream 安全性 ............................................................................................................................................ 54

分析服务 .............................................................................................................................................................................. 55

Amazon Elastic MapReduce (Amazon EMR) 安全性 .................................................................................................... 55

Amazon Kinesis 安全性 .................................................................................................................................................. 56

AWS Data Pipeline 安全性 ............................................................................................................................................. 56

部署和管理服务 .................................................................................................................................................................. 57

AWS Identity and Access Management (AWS IAM) ..................................................................................................... 57

Amazon CloudWatch 安全性 .......................................................................................................................................... 58

AWS CloudHSM 安全性 ................................................................................................................................................ 59

AWS CloudTrail 安全性 ................................................................................................................................................. 60

移动服务 .............................................................................................................................................................................. 60

Amazon Cognito .............................................................................................................................................................. 60 Amazon Mobile Analytics ............................................................................................................................................... 62

应用程序 .............................................................................................................................................................................. 62

Amazon WorkSpaces ....................................................................................................................................................... 62 Amazon WorkDocs .......................................................................................................................................................... 63

附录 — 术语表 ........................................................................................................................................................................ 65

上一版本（2014 年 11 月）之后的变更： ....................................................................................................................... 72


第 5 页，共 74 页

简介 Amazon Web Services (AWS) 推出了一个具有高可用性和可靠性的可扩展云计算平台，为客户提供运行各种应

用程序的工具。帮助保护客户系统和数据的机密性、完整性和可用性对 AWS 而言至关重要，同时也维持了客

户的信任和自信。本文档旨在解答“AWS 如何帮助我保护数据”等问题。具体而言，描述了针对 AWS 管理下

的网络和服务器基础设施以及特定于服务的安全性实现的 AWS 物理及运行安全过程。

安全责任共担模型在我们详细探讨 AWS 如何保护其资源之前，我们应讨论云中的安全性与您的本地数据中心的安全性之间存在

哪些细微差异。在您将计算机系统和数据移至云后，将由您和您的云服务提供商共担安全责任。在此情况下，

AWS 负责保护支持云的底层基础设施，而您负责您放置到云上或连接到云的任何内容。此责任共担安全模式可

通过多种方式减轻您的运营负担，在某些情况下，甚至可改善您的默认安全状况，而无需您执行其他操作。

图 1：AWS 安全责任共担模型

您必须进行的安全配置工作量不定，这取决于您选择的服务以及数据的敏感程度。但是有一些安全功能 — 例如个人用户账户和凭证、数据传输 SSL/TLS 和用户活动日志记录，还是需要您进行配置，无论您使用何种 AWS 服务。有关这些安全功能的更多信息，请参阅下面的“AWS 账户安全功能”部分。


第 6 页，共 74 页

AWS 安全责任

Amazon Web Services 负责保护运行 AWS 云中提供的所有服务的全球基础设施。此基础设施由硬件、软件、网

络和运行 AWS 服务的设施组成。保护此基础设施是 AWS 的头等任务，虽然您无法访问我们的数据中心或办

事处来直接查看此保护，但我们会提供由第三方审计员在验证我们对大量计算机安全标准和法规的遵从性后出

具的多个报告（有关更多信息，请访问 aws.amazon.com/compliance）。请注意，除了保护此全球基础设施之外，AWS 还负责其视为托管服务的产品的安全配置。这些类型的服务的示

例包括 Amazon DynamoDB、Amazon RDS、Amazon Redshift、Amazon Elastic MapReduce、Amazon WorkSpaces 和多种其他服务。这些服务提供了基于云的资源的可扩展性和灵活性以及托管的其他好处。对于这些服务，

AWS 将处理来宾操作系统 (OS) 和数据库修补、防火墙配置以及灾难恢复等基本安全任务。对于其中的大多数

托管服务，您只需配置资源的逻辑访问控制并保护您的账户凭证。有几个托管服务可能需要执行其他任务，例

如，设置数据库用户账户，但整体安全配置工作由服务执行。客户安全责任

利用 AWS 云，您可在几分钟（而不是几周）内预置虚拟服务器、存储、数据库和桌面。您还可使用基于云的

分析和工作流工具来按需处理您的数据，然后将数据存储在自己的数据中心或云中。您使用的 AWS 服务将确

定在您的安全责任中您必须执行多少配置工作。分为易于理解的基础设施即服务 (IaaS) 类别的 AWS 产品（例如，Amazon EC2、Amazon VPC 和 Amazon S3）完全由您控制，并且需要您执行所有必需的安全配置和管理任务。例如，对于 EC2 实例，您负责管理来宾操

作系统（包括更新和安全补丁）、实例上安装的任何应用程序软件或实用程序以及每个实例上的 AWS 提供的

防火墙（称为“安全组”）的配置。无论您的服务器位于何处，这些基本上是您要执行的相同安全任务。

AWS 托管服务（如 Amazon RDS 或 Amazon Redshift）提供了您执行特定任务所需的所有资源 — 但不提供它

们可附带的配置工作。利用托管服务，您不必担心启动和维护实例、修补来宾操作系统或数据库或者复制数据

库 — AWS 将为您处理一切工作。不过，与所有服务一样，您应保护您的 AWS 账户凭证并使用 Amazon Identity and Access Management (IAM) 设置个人用户账户，以便您的所有用户都具有其自己的凭证并且您可实

现职责划分。我们还建议对每个账户使用多重验证 (MFA)，这需要使用 SSL/TLS 来与您的 AWS 资源通信，并

使用 AWS CloudTrail 设置 API/用户活动日志记录。有关您可采取的其他措施的更多信息，请参阅“AWS 安全

最佳实践”白皮书和 AWS 安全资源网页上的推荐阅读内容。

http://media.amazonwebservices.com/AWS_Security_Best_Practices.pdf



http://aws.amazon.com/security/security-resources.html/


第 7 页，共 74 页

AWS 全球基础设施安全 AWS 运营用于预置各种基本计算资源（如处理和存储）的全球云基础设施。AWS 全球基础设施包括设施、网

络、硬件和支持这些资源的预置和使用的运营软件（例如，主机操作系统、虚拟化软件等）。AWS 全球基础

设施是根据安全最佳实践以及各种安全合规性标准进行设计和管理的。作为 AWS 客户，您可以确定的是，您

将在全球最安全的计算基础设施上构建 Web 架构。

AWS 合规性计划

Amazon Web Services 合规性帮助客户理解 AWS 用以维持云中的安全和数据保护的可靠控制。由于系统构建于 AWS 云基础设施上，因此将共担合规性责任。通过将侧重于监管的、支持审核的服务功能与适用的合规性或

审核标准结合使用，AWS 合规性促成者能够基于传统计划进行构建；帮助客户建立 AWS 安全控制环境并在该

环境中运营。AWS 向客户提供的 IT 基础设施是根据安全最佳实践和各种 IT 安全标准设计和管理的，包括：

• SOC 1/SSAE 16/ISAE 3402（前身为 SAS 70）

• SOC 2

• SOC 3

• FISMA、DIACAP 和 FedRAMP

• DOD CSM 1-5 级

• PCI DSS 第 1 级

ISO 9001/ISO 27001

• ITAR

FIPS 140-2

• MTCS 第 3 级

此外，AWS 平台提供的灵活性和控制允许客户部署符合多种行业特定标准的解决方案，包括：

• 刑事司法信息服务 (CJIS)

• 云安全联盟 (CSA)

• 家庭教育权利和隐私法 (FERPA)

• 健康保险可携与责任法 (HIPAA)

• 美国电影协会 (MPAA)

AWS 通过白皮书、报告、认证、鉴定和其他第三方认证，向客户提供了有关 IT 控制环境的各种信息。网站 http://aws.amazon.com/compliance/ 上的“风险与合规性”白皮书中提供了更多信息。

https://aws.amazon.com/what-is-cloud-computing/

https://aws.amazon.com/compliance/shared-responsibility-model/

https://aws.amazon.com/compliance/compliance-enablers/

http://aws.amazon.com/compliance/


第 8 页，共 74 页

物理和环境安全

AWS 的数据中心是最先进的，利用创新的架构和工程方法。Amazon 在设计、构建和运营大规模数据中心方面

积累了多年的经验。这些经验已运用到 AWS 平台和基础设施中。AWS 数据中心安置在普通设施之中。专业的

安保人员会利用视频监控、入侵检测系统和其他电子方式严格控制对界限和大楼入口的物理访问。授权员工必

须经过至少两次双重身份验证才能进入数据中心层。所有访客和承包商都要求出示身份证明并签名登记方可进

入，并由授权人员全程陪同。

AWS 仅向具有此类权限的合法业务需求的员工和承包商提供数据中心访问权限和信息。当某位员工不再具有

针对这些特权的业务需求时，其访问权限将被立即撤销，即使此员工仍是 Amazon 或 Amazon Web Services 的员工。AWS 员工对数据中心进行的所有物理访问都会被记录，并受到例行审核。

火灾探测及扑救已安装了自动火灾探测及扑救设备，以减少风险。火灾探测系统利用所有数据中心环境中的烟雾探测传感

器、机械和电气基础设施空间、冷藏室及发电设备室。这些区域受到湿式、双重联锁预动式或气体式喷洒系

统的保护。电力数据中心的电源系统被设计为充分冗余且可维护，能够每天二十四小时、每周七天运行而不受任何影响。不间

断电源系统 (UPS) 单元在出现电气故障时为设施内的关键及基本负载提供备用电源。数据中心使用发电机为整

个设施提供备用电源。气候与温度需要进行温度控制，使服务器和其他硬件维持在一个恒定的工作温度，以防止过热并降低服务中断的可能性。

数据中心配有空调，将气候条件维持在最佳水平。人员和系统监测温度和湿度并将它们控制在合适的水平。管理 AWS 监控电气、机械及生命保障系统及设备，以便立即确认任何问题。进行预防性维护，以维持设备的持续

运行性。存储设备的退役当某个存储设备已达到其使用寿命的最后时期时，AWS 程序中包括的退役流程可防止客户数据暴露给未授权

的个人。作为退役流程的一部分，AWS 会使用 DoD 5220.22-M（“National Industrial Security Program Operating Manual，《国家工业安全计划操作手册》”）或 NIST 800-88（“Guidelines for Media Sanitization，《存储介质

清理指南》”）中详细描述的技术来销毁数据。将根据行业标准实践对所有退役的磁性存储设备进行消磁和物

理销毁。


第 9 页，共 74 页

业务连续性管理

Amazon 的基础设施具有很高的可用性水平，并向客户提供部署弹性 IT 体系结构的功能。AWS 设计的系统能够

容忍系统或硬件故障，并且对客户造成的影响极小。AWS 的数据中心业务连续性管理由 Amazon 基础设施团队

指导。可用性数据中心在全球各个地区组成集群。所有数据中心都是在线的，用来为客户提供服务；任何数据中心都不是

“孤立的”。当发生故障时，自动化流程会将客户数据流量移出受影响的区域。核心应用程序以 N+1 的配置进

行部署，在出现数据中心故障时，将有足够的容量使流量能够均衡加载至其余站点。

AWS 为您提供在多个地理区域内以及在每个地理区域的多个可用区中放置实例和存储数据的灵活性。每个可

用区均设计为独立的故障区域。这意味着可用区被物理分隔在一个典型的大城市区域内，并位于较低风险的冲

击平原中（特定的洪水区分类随地区不同而不同）。除了离散分布的不间断电源 (UPS) 和现场备用发电设施，

它们通过来自独立公用事业公司的不同电网供以电力，进一步减少了单点故障。可用区以冗余方式连接至多个

第 1 层中转供应商。您应设计您的 AWS 使用方式，以利用多个区域和可用区。将应用程序分布在多个可用区提供了保持弹性的能

力，足以应对包括自然灾害或系统故障在内的大多数故障模式。事件响应 Amazon 事件管理团队在出现影响业务的事件时会使用行业标准诊断程序来推进事件的解决。职员管理人提

供全天候服务来检测事故并管理影响和解决方案。公司范围内的行政审查 Amazon 的内部稽查组最近审查了 AWS 服务弹性计划，高级行政管理团队及董事会稽查委员会的成员也定期

审查了此计划。通信 AWS 在全球范围内使用各种内部通信方法，帮助员工了解他们各自的任务和责任，并及时传达重大事件。这些

方法包括对新员工进行的引导及培训计划；有关业绩更新及其他事项的常规管理会议；视频会议、电子邮件、

通过 Amazon 企业内部网发布信息等电子手段。

AWS 还使用各种对外传播方法支持它的客户群和社区。通过相应机制，客户支持团队能够获悉影响客户体验

的运行问题。“服务运行状况仪表板”可供客户支持团队使用并维护，以便让客户对任何可能具有广泛影响的

问题保持警觉。“AWS 安全中心”可用于为您提供有关 AWS 的安全和合规性详细信息。您也可订阅 AWS Support 服务，它包括与客户支持团队进行直接沟通以及对影响客户的问题进行主动式警报。

http://status.aws.amazon.com/

http://aws.amazon.com/security/


第 10 页，共 74 页

网络安全性

AWS 网络旨在允许您选择适合您工作负载的安全性和弹性级别。为了使您能够使用云资源构建地理分散的容

错 Web 架构，AWS 实施了精心监控和管理的一流网络基础设施。保护网络架构网络设备，包括防火墙和其他边界设备，用于监控和控制网络外边界和网络内主要内边界的通信。这些边界设

备采用规则集、访问控制列表 (ACL) 和配置来强制信息流向特定的信息系统服务。

ACL 或流量策略基于每个托管接口建立，可用于管理和强制流量。ACL 策略由 Amazon 信息安全部门审核。

这些策略是使用 AWS 的 ACL 管理工具自动推送的，可帮助确保这些托管接口强制实施最新的 ACL。安全接入点 AWS 战略性地安排了数量有限的云接入点，以允许更全面地监控入站和出站通信以及网络流量。这些客户接入

点称为“API 终端节点”，它们允许安全 HTTP 访问 (HTTPS)，这可让您与 AWS 中的存储或计算实例建立安全

通信会话。为支持具有 FIPS 加密要求的客户，AWS GovCloud (US) 中的 SSL 终端负载均衡器符合 FIPS 140-2。此外，AWS 已实施旨在管理与 Internet 服务提供商 (ISP) 的接口通信的网络设备。AWS 使用与 AWS 网络的每

个面向 Internet 的边缘上的多个通信服务的冗余连接。这些连接均具有专用网络设备。传输保护您可使用安全套接字层 (SSL)（一种旨在防止窃取、篡改和消息伪造的加密协议）通过 HTTP 或 HTTPS 连接到 AWS 接入点。

对于需要更高网络安全性的客户而言，AWS 提供了 Amazon Virtual Private Cloud (VPC)，后者可在 AWS 云内

部提供私有子网，并能使用 IPsec Virtual Private Network (VPN) 设备在 Amazon VPC 与您的数据中心之间提供

加密隧道。有关 VPC 配置选项的更多信息，请参阅下面的 Amazon Virtual Private Cloud (Amazon VPC) 安全性

部分。

Amazon Corporate 分离逻辑上，AWS Production 网络与 Amazon Corporate 网络通过一组复杂的网络安全/分离设备来分离。企业网络上

的为了维护 AWS 云组件而需要这些组件的访问权的 AWS 开发人员和管理员必须通过 AWS 票务系统显式请求

访问权限。所有请求都由相应的服务所有者进行查看和审批。已批准的 AWS 人员随后可通过防御主机连接到 AWS 网络，该主机将限制对网络设备和其他云组件的访问，

并记录所有活动以供安全审查。需要防御主机上的所有用户账户的 SSH 公钥身份验证才能访问防御主机。有关 AWS 开发人员和管理员逻辑访问的更多信息，请参阅下面的 AWS 访问。


第 11 页，共 74 页

容错能力设计 Amazon 的基础设施具有很高的可用性水平，并向您提供部署弹性 IT 架构的功能。AWS 设计的系统能够容忍

系统或硬件故障，并且对客户造成的影响极小。数据中心在全球多个地区组成集群。所有数据中心都是在线的，用来为客户提供服务；任何数据中心都不是

“孤立的”。当发生故障时，自动化流程会将客户数据流量移出受影响的区域。核心应用程序以 N+1 的配置进

行部署，在出现数据中心故障时，将有足够的容量使流量能够均衡加载至其余站点。

AWS 为您提供在多个地理区域内以及在每个地理区域的多个可用区中放置实例和存储数据的灵活性。每个

可用区均设计为独立的故障区域。这意味着可用区被物理分隔在一个典型的大城市区域内，并位于较低风险

的冲击平原中（特定的洪水区分类随地区不同而不同）。除了利用离散分布的不间断电源 (UPS) 和现场备用

发电机，它们还通过来自独立公用事业公司的不同电网供电，进一步减少了单点故障。可用区以冗余方式连

接至多个第 1 层中转供应商。您应设计您的 AWS 使用方式，以利用多个区域和可用区。将应用程序分布在多个可用区提供了保持弹性的能

力，足以应对包括自然灾害或系统故障在内的大多数故障方案。但是，您应了解依赖于位置的隐私与合规性要

求，例如欧洲数据隐私指令。除非客户主动为之，数据不在区域之间复制，因此允许具有这些类型数据放置和

隐私要求的客户建立合规的环境。应指出区域之间的所有通信都跨公共 Internet 基础设施传输；因此，应使用

合适的加密方法来保护敏感数据。截至写作本文时，共有十一个区域：美国东部（弗吉尼亚北部）、美国西部（俄勒冈）、美国西部（加利福尼

亚北部）、AWS GovCloud（美国）、欧洲（爱尔兰）、欧洲（法兰克福）、亚太区域（新加坡）、亚太区域

（东京）、亚太区域（悉尼）、南美洲（圣保罗）和中国（北京）。

AWS GovCloud（美国）是隔离的 AWS 地区，旨在通过帮助美国政府机构和客户满足特定的法规和合规性要求

来允许他们将工作负载移至云中。AWS GovCloud（美国）框架允许美国政府机构及其承包商遵守美国国际武器

贸易条例 (ITAR) 以及联邦风险与授权管理项目 (FedRAMP) 的要求。AWS GovCloud（美国）已收到来自美国卫

生部 (HHS) 的运营代理权 (ATO)，可将 FedRAMP 认可的第三方评估组织 (3PAO) 用于多种 AWS 服务。

AWS GovCloud（美国）区域提供的容错能力设计与其他区域相同，具有两个可用区。此外，AWS GovCloud（美国）区域默认情况下是必需的 AWS Virtual Private Cloud (VPC) 服务，用于创建隔离的 AWS 云部分并启动

具有私有 (RFC 1918) 地址的 EC2 实例。可在 AWS 网站上找到有关 GovCloud 的更多信息： http://aws.amazon.com/govcloud-us/

http://aws.amazon.com/govcloud-us/


第 12 页，共 74 页

图 2：区域和可用区

请注意，可用区的数量会存在差异。

网络监控和保护 AWS 利用广泛的自动化监控系统提供高级别的服务性能和可用性。AWS 监控工具设计用于在入站通信点和出站

通信点上检测异常的或者未经授权的活动和状况。这些工具会监控服务器以及网络的使用情况、端口扫描活

动、应用程序使用情况和未经授权的入侵尝试。这些工具能够设置异常活动的自定义性能指标阈值。

AWS 内的系统拥有齐全的检测功能，以监控关键的运行度量。配置了警报，以便在超出关键运行度量的早期

报警阈值时自动告知运营和管理人员。使用一个随时待命方案，因此始终有人对运行问题做出响应。此方案包

括一个寻呼系统，因此警报能够迅速可靠地传递至运行人员。维护文档，以辅助并通知运行人员处理事件或问题。如果需要合作解决问题，则使用一个支持通讯和日志功能

的会议系统。在处理需要合作的运行问题时，受过培训的呼叫主管促进了通讯和进展。不管有无外部影响，在

出现任何重大运行问题后进行事后总结并起草错误原因 (COE) 文件，这样就抓住了根本原因，并在日后采取预

防措施。通过每周运行会议追踪预防性措施的实施。


第 13 页，共 74 页

AWS 安全监控工具可识别出几种类型的拒绝服务 (DoS) 攻击，包括分布式、泛滥型软件/逻辑攻击。当识别出 DoS 攻击时，会启动 AWS 事件响应流程。除了 DoS 防御工具之外，每个区域的冗余电信提供商以及额外的容

量可抵御可能受到的 DoS 攻击。

AWS 网络提供强大的保护功能，以应对传统网络安全性问题，而且您还能实施进一步的保护。以下是一些

例子：

• 分布式拒绝服务 (DDoS) 攻击。AWS API 终端节点承载在 Internet 范围内的大型世界级基础设施上，使

这些基础设施受益的工程专业人士正是已将 Amazon 建成世界最大网上零售商的工程专业人士。使用专

有 DDoS 缓解技术。此外，AWS 的网络是跨多个供应商的多宿主网络，可实现 Internet 访问的多样性。

• 中间人 (MITM) 攻击。所有的 AWS API 均可通过 SSL 保护的终端节点访问，它们可提供服务器身份验

证。Amazon EC2 AMI 在首次启动时自动生成新的 SSH 主机证书，并将证书记录至实例控制台。然后，

您可以使用安全 API 来调用控制台，并在首次登录该实例之前访问主机证书。我们鼓励您使用 SSL 与 AWS 进行所有交互。

• IP 电子欺骗。Amazon EC2 实例无法发送欺诈的网络流量。AWS 控制的基于主机的防火墙基础设施不

允许实例用非自有源 IP 或 MAC 地址发送流量。

• 端口扫描。Amazon EC2 客户未经授权的端口扫描将违反 AWS 的可接受使用策略。严肃处理对 AWS 可接受使用策略的违反并调查每例违反报告。客户可通过我们网站上的联系人报告涉嫌滥用的情况，网址

为：http://aws.amazon.com/contact-us/report-abuse/。当 AWS 检测到未经授权的端口扫描时，扫描将被阻止

并被阻断。对 Amazon EC2 实例的端口扫描通常是无效的，因为在默认情况下，Amazon EC2 实例上的所

有入站端口是关闭的且只能由您打开。您对安全组的严格管理能进一步缓解端口扫描的威胁。如果您对

安全组进行配置，让来自任何源的流量进入某个特定端口，那么此特定端口将容易遭受端口扫描。在这

些情况下，您必须使用合适的安全措施来保护他们的收听服务，对于防止未经授权的端口扫描发现他们

的应用程序，收听业务可能是必不可少的。例如，某个 Web 服务器必须使端口 80 (HTTP) 对外开放，此

服务器的管理员负责 HTTP 服务器软件的安全，如 Apache。您可根据需要请求执行漏洞扫描的权限，以

满足特定的合规性要求。这些扫描必须限于您自己的实例，并且不得违反 AWS 的可接受使用策略。通过

网站 https://aws-portal.amazon.com/gp/aws/html-forms-controller/contactus/AWSSecurityPenTestRequest 提交请

求，可征求对这些类型的扫描的高级批准。

• 其他租户的数据包探查。以混杂模式运行的某个虚拟实例无法接收或“探查”旨在供其他虚拟实例使用

的流量。虽然您可将接口置于混杂模式下，但虚拟机监控程序不会将任何不以这些接口为发送目标的流

量发送给这些接口。即使两个虚拟实例由位于同一物理主机上的相同客户拥有，它们也不能相互侦听流

量。诸如 ARP 缓存中毒之类的攻击在 Amazon EC2 和 Amazon VPC 内无效。尽管 Amazon EC2 的确提

供了丰富的保护手段来防止某个客户无意识地或恶意地企图窥视另一个客户的数据，但作为标准惯例，

您应该对敏感的流量进行加密。

http://aws.amazon.com/contact-us/report-abuse/

https://aws-portal.amazon.com/gp/aws/html-forms-controller/contactus/AWSSecurityPenTestRequest

https://aws-portal.amazon.com/gp/aws/html-forms-controller/contactus/AWSSecurityPenTestRequest


第 14 页，共 74 页

除监控之外，会使用各种工具对 AWS 环境中的主机操作系统、Web 应用程序和数据库定期执行漏洞扫描。此

外，AWS 安全团队订阅了有关适用的供应商缺陷的新闻源，并主动监控供应商网站和其他相关站点以获得新的

补丁。AWS 客户还可以通过 AWS 漏洞报告网站向 AWS 报告问题，网址为： http://aws.amazon.com/security/vulnerability-reporting/

AWS 访问

AWS Production 网络与 Amazon Corporate 网络分离，需要一组独立的逻辑访问凭证。Amazon Corporate 网络依

赖用户 ID、密码和 Kerberos，而 AWS Production 网络需要通过防御主机进行的 SSH 公钥身份验证。

Amazon Corporate 网络上需要访问 AWS 云组件的 AWS 开发人员和管理员必须通过 AWS 访问管理系统显式请

求访问权限。所有请求都由相应的所有者或经理进行查看和审批。账户审查和审批每隔 90 天对账户进行审查；要求经过明确的再次批准，否则自动撤销对资源的访问权。当 Amazon 人力资源系

统终止员工的记录时，系统也会自动撤销访问权限。Windows 和 UNIX 账户将被禁用，并且 Amazon 的权限管

理系统将从所有系统中移除该用户。

Amazon 权限管理工具审核日志将捕获访问期间的更改请求。当员工的工作职能发生变化时，必须明确批准资

源的继续访问权限，否则将被自动撤销。背景调查 AWS 制定了正式策略和程序，描述对 AWS 平台和基础设施主机进行逻辑访问的最低标准。AWS 在雇佣员工

前，会根据员工职位和访问权限级别，对候选人进行筛选，而在该筛选流程中，AWS 会依据相应法律进行犯

罪背景调查。这些政策还确认了对逻辑访问及安全性进行管理的职责。凭证策略 AWS 安全团队已建立了一个具有必要配置和过期间隔的凭证策略。密码必须符合复杂性要求并强制每 90 天更

改一次。安全设计原则

AWS 的开发过程遵循安全软件开发最佳实践，其中包括 AWS 安全团队进行的正式设计复查、威胁建模及风

险评估的完成。静态代码分析工具作为标准构建过程的一部分而运行，且所有部署的软件都由谨慎挑选的行

业专家反复进行渗透测试。我们的安全风险评估复查在设计阶段开始，并贯穿于从发布到正在进行的操作的

整个过程。

http://aws.amazon.com/security/vulnerability-reporting/


第 15 页，共 74 页

变更管理

依据类似系统的行业规范，对现有 AWS 基础设施的例行、紧急及配置更改进行授权、日志记录、测试、审批

并存档。在最大程度减少对客户及对客户使用服务的影响的前提下，对 AWS 基础设施进行更新。当服务的使

用可能受到不利影响时，AWS 将通过电子邮件或 AWS 服务运行状况仪表板 (http://status.aws.amazon.com/) 与客

户进行沟通。软件 AWS 运用系统的方法来管理变更，因此，对于影响客户服务的变更，将进行全面的审查、测试、批准及妥善

沟通。AWS 的变更管理过程旨在避免非故意的服务中断并维护面向客户的服务的完整性。部署在生产环境中

的更改为：

• 审查：需要对更改的技术方面进行同行互查。

• 测试：对所应用的更改进行测试，以帮助确保它们符合预期要求，不会影响性能。

• 审批：所有更改都必须获得授权，以便适当地监督并了解业务影响。

通常从受影响最小的区域开始，分阶段地部署变更。在单个系统上对部署进行测试，并进行密切监控，以便评

估影响。服务所有者有很多可配置的度量，可测量服务的上游依赖性情况。用合适的阈值和报警对这些度量进

行密切监控。回滚程序记录在变更管理 (CM) 票证中。如果可能，在常规变更时段期间安排变更。对需要偏离标准变更管理程序的生产系统的紧急变更要与某个事件

相关联并进行合理验收。

AWS 会定期审查关键服务的变更，以监控质量、维持高标准并促进变更管理过程的持续完善。分析任何例外

情形以确定根本原因，并采取合理的措施使变更合乎要求，或在必要时转返变更。采取措施，解决并纠正过程

或人的问题。基础设施 Amazon 的公司应用程序团队开发并管理软件，为第三方软件交付领域中的 UNIX/Linux 主机、内部开发的软件

及配置管理实现 IT 过程自动化。基础设施团队维护并运行一个 UNIX/Linux 配置框架，以解决硬件的可扩展

性、可用性、审批及安全性管理。通过使用自动化过程来集中管理主机，Amazon 有能力达到它的高可用性、

可重复性、可扩展性、安全性及灾难恢复能力的目标。系统及网络工程师不断监控这些自动化工具的状态，审

查报告，对未能获得或更新其配置及软件的主机做出响应。

在预置新硬件时，将安装内部开发的配置管理软件。这些工具在所有 UNIX 主机上运行，以验证主机的配置和

软件的安装是否符合分配给主机的角色所确定的标准。此配置管理软件还有利于对已经安装在主机上的程序包

进行定期更新。仅通过权限服务启用的认可人员可登录中央配置管理服务器。

http://status.aws.amazon.com/


第 16 页，共 74 页

AWS 账户安全功能 AWS 提供了各种工具和功能，可供您用来阻止 AWS 账户和资源在未经授权的情况下被使用。这包括用于访问

控制的凭证、用于加密数据传输的 HTTPS 终端节点、单独 IAM 用户账户的创建、用于安全监控的用户活动日

志记录和 Trusted Advisor 安全检查。无论您选择哪种 AWS 服务，都可利用所有安全工具。

AWS 凭证

为帮助确保仅授权用户和过程访问您的 AWS 账户和资源，AWS 使用多种凭证进行身份验证。这些凭证包括密

码、加密密钥、数字签名和证书。我们还提供了需要多重验证 (MFA) 才能登录 AWS 账户或 IAM 用户账户的

选项。下表重点介绍了各种 AWS 凭证及其使用。

凭证类型使用描述

密码 AWS 管理控制台的 AWS 根账户或 IAM 用户账户登录

信息

用于登录 AWS 账户或 IAM 账户的字符串。

AWS 密码的长度必须最少为 6 个字符且最多 128 个字符。

Multi-Factor Authentication (MFA)

AWS 管理控制台的 AWS 根账户或 IAM 用户账户登录

信息

除了密码之外，登录 AWS 账户或 IAM 用户账户

需要 6 位数一次性代码。

访问密钥对 AWS API 的数字签名请求

（使用 AWS 软件开发工具

包、CLI 或 REST/查询 API）

包括访问密钥 ID 和秘密访问密钥。使用访问

密钥对您向 AWS 发出的编程请求进行数字

签名。

密钥对 • EC2 实例的 SSH 登录

• CloudFront 签名的 URL

需要密钥对才能连接到从公用 AMI 启动的 EC2 实例。Amazon EC2 使用的密钥为 1024 位 SSH-2 RSA 密钥。启动实例时系统将自动为您生成密钥

对，也可上传您自己的密钥对。

X.509 证书 • 对 AWS API 发出的数字

签名的 SOAP 请求

• HTTPS 的 SSL 服务器

证书

X.509 证书只用于对基于 SOAP 的请求进行签名

（当前仅用于 Amazon S3）。您可让 AWS 创建您

可下载的 X.509 证书和私钥，也可以使用“安全

凭证”页上传您自己的证书。

您随时可从“安全凭证”页下载账户的凭证报告。此报告列出了您账户的所有用户及其凭证的状态 — 用户是

否使用密码，其密码是否过期且必须定期更改，他们上次更改密码的时间、他们上次轮换访问密钥的时间以及

他们是否启用了 MFA。出于安全考虑，如果您丢失或忘记了凭证，则无法恢复或重新下载它们。但是，您可以创建新的凭证，然后禁

用或删除原有的一组凭证。


第 17 页，共 74 页

实际上，AWS 建议您定期更改（轮换）访问密钥和证书。为了避免这一操作对应用程序的可用性造成任何潜

在影响，AWS 支持多个并存访问密钥和证书。凭借这一功能，您可以定期将密钥和证书轮替投入或撤消使

用，而且您的应用程序不会停机。这有助于减轻丢失或泄露访问密钥或证书的风险。利用 AWS IAM API，您

能够轮换 AWS 账户以及 IAM 用户账户的访问密钥。密码需要密码才能访问 AWS 账户、个人 IAM 用户账户、AWS 开发论坛和 AWS Support 中心。您在首次创建账户

时指定密码，然后可通过转至“安全凭证”页随时更改密码。AWS 密码的长度最多为 128 个字符且可包含特

殊字符，建议您创建不容易被猜出的强密码。您可为 IAM 用户账户设置密码策略以确保使用强密码并定期更改密码。密码策略是一组规则，定义 IAM 用户

可以设置的密码类型。有关密码策略的更多信息，请转至“使用 IAM”中的管理密码。

AWS Multi-Factor Authentication (AWS MFA) AWS Multi-Factor Authentication (AWS MFA) 增加了访问 AWS 服务的安全性。当您启用此项可选功能时，在授

予对 AWS 账户设置或 AWS 服务和资源的访问权之前，除了您的标准用户名和密码凭证之外，您还需要提供一

个六位数的一次性代码。您从物理拥有的身份验证设备中获取此一次性代码。这称为多重验证，因为系统在授

予访问权之前需要检查多个身份验证要素：密码（您知道的）和身份验证设备中的精确代码（您拥有的）。您

可以为您的 AWS 账户以及您使用 AWS IAM 在 AWS 账户下创建的用户启用 MFA 设备。此外，当您要允许在

一个 AWS 账户下创建的用户使用 IAM 角色访问另一个 AWS 账户下的资源时，为跨 AWS 账户的访问添加 MFA 保护。在将角色作为额外的安全层代入之前，您可要求用户使用 MFA。

AWS MFA 支持同时使用硬件令牌和虚拟 MFA 设备。虽然虚拟 MFA 设备使用的协议与物理 MFA 设备使用的

协议相同，但前者可在任何移动硬件设备（包括智能手机）上运行。虚拟 MFA 设备使用可生成六位数身份验

证代码的软件应用程序，这些代码符合基于时间的一次性密码 (TOTP) 标准，如 RFC 6238 中所述。大多数虚拟 MFA 应用程序还允许您托管多个虚拟 MFA 设备，这将使其比硬件 MFA 设备更加方便。不过，您应注意到，

由于虚拟 MFA 可以在安全性较差的设备上运行，例如智能手机，因此，虚拟 MFA 所具有的安全水平与硬件 MFA 设备有所差异。

此外，您也可对 AWS 服务 API 实施 MFA 身份验证，从而为重大操作或特权操作（例如，终止 Amazon EC2 实例或读取 Amazon S3 中存储的敏感数据）提供一层额外的保护。可通过向 IAM 访问策略添加 MFA 身份验

证要求来达到这一目的。您可将这些访问策略附加至 IAM 用户、IAM 群组或支持访问控制列表 (ACL) 的资源

（如 Amazon S3 存储桶、SQS 队列和 SNS 主题）。从参与的第三方提供商处获取硬件令牌或从 AppStore 获取虚拟 MFA 应用程序并通过 AWS 网站设置此应用程

序以供使用是非常轻松的。有关 AWS MFA 的更多信息，请参阅 AWS 网站：http://aws.amazon.com/mfa/

http://docs.aws.amazon.com/console/iam/password-policy

http://tools.ietf.org/html/rfc6238

http://aws.amazon.com/mfa/


第 18 页，共 74 页

访问密钥 AWS 要求对所有 API 请求进行签名，即它们必须包括可供 AWS 用来验证请求者身份的数字签名。您可使用加

密哈希函数计算数字签名。在此情况下，哈希函数的输入内容包括您的请求文本和秘密访问密钥。如果您使用

任一 AWS 软件开发工具包生成请求，则系统将为您执行数字签名计算；否则，您可遵循我们的文档中的指令操

作，让您的应用程序计算数字签名并将其包含在 REST 或 Query 请求中。

签名过程不仅通过防止请求在传输中被篡改来帮助保护消息的完整性，而且帮助抵御潜在的重播攻击。请求必

须在请求中 15 分钟的时间戳内到达 AWS。否则，AWS 将拒绝该请求。数字签名计算过程的最新版本为签名版本 4，该版本使用 HMAC-SHA256 协议计算签名。版本 4 要求您使用派

生自您的秘密访问密钥的密钥而不是使用秘密访问密钥本身来对消息进行签名，从而提供高于早期版本的额外

保护措施。此外，您可派生基于凭证范围的签名密钥，这有助于对签名密钥进行加密隔离。由于访问密钥一旦落入不法分子手中便可能被滥用，因此我们鼓励您将其保存在安全位置且不要将其嵌入代码

中。对于具有大量弹性缩放 EC2 实例的客户，使用 IAM 角色管理访问密钥的分配是更安全、更方便的做法。

IAM 角色提供临时凭证，这些凭证不仅会自动加载到目标实例中，而且一天中会自动轮换多次。密钥对从公用 AMI 创建的 Amazon EC2 实例使用公有/私有密钥对而不是密码以通过安全外壳 (SSH) 进行登录。公钥

将嵌入您的实例中，您可以使用私钥安全登录而无需使用密码。在您创建您自己的 AMI 后，您可以选择其他机

制安全登录到您的新实例。启动实例时系统将自动为您生成密钥对，也可上传您自己的密钥对。将私钥保存在系统上安全的位置，并记录

保存位置。对于 Amazon CloudFront，您可以使用密钥对为私有内容创建签名 URL（例如，当您要分配某人已付费的限制

内容时）。使用“安全凭证”页面创建 Amazon CloudFront 密钥对。CloudFront 密钥对只能通过根账户创建，

不能由 IAM 用户创建。

X.509 证书 X.509 证书用于对基于 SOAP 的请求进行签名。X.509 证书包含一个公钥和额外的元数据（如 AWS 会在您上

传证书时验证到期日期）并与一个私钥关联。在创建请求时，您使用私钥创建一个数字签名，然后将此签名与

证书一起包含在请求中。AWS 通过使用证书中的公钥对签名进行解密来验证您是否为发件人。AWS 还验证您

发送的证书是否与您上传到 AWS 的证书匹配。

http://docs.aws.amazon.com/AmazonS3/latest/dev/MakingAuthenticatedRequests.html

http://docs.aws.amazon.com/AmazonS3/latest/dev/MakingAuthenticatedRequests.html


第 19 页，共 74 页

对于 AWS 账户，您可让 AWS 创建您可下载的 X.509 证书和私钥，您也可以使用“安全凭证”页上传您自己的

证书。对于 IAM 用户，您必须使用第三方软件创建 X.509 证书（签名证书）。与根账户凭证相比，AWS 无法

为 IAM 用户创建 X.509 证书。在创建证书后，使用 IAM 将其附加到 IAM 用户。除了 SOAP 请求之外，X.509 证书还用作 SSL/TLS 服务器证书以便客户使用 HTTPS 加密其传输。要将这些证

书用于 HTTPS，您可使用开源工具（如 OpenSSL）创建唯一私钥。您需要此私钥才能创建证书签名请求 (CSR)，可将此请求提交到证书颁发机构 (CA) 来获取服务器证书。随后，您使用 AWS CLI 将证书、私钥和证

书链上传到 IAM。您还需要 X.509 证书才能为 EC2 实例创建自定义 Linux AMI。仅当创建实例支持的 AMI（而非 EBS 支持的 AMI）时才需要此证书。您可让 AWS 创建您可下载的 X.509 证书和私钥，也可以使用“安全凭证”页上传您自己的证

书。个人用户账户

AWS 提供了一个名为 AWS Identity and Access Management (IAM) 的集中机制以在 AWS 账户中创建和管理个

人用户。用户可以是以编程方式或通过 AWS 管理控制台或 AWS 命令行界面 (CLI) 与 AWS 资源交互的个人、

系统或应用程序。在 AWS 账户内，每个用户均有唯一的用户名和一组不得与其他用户共享的唯一安全凭证。

AWS IAM 消除了共享密码或密钥的需求，并使您能够最大程度地减少对 AWS 账户凭证的使用。借助 IAM，您可定义策略来控制您的用户可访问的 AWS 服务以及可使用该服务执行的操作。您可仅向用

户授予其执行工作所需的最低权限。有关更多信息，请参阅下面的 AWS Identity and Access Management (AWS IAM) 部分。

安全 HTTPS 接入点

为了提高访问 AWS 资源时的通信安全性，您应使用 HTTPS 而不是 HTTP 进行数据传输。HTTPS 使用 SSL/TLS 协议，该协议使用公钥加密以防止窃取、篡改和伪造。所有 AWS 服务都提供安全的客户接入点

（又称 API 终端节点），以允许您建立安全的 HTTPS 通信会话。此外，多种服务现在都提供更高级的密码套件，这些套件使用 Elliptic Curve Diffie-Hellman Ephemeral (ECDHE) 协议。ECDHE 允许 SSL/TLS 客户端提供完美前向保密，后者使用的会话密钥是临时的且不存储在任何位置。

这有助于防止未经授权的第三方对捕获的数据进行解码，即使加密长期密钥本身已泄露也是如此。安全日志

日志对出现问题后了解事件至关重要，如同凭证和加密终端节点对防止安全问题很重要一样。要与安全工具一

样高效，日志不仅必须包含事件和发生时间的列表，而且必须标识源。为帮助您进行事后调查和近实时入侵检

测，AWS CloudTrail 提供了面向账户内的 AWS 资源的所有请求的日志。对于每个事件，您可看到访问的服

务、执行的操作以及发出请求的人员。CloudTrail 捕获有关对您使用的所有 AWS 资源的每个 API 调用的信息，

包括登录事件。在您启用 CloudTrail 后，每 5 分钟交付一次事件日志。您可配置 CloudTrail，以便将多个区域中

的日志文件聚合到一个 Amazon S3 存储桶中。从存储桶中，您可将日志文件上传到喜欢的日志管理和分析解决

方案中，以执行安全分析和检测用户行为模式。默认情况下，日志文件将安全地存储在 Amazon S3 中，但您也

可将其存档到 Amazon Glacier 中以帮助满足审核和合规性要求。


第 20 页，共 74 页

在您启用 CloudTrail 后，每 5 分钟交付一次事件日志。您可配置 CloudTrail，以便将多个区域中的日志文件聚合

到一个 Amazon S3 存储桶中。从存储桶中，您可将日志文件上传到喜欢的日志管理和分析解决方案中，以执行

安全分析和检测用户行为模式。默认情况下，日志文件将安全地存储在 Amazon S3 中，但您也可将其存档到 Amazon Glacier 中以帮助满足审核和合规性要求。

除了 CloudTrail 的用户活动日志之外，您还可使用 Amazon CloudWatch Logs 功能近实时地从 EC2 实例和其他源

中收集和监控系统、应用程序和自定义日志文件。例如，您可监控 Web 服务器日志文件中的无效用户消息以检

测对您的来宾操作系统的未经授权的登录尝试。

AWS Trusted Advisor 安全检查

AWS Trusted Advisor 客户支持服务不仅监控云性能和弹性，还监控云安全性。Trusted Advisor 可检查您的 AWS 环境，并在有可能节省开支、提高系统性能或弥补安全漏洞时为您提供建议。它提供有关多项最常见安

全配置错误的预警，包括使特定端口保持开放状态从而导致您易受攻击和未经授权的访问、忘记为内部用户创

建 IAM 账户从而允许公众访问 Amazon S3 存储桶、未启用用户活动日志记录 (AWS CloudTrail) 或未在根 AWS 账户上使用 MFA。您还有一个选项，即让组织的安全联系人自动接收包含 Trusted Advisor 安全检查的更新状

态的每周电子邮件。

AWS Trusted Advisor 服务向所有用户免费提供四项检查，包括三项重要的安全检查：特定端口不受限、IAM 使用和根账户上的 MFA。当您注册企业级或大型企业级 AWS Support 时，将获得对所有 Trusted Advisor 检查

的完全访问权。

特定于 AWS 服务的安全性安全性不仅嵌入到 AWS 基础设施的每一层，而且嵌入到基础设施上提供的每个服务中。AWS 服务设计为可高

效而安全地在所有 AWS 网络和平台上运行。每个服务都提供了广泛的安全功能，可让您保护敏感数据和应用

程序。计算服务

Amazon Web Services 提供了大量基于云的计算服务，这些服务包括各种计算实例，这些实例可自动向上扩展

和向下扩展以满足应用程序或企业的需求。

Amazon Elastic Compute Cloud (Amazon EC2) 安全性 Amazon Elastic Compute Cloud (EC2) 是 Amazon 的基础设施即服务 (IaaS) 中的一个关键组件，它利用 AWS 数据中心中的服务器实例提供大小可调的计算容量。Amazon EC2 旨在通过让轻松获取和配置容量来简化 Web 规模的计算。您创建并启动作为平台硬件和软件集合的实例。

多级安全性 Amazon EC2 内的安全性分多个级别提供：主机平台的操作系统 (OS)、虚拟实例操作系统或来宾操作系统、防

火墙和签名 API 调用。其中每一项均建立在其他项的能力之上。目标是防止未经授权的系统或用户拦截 Amazon EC2 中包含的数据，以及在不牺牲客户所需配置的灵活性的情况下尽可能安全的 Amazon EC2 实例。


第 21 页，共 74 页

虚拟机监控程序 Amazon EC2 当前利用半虚拟化（在 Linux 来宾的情况下）使用高度自定义版本的 Xen 虚拟机监控程序。由于半

虚拟化的来宾依赖于虚拟机监控程序为通常需要特权访问的操作提供支持，来宾操作系统没有对 CPU 的已升级

访问权限。CPU 提供四种单独的特权模式：0-3，被称为环。环 0 具有最高特权，环 3 具有最低特权。主机操作

系统以环 0 运行。然而，并非像大多数操作系统那样以环 0 运行，来宾操作系统以较低特权的环 1 运行，而应

用程序则以最低特权的环 3 运行。这种明显的物理资源虚拟化导致来宾和虚拟机监控程序之间的明确分离，致

使这两者之间出现另外的安全分离。实例隔离在同一物理机器上运行的不同实例通过 Xen 虚拟机监控程序相互隔离。Amazon 是 Xen 社团的积极参与者，这

使其了解 Xen 的最近发展情况。此外，AWS 防火墙位于虚拟机监控程序层内，位于物理网络接口与实例的虚

拟接口之间。所有数据包都必须经过此层，因此与 Internet 上的任何其他主机相比，实例的邻居对该实例没有

更多访问权限，就好像它们位于不同的物理主机上。物理 RAM 采用类似的机制进行分离。客户实例对原始磁盘设备没有访问权限，但拥有虚拟化磁盘。AWS 专有磁盘虚拟化层自动复位客户所用的每

个存储块，因此一个客户的数据从不会无意地暴露给另一个客户。此外，当分配给来宾的内存未分配给某个来

宾时，虚拟机监控程序会将其擦除（设为零）。内存擦除完成之前，该内存不会返回到可用于新分配的可用内

存池。

AWS 建议客户使用合适的手段进一步保护他们的数据。一个常用的解决方案就是在虚拟硬盘设备之上运行

一个加密文件系统。


第 22 页，共 74 页

图 3：Amazon EC2 多级安全性

主机操作系统：具有需要访问管理层面的业务的管理者需要使用多重验证方可获得对因特定目的而建立的管理

主机的访问权。这些管理主机是专门设计、构建、配置并强化的系统，用于保护云的管理层面。所有此类访问

均需经过记录和审计。当某位员工不再具有某项需要访问管理层面的业务时，可能会取消其对这些主机和相关

系统的特权和访问权限。来宾操作系统：虚拟实例完全由您（即客户）控制。您拥有针对账户、服务和应用程序的完全根访问权限或管

理控制权。AWS 不具有对您的实例或来宾操作系统的任何访问权。AWS 推荐了一组基本的安全性最佳实践，

包括禁止仅使用密码访问您的来宾，并利用某种形式的多重验证来获得对您的实例的访问权（或最低限度使用

基于证书的 SSH 版本 2 访问权）。此外，对于每个用户的登录，您应使用一个特权升级机制。例如，如果来宾

操作系统是 Linux，那么在强化您的实例后，您应该使用基于证书的 SSHv2 来访问此虚拟实例，禁用远程根目

录登录，使用命令行日志记录并对特权升级使用“sudo”。您应生成您自己的密钥对，以保证他们的独特性，

并且不要与其他客户或 AWS 共享密钥对。

AWS 还支持使用安全外壳 (SSH) 网络协议，以使您能够安全登录到您的 UNIX/Linux EC2 实例。针对用于 AWS 的 SSH 的身份验证通过公有/私有密钥对来降低您的实例受到未经授权的访问的风险。您也可以利用为您

的实例生成的 RDP 证书，通过远程桌面协议 (RDP) 远程连接到您的 Windows 实例。您还可以控制对来宾操作系统的更新和修补，包括安全更新。Amazon 提供的基于 Windows 的 AMI 和基于 Linux 的 AMI 将定期通过最新补丁进行更新，因此，如果您不需要保留正在运行的 Amazon AMI 实例的数据或自定义

项，则只需使用最新的更新后的 AMI 重启新实例即可。此外，将通过 Amazon Linux yum 存储库提供对 Amazon Linux AMI 的更新。


第 23 页，共 74 页

防火墙：Amazon EC2 提供了一个完整的防火墙方案；此强制性入站防火墙的默认配置为拒绝全部模式，

Amazon EC2 客户必须明确地打开允许入站流量所需的端口。流量可能受到协议、服务端口以及源 IP 地址

（单个 IP 或无类别域间路由 (CIDR) 块）的限制。可以分组配置防火墙，允许不同类别的实例具有不同的规则。例如，考虑传统三层 Web 应用程序的情况。Web 服务器组具有对 Internet 开放的端口 80 (HTTP) 和/或端口 443 (HTTPS)。应用程序服务器组具有仅可由 Web 服务器组访问的端口 8000（特定于应用程序）。数据库服务器组具有仅对应用程序服务器组开放的端口 3306 (MySQL)。这三个组均允许端口 22 (SSH) 上的管理访问，但只能从客户的公司网络访问。可使用此表达机制来

部署高度安全的应用程序。见下图：

图 4：Amazon EC2 安全组防火墙

防火墙不是通过来宾操作系统控制的；相反，它需要您的 X.509 证书和密钥来授权更改，这样就又添加了一层

安全保护。AWS 具有授予对实例及防火墙上不同管理功能的粒度访问权的能力，因此使您能够通过职责分离来

实施额外的安全性。防火墙提供的安全级别是您开放的端口的函数，并与持续时间和目的有关。默认状态是拒

绝所有传入流量，在构建并保护应用程序时，您应仔细计划要开放的端口。仍然需要基于每个实例进行良好的

流量管理和安全设计。AWS 进一步鼓励您对基于主机的防火墙（例如 IPtables 或 Windows 防火墙和 VPN）另

外使用每个实例过滤器。这能限制入站流量和出站流量。

API 访问：启动并终止实例、改变防火墙参数及执行其他功能的 API 调用均通过您的 Amazon 秘密访问密钥进

行签名，此密钥可以是 AWS 账户秘密访问密钥，也可以是通过 AWS IAM 创建的用户的秘密访问密钥。如果

无法访问您的秘密访问密钥，则无法代表您实施 Amazon EC2 API 调用。此外，可使用 SSL 对 API 调用进行加

密，以保持机密性。Amazon 建议始终使用受 SSL 保护的 API 终端节点。权限：AWS IAM 还使您能够进一步控制用户具备调用哪些 API 的权限。


第 24 页，共 74 页

Elastic Block Storage (Amazon EBS) 安全性您可利用 Amazon Elastic Block Storage (EBS) 来创建容量为 1 GB 至 16 TB 的卷，然后通过 Amazon EC2 实例将

这些存储卷作为设备进行安装。存储卷如同原始、非格式化的块储存设备运作，支持用户提供的设备名称和块

储存设备接口。您可创建一个基于 Amazon EBS 卷的文件系统，也可按您使用块储存设备（如硬盘）的任何其

他方式来应用这些卷。Amazon EBS 卷访问被限制为创建卷的 AWS 账户以及 AWS 账户下的用 AWS IAM 创建

的用户（如果用户已被授予 EBS 操作的访问权），因此拒绝向所有其他 AWS 账户和用户提供查看或访问卷的

权限。存储在 Amazon EBS 卷中的数据会以冗余方式存储在多个物理位置，这是这些服务正常操作的一部分，无需任

何额外费用。然而，Amazon EBS 复制存储在同一可用区中，而不是在多个区域之间；因此，我们强烈建议您应

为 Amazon S3 拍摄定期快照以实现长期数据持久性。对于已用 EBS 构建复杂事务性数据库的客户，建议应通过

数据库管理系统对 Amazon S3 进行备份，这样就能对分布式事务及日志执行检查点操作。对于 Amazon EC2 上运行的实例所附带的虚拟磁盘上维护的数据，AWS 不进行备份。

您可以公开 Amazon EBS 卷快照以供其他 AWS 账户将其用作创建自己的快照的基础。共享 Amazon EBS 卷快

照并不为其他 AWS 账户提供更改或删除原始快照的权限，因为该权限是为创建该卷的 AWS 账户而明确保留

的。EBS 快照是整个 EBS 卷的数据块级别视图。请注意，通过卷上的文件系统看不到的数据，例如已经删除的

文件，可能仍存在于 EBS 快照中。如果您要创建共享快照，则应小心地创建。如果某个卷含有敏感数据或已从

卷上删除了文件，那么应创建一个新的 EBS 卷。应该将共享快照中要包含的数据复制到新卷以及用此新卷创建

的快照。

Amazon EBS 卷作为原始未格式化的块储存设备提供给您，在使它可供使用之前已经对它进行了擦除。重用

之前立即擦除，以便您可以确认完成擦除操作。如果您具有要求通过某个特定方法擦除所有数据的程序，例

如 DoD 5220.22-M（“国家行业安全程序操作手册”）或 NIST 800-88（“媒介卫生处理指南”）中详述的

程序，就有在 Amazon EBS 上执行此操作的能力。您在删除卷之前应该进行专门的擦除程序，以满足您已规

定的要求。敏感数据加密通常是一种不错的安全做法，并且 AWS 允许用户使用 AES-256 对 EBS 卷及其快照进行加密。加

密还发生在托管 EC2 实例的服务器上，当数据在 EC2 实例和 EBS 存储之间移动时提供数据加密。为了高效并

以较低延迟执行此操作，EBS 加密功能只在更强大的 EC2 实例类型（如 M3、C3、R3、G2）上可用。

Auto Scaling 的安全性 Auto Scaling 使您能够根据您定义的条件自动向上扩展或向下扩展您的 Amazon EC2 容量，因此您使用的 Amazon EC2 实例数在需求高峰期间能无缝地向上扩展以维持性能，在需求低谷期间可自动向下扩展以使成本

降到最低。


第 25 页，共 74 页

像所有 AWS 服务一样，Auto Scaling 要求应该验证向其控制 API 发出的每个请求，以便仅经过身份验证的用户

能够访问和管理 Auto Scaling。使用 HMAC-SHA1 签名对请求进行签名，HMAC-SHA1 签名由请求和用户私有

密钥计算得出。但对于大型或弹性扩展的机群来说，将凭证获取到使用 Auto- Scaling 启动的新 EC2 实例可能是

一项挑战。要简化此过程，您可以使用 IAM 中的角色，以便自动向使用角色启动的任何新实例提供凭证。当您

使用 IAM 角色启动 EC2 实例时，具有该角色指定的权限的临时 AWS 安全凭证将被安全地预置到该实例，并将

通过 Amazon EC2 实例元数据服务提供给您的应用程序。在当前的有效凭证过期之前，元数据服务将使新的临

时安全凭证可用，以便有效凭证始终对实例可用。此外，临时安全凭证每日会自动轮换多次以提高安全性。您

可通过在您的 AWS 账户下使用 AWS IAM 创建用户来进一步控制对 Auto Scaling 的访问，并控制这些用户具有

调用哪些 Auto Scaling API 的权限。在 AWS 网站上的“Amazon EC2 用户指南”中可找到有关在启动实例时使

用角色的更多信息：http://docs.amazonwebservices.com/AWSEC2/latest/UserGuide/UsingIAM

联网服务

Amazon Web Services 提供各种联网服务，以便您能够创建您定义的逻辑上隔离的网络，建立与 AWS 云的私有

网络连接，使用高度可用和可扩展的 DNS 服务，并借助内容分发 Web 服务在较低的延迟下以很快的数据传输速

度向您的最终用户提供内容。

Amazon Elastic Load Balancing 安全性 Amazon Elastic Load Balancing 用于管理 Amazon EC2 实例的队列上的流量，并将流量分配到一个区域中的所有

可用区之间的实例。Elastic Load Balancing 拥有本地负载均衡器的所有优势，同时还提供几项安全优势：

• 承担 Amazon EC2 实例的加密和解密工作，并能在负载均衡器上进行集中管理

• 为客户端提供单一接触点，还可以作为防御网络攻击的第一道防线

• 用于 Amazon VPC 时，支持创建和管理与 Elastic Load Balancing 相关联的安全组，以提供更多联网和安全选项

• 支持在使用安全 HTTP (HTTPS) 连接的网络上通过 TLS（之前为 SSL）进行端到端的流量加密。在使

用 TLS 时，用于终止客户端连接的 TLS 服务器证书可以在负载均衡器上进行集中管理，而不用再根

据每个应用程序实例管理证书。

HTTPS/TLS 使用长期私有密钥来生成用于在服务器和浏览器之间创建密码（加密）消息的短期会话密钥。

Amazon Elastic Load Balancing 使用预定义的密码集配置您的负载均衡器，这个密码集在客户端和您的负载均衡

器之间建立连接时用于 TLS 协商。预定义密码集可与广泛的客户端兼容，并使用强加密算法。不过，某些客户

可能需要仅允许来自客户端的特定密码和协议（例如 PCI、SOX 等）以确保符合标准。在这些情况下，Amazon Elastic Load Balancing 提供可供您选择不同 TLS 协议和密码配置的选项。您可以根据您的具体要求选择启用或禁

用密码。

http://docs.amazonwebservices.com/AWSEC2/latest/UserGuide/UsingIAM.html#UsingIAMrolesWithAmazonEC2Instances


第 26 页，共 74 页

为了帮助确保在建立安全连接时使用更新且更强的密码套件，您可以将负载均衡器配置为在客户端—服务器协

商期间具有密码套件选择的决定权。如果选择“服务器顺序首选项”选项，则负载均衡器将基于服务器的密码

套件优先级（而不是客户端的密码套件优先级）来选择密码套件。这使您能够更多地控制客户端用来连接到您

的负载均衡器的安全等级。为了提高通信的隐私性，Amazon Elastic Load Balancer 允许使用完美前向保密，它使用的会话密钥是临时的且不

存储在任何位置。这将防止对捕获的数据解码，即使加密长期密钥本身已经泄露也是如此。

Amazon Elastic Load Balancing 可让您标识连接到服务器的客户端的原始 IP 地址，无论您使用的是 HTTPS 还是 TCP 负载均衡。通常，通过负载均衡器代理请求时，客户端连接信息（例如 IP 地址和端口）将丢失。这是因为

负载均衡器代表客户端将请求发送到服务器，从而使您的负载均衡器看起来像是请求客户端。如果您需要有关

您的应用程序的访客的更多信息，以便收集连接统计数据、分析流量日志或管理 IP 地址白名单，那么获取原始

客户端 IP 地址会很有用。

Amazon Elastic Load Balancing 访问日志包含有关您的负载均衡器处理的每个 HTTP 和 TCP 请求的信息。这包括

请求客户端的 IP 地址和端口、处理请求的实例的后端 IP 地址、请求和响应的大小，以及客户端中的实际请求

行（例如，GET http://www.example.com: 80/HTTP/1.1）。将记录发送给负载均衡器的所有请求，包括从未到达

后端实例的请求。

Amazon Virtual Private Cloud (Amazon VPC) 安全性通常，您启动的每一个 Amazon EC2 实例都会随机分配一个 Amazon EC2 地址空间中的公共 IP 地址。Amazon VPC 使您能够创建隔离的 AWS 云部分并启动 Amazon EC2 实例，这些实例拥有您所选范围（例如 10.0.0.0/16）内的私有 (RFC 1918) 地址。您可以在您的 VPC 内部定义子网，并基于 IP 地址范围将类似的实例

分组，然后设置路由和安全性以控制流出和流入实例和子网的流量。

AWS 提供各种 VPC 架构模板，这些模板带有不同配置，可提供不同级别的公共访问：

• 仅带有单个公有子网的 VPC。您的实例在 AWS 云的专用隔离部分中运行，该部分可直接访问 Internet。可使用网络 ACL 和安全组提供对您实例的入站和出站网络流量的严格控制。

• 带有公有子网和私有子网的 VPC。除了包含公有子网之外，此配置还添加了一个私有子网，该子网的

实例无法从 Internet 寻址。私有子网中的实例可以使用网络地址转换（NAT）通过公有子网与 Internet 建立出站连接。

• 带有公有子网和私有子网以及硬件 VPN 访问的 VPC。此配置将在您的 Amazon VPC 和数据中心之间添

加一个 IPsec VPN 连接，可有效地将您的数据中心扩展到云中，同时为您的 Amazon VPC 中的公有子网

实例提供面向 Internet 的直接访问。在此配置中，客户将在其企业数据中心添加 VPN 设备。

• 仅带有私有子网和硬件 VPN 访问的 VPC。您的实例在 AWS 云的专用隔离部分中运行，该部分带有

一个私有子网，该子网的实例无法从 Internet 寻址。您可以通过 IPsec VPN 隧道将此私有子网连接到您

的企业数据中心。

http://www.example.com/


第 27 页，共 74 页

您也可以使用私有 IP 地址连接两个 VPC，这样一来，这两个 VPC 中的实例可以相互通信（如同它们处于同一

网络中）。您可以在您自己的 VPC 之间创建 VPC 对等连接，也可以在您自己的 VPC 与同一区域内其他 AWS 账户中的 VPC 之间进行创建。

Amazon VPC 内的安全功能包括安全组、网络 ACL、路由表和外部网关。这些项目的每一项都是对提供一个安

全的隔离网络的补充，此网络可通过选择性启用直接 Internet 访问或对另一网络的私有连接而进行延伸。在 Amazon VPC 内部运行的 Amazon EC2 实例将继承下面描述的与来宾操作系统和防止数据包探查相关的所有好

处。但请注意，您必须专门为 Amazon VPC 创建 VPC 安全组；您已创建的任何 Amazon EC2 安全组将无法在 Amazon VPC 中工作。此外，Amazon VPC 安全组具有 Amazon EC2 安全组所没有的其他功能，例如，能够在

实例启动后更改安全组，能够指定任何带标准协议编号的协议（而不仅仅是 TCP、UDP 或 ICMP）。在云中，每个 Amazon VPC 均为一个单独的隔离网络；每个 Amazon VPC 中的网络流量均与所有其他 Amazon VPC 隔离。在创建的时候，您为每个 Amazon VPC 选择一个 IP 地址范围。您可以根据下面的控件创建并附加 Internet 网关和/或虚拟专用网关以建立外部连接性。

API 访问：创建和删除 Amazon VPC、改变路由、安全组及网络 ACL 参数以及执行其他功能的调用均通过您

的 Amazon 秘密访问密钥来签名，此密钥可以是 AWS 账户秘密访问密钥，也可以是使用 AWS IAM 创建的用

户的秘密访问密钥。如果无法访问您的秘密访问密钥，则无法代表您进行 Amazon VPC API 调用。此外，可使

用 SSL 对 API 调用进行加密，以保持机密性。Amazon 建议始终使用受 SSL 保护的 API 终端节点。AWS IAM 还使客户能够进一步控制新建用户具备调用哪些 API 的权限。

子网和路由表：您在每个 Amazon VPC 内创建一个或多个子网；在 Amazon VPC 中启动的每个实例均连接至

一个子网。传统的第 2 层安全性攻击（包括 MAC 欺骗和 ARP 欺骗）被阻断。

Amazon VPC 中的每个子网均与一个路由表相关联，所有离开子网的网络流量由此路由表处理，以确定目

的地。防火墙（安全组）：和 Amazon EC2 一样，Amazon VPC 支持一个全面的防火墙解决方案，并启用对实例输入

流量和输出流量的过滤。默认组启用来自同一组其他成员的入站通讯及至任何目的地的出站通讯。流量可能受

到任何 IP 协议、服务端口以及源/目的地 IP 地址（个别 IP 或无类别域间路由 (CIDR) 块）的限制。防火墙不通过来宾操作系统控制；它仅可通过调用 Amazon VPC API 来修改。AWS 具有授予对实例及防火墙上

不同管理功能的粒度访问权的能力，因此使您能够通过职责分离来实施额外的安全性。防火墙提供的安全级别

是您开放的端口的函数，并与持续时间和目的有关。仍然需要基于每个实例进行良好的流量管理和安全设计。

AWS 进一步鼓励您对基于主机的防火墙（例如 IPtables 或 Windows 防火墙）另外使用每个实例过滤器。


第 28 页，共 74 页

图 5：Amazon VPC 网络架构

网络访问控制列表：为了在 Amazon VPC 中再添加一层安全保护，您可以配置网络 ACL。它们是适用于 Amazon VPC 内子网的所有进站或出站流量的无状态流量过滤器。这些 ACL 能够包含根据 IP 协议、服务端口

及源/目的地 IP 地址来允许或拒绝流量的有序规则。和安全组一样，网络 ACL 通过 Amazon VPC API 进行管理，这就添加了另外一层保护并通过职责分离提高了

安全性。下图描述上文的安全控制如何相互关联，以启用灵活的网络拓朴结构，同时提供对网络流量的全面

控制。


第 29 页，共 74 页

图 6：灵活的网络拓朴结构

虚拟专用网关：虚拟专用网关支持 Amazon VPC 和其他网络之间的私有连接。每个虚拟专用网关内的网络流量

与所有其他虚拟专用网关内的网络流量相隔离。您可以从本地网关设备建立与虚拟专用网关的 VPN 连接。将

预先共享的密钥和客户网关设备的 IP 地址结合使用来保护每个连接。

Internet 网关：可将 Internet 网关附加到 Amazon VPC，以启用与 Amazon S3、其他 AWS 服务和 Internet 的连

接。要求此访问权的每个实例必须具有一个与访问权相关的弹性 IP，或者具有经过一个 NAT 实例的路由流

量。此外，配置网络路由（参见上文）以引导流量流向 Internet 网关。AWS 提供可由您延伸的引用 NAT AMI，以执行网络日志、深度数据包检查、应用程序层过滤或其他安全控制。

此访问权仅能通过调用 Amazon VPC API 进行修改。AWS 具有授予对实例及 Internet 网关上不同管理功能的粒

度访问权的能力，因此使您能够通过职责分离来实施额外的安全性。


第 30 页，共 74 页

专用实例：在 VPC 中，您可以启动在主机硬件级别上进行物理隔离的 Amazon EC2 实例（即，它们将在单个租

户硬件上运行）。可使用“专用”租赁创建一个 Amazon VPC，这样一来，所有启动到该 Amazon VPC 中的实

例将使用此功能。或者，可使用“默认”租赁创建一个 Amazon VPC，但您可为启动到其中的特殊实例指定专

用租赁。弹性网络接口：每个 Amazon EC2 实例都有一个默认网络接口，该接口在 Amazon VPC 网络上分配有一个私有 IP 地址。您可以为 Amazon VPC 内的任何 Amazon EC2 实例创建和连接其他网络接口（称作“弹性网络接口”

(ENI)），每个实例共有两个网络接口。在您需要创建管理网络、使用 Amazon VPC 中的网络和安全设备或通

过不同子网上的工作负载/角色创建双主机实例时，将多个网络接口连接到实例会很有用。ENI 的属性（包括私

有 IP 地址、弹性 IP 地址和 MAC 地址）在 ENI 连接到一个实例或从一个实例分离并重新连接到另一个实例时

将跟随 ENI。可在 AWS 网站上找到有关 Amazon VPC 的更多信息：http://aws.amazon.com/vpc/

使用 EC2-VPC 进行的其他网络访问控制如果您在 AWS 启动新的 EC2-VPC 功能（也称作默认 VPC）之前不具有实例的区域内启动实例，则会在随时

可用的默认 VPC 中自动预置所有实例。可以选择创建其他 VPC，也可以在启动 EC2-VPC 前已具有实例的区域

内为实例创建 VPC。如果您稍后使用常规 VPC 创建 VPC，则可指定 CIDR 块、创建子网、为这些子网输入路由和安全设置并配置 Internet 网关或 NAT 实例（如果需要某个子网能够访问 Internet）。在将 EC2 实例启动到 EC2-VPC 中时，将

自动为您执行大部分工作。在使用 EC2-VPC 将实例启动到默认 VPC 中时，我们将执行以下操作来为您完成

设置：

• 在每个可用区内创建默认子网

• 创建 Internet 网关并将其连接到您的默认 VPC

• 为您的默认 VPC 创建主路由表，并设置规则将所有前往 Internet 的通信发送到 Internet 网关

• 创建默认安全组并将其与您的默认 VPC 关联

• 创建默认网络访问控制列表 (ACL)，并将其与您的默认 VPC 关联

• 将您的 AWS 账户的默认 DHCP 选项与您的默认 VPC 相关联

除了拥有自己的私有 IP 范围的默认 VPC 之外，在默认 VPC 中启动的 EC2 实例也会收到一个公有 IP。

下表总结了启动到 EC2-Classic 中的实例、启动到默认 VPC 中的实例和启动到非默认 VPC 中的实例之间的

区别。

http://aws.amazon.com/vpc/


第 31 页，共 74 页

特点 EC2-Classic EC2-VPC（默认 VPC）常规 VPC

公有 IP 地址您的实例会收到一个公有 IP 地址。

默认情况下，默认子网中启

动的实例会收到公有 IP 地址

（除非您在启动期间指定其他 IP 地址）。

默认情况下，您的实例不会收

到公有 IP 地址（除非您在启

动期间指定其他 IP 地址）。

私有 IP 地址您的实例会在每次启动时收

到 EC2-Classic 范围内的私有 IP 地址。

您的实例会收到一个来自您

的默认 VPC 地址范围的静

态私有 IP 地址。

您的实例会收到一个来自您

的 VPC 地址范围的静态私

有 IP 地址。

多个私有 IP 地址为您的实例选择单个 IP 地址。不支持多个 IP 地址。

您可以为实例分配多个私有 IP 地址。

您可以为实例分配多个私有 IP 地址。

弹性 IP 地址当您停止实例时，EIP 会取消

与该实例的关联。当您停止实例时，EIP 会保持

与该实例的关联。当您停止实例时，EIP 会保持

与该实例的关联。

DNS 主机名 DNS 主机名默认处于启用状态。

DNS 主机名默认处于启用状态。

DNS 主机名默认处于禁用状态。

安全组安全组可以引用属于其他 AWS 账户的安全组。

安全组只能引用您的 VPC 的安全组。

安全组只能引用您的 VPC 的安全组。

安全组关联必须终止实例才能更改其安

全组。您可以更改正在运行的实例

的安全组。您可以更改正在运行的实例

的安全组。

安全组规则您只能为入站流量添加规则。

您可以为入站和出站流量添

加规则。您可以为入站和出站流量添

加规则。

租赁您的实例在共享硬件上运

行；您不能在单租户硬件

上运行实例。

您可以在共享硬件或单租

户硬件上运行您的实例。您可以在共享硬件或单租

户硬件上运行您的实例。

请注意，EC2-Classic 中实例的安全组与 EC2-VPC 中实例的安全组略有不同。例如，您可以为 EC2-Classic 添加

入站流量规则，并且可为 EC2-VPC 添加入站及出站流量规则。在 EC2-Classic 中，实例一经启动，您将无法更

改分配给该实例的安全组，而在 EC2-VPC 中，即使实例已启动，您仍可更改已为其分配的安全组。此外，您无

法将创建用于 EC2-Classic 的安全组用于 VPC 中的实例。您必须专门为 VPC 中的实例创建安全组。您为 VPC 安全组创建的规则无法参考在 EC2-Classic 安全组中使用的规则，反之亦然。


第 32 页，共 74 页

Amazon Route 53 安全性 Amazon Route 53 是一种高度可用和可扩展的域名系统 (DNS) 服务，它可响应 DNS 查询、将域名转换为 IP 地址，以便计算机之间可以互相通信。Route 53 可用于将用户请求连接到 AWS 中运行的基础设施（例如，

Amazon EC2 实例或 Amazon S3 存储桶）或 AWS 外部的基础设施。

Amazon Route 53 可让您管理为您的域名列出的 IP 地址（记录），它还响应将特定域名转换为其相应 IP 地址的请

求（查询）。对您的域的查询将自动路由到附近使用任播的 DNS 服务器，以提供尽可能低的延迟。Route 53 使您能够通过多种路由类型（包括基于延迟的路由 (LBR)、Geo DNS 和加权轮询 (WRR)）来管理全球流量，

所有路由类型都可与 DNS 故障转移组合以帮助创建各种低延迟的容错架构。Amazon Route 53 实施的故障转移

算法不仅用于将流量路由到良好运行的终端节点，还用于帮助避免使灾难情况因错误配置的运行状况检查和应

用程序、终端节点超载和分区故障而变得更严重。

Route 53 还提供域名注册功能，您可以购买和管理域名（例如 example.com），而 Route 53 将自动为您的域配

置默认 DNS 设置。您可以从各种通用和特定于国家/地区的顶级域 (TLD) 购买、管理和传输（向内和向外）

域。在注册过程中，您可以选择对您的域启用隐私保护。该选项将隐藏公有 Whois 数据库中的大多数个人信

息，以帮助阻止拼凑和垃圾邮件。

Amazon Route 53 是使用 AWS 的高度可用且可靠的基础设施来构建的。AWS DNS 服务器的分散性有助于确保

您能够不断地将最终用户路由到您的应用程序。Route 53 还提供运行状况检查和 DNS 故障转移功能，从而帮助

确保网站的可用性。您可以将 Route 53 轻松配置为定期检查网站的运行状况（甚至保护仅通过 SSL 访问的网

站），并在主要站点未响应时切换到备份站点。和所有 AWS 服务一样，Amazon Route 53 要求对向其控制 API 发出的每个请求进行身份验证，以便仅经过身

份验证的用户能够访问和管理 Route 53。API 请求是使用从请求和用户的 AWS 秘密访问密钥计算出的 HMAC-SHA1 或 HMAC-SHA256 签名进行签名的。此外，仅可通过 SSL 加密的终端节点访问 Amazon Route 53 控制 API。它支持 IPv4 和 IPv6 路由。

您可以通过在您的 AWS 账户下使用 AWS IAM 创建用户并控制这些用户有权执行哪些 Route 53 操作来控制对 Amazon Route 53 DNS 管理功能的访问。

Amazon CloudFront 安全性 Amazon CloudFront 使客户能够轻松地向最终用户分发内容，且具有迅速、低延迟和高数据传输速度等特点。它

使用全球边缘站点网络提供动态、静态和流内容。对客户的对象的请求将自动路由到最近边缘站点，从而尽可

能以最佳性能传输内容。Amazon CloudFront 已经过优化，可与其他 AWS 服务（如 Amazon S3、Amazon EC2、Amazon Elastic Load Balancing 和 Amazon Route 53）结合使用。它还可与任何存储您的文件的原始最终版

本的非 AWS 来源服务器无缝地结合使用。

Amazon CloudFront 要求验证发送到其控制 API 的每个请求，以便仅经过授权的用户才能创建、修改或删除它

们自己的 Amazon CloudFront 分配。使用 HMAC-SHA1 签名对请求进行签名，HMAC-SHA1 签名由请求和用户

私有密钥计算得出。此外，仅可通过启用了 SSL 的终端节点访问 Amazon CloudFront 控制 API。


第 33 页，共 74 页

对于保留在 Amazon CloudFront 边缘站点的数据，不保证它的持久性。此服务可能会不时地从边缘站点移除对

象（如果这些对象不是频繁地被请求）。持久性由 Amazon S3 提供，Amazon S3 作为 Amazon CloudFront 的来

源服务器工作，保留 Amazon CloudFront 发送的对象的原始最终副本。如果您需要控制能够从 Amazon CloudFront 下载内容的人员，则可启用服务的私有内容功能。此功能有两个组

件：第一个组件控制如何将内容从 Amazon CloudFront 边缘站点发送至 Internet 上的查看者。第二个组件控制 Amazon CloudFront 边缘站点如何访问 Amazon S3 中的对象。CloudFront 还支持地理限制，地理限制可基于您的

查看者的地理位置限制对内容的访问。为了控制对 Amazon S3 中对象的原始副本的访问，Amazon CloudFront 允许您创建一个或多个“来源访问标

识”，并将这些标识与您的分配相关联。当来源访问标识与 Amazon CloudFront 分配相关联后，该分配将使用

此标识来检索 Amazon S3 中的对象。随后，您可使用 Amazon S3 的 ACL 功能来限制对来源访问标识的访问，

因此对象的原始副本不具有公开可读性。为了控制能够从 Amazon CloudFront 边缘站点下载对象的人员，此服务使用一个经过签名的 URL 验证系统。为

了使用这个系统，您首先要创建一个公有—私有密钥对，并通过 AWS 管理控制台将公有密钥上传至您的账户。

第二，您配置您的 Amazon CloudFront 分配以指示您将授权哪个账户来对请求进行签名 — 您可指定最多五个可

信的 AWS 账户来对请求进行签名。第三，在您接收请求时，您将创建策略文件，指示您要 Amazon CloudFront 为您的内容服务的条件。这些策略文件可指定请求的对象的名称、请求的日期和时间以及发出请求的客户端的源 IP（或 CIDR 范围）。然后您计算您的策略文件的 SHA1 哈希并用您的私有密钥对它签名。最后，当您引用您的

对象时，您将编码的策略文件和签名合并为查询字符串参数。当 Amazon CloudFront 收到请求时，它将用您的公

有密钥对签名进行解码。Amazon CloudFront 将仅服务于具有有效策略文件和匹配的签名的请求。请注意，私有内容是一项可选功能，您在设置 CloudFront 分配时必须启用它。在此功能未启用时发送的内容将

公开可读。

Amazon CloudFront 提供了通过加密连接 (HTTPS) 传输内容的选项。默认情况下，CloudFront 将通过 HTTP 和 HTTPS 协议接受请求。不过，您也可将 CloudFront 配置为要求对所有请求使用 HTTPS，或让 CloudFront 将 HTTP 请求重定向到 HTTPS。您甚至可以将 CloudFront 分配配置允许某些对象使用 HTTP，而其他对象需要使

用 HTTPS。

图 7：Amazon CloudFront 加密传输


第 34 页，共 74 页

您可以配置一个或多个 CloudFront 源，以要求 CloudFront 使用查看器用于请求对象的协议来从源获取对象。例

如，当您使用此 CloudFront 设置且查看器使用 HTTPS 从 CloudFront 请求对象时，CloudFront 也会使用 HTTPS 将请求转发给您的源。

Amazon CloudFront 在与查看器和源的连接上使用 SSLv3 或 TLSv1 协议和一组精选的密码套件，其中包括 Elliptic Curve Diffie-Hellman Ephemeral (ECDHE) 协议。ECDHE 允许 SSL/TLS 客户端提供完美前向保密，后者

使用的会话密钥是临时的且不存储在任何位置。这有助于防止未经授权的第三方对捕获的数据进行解码，即使

加密长期密钥本身已泄露也是如此。请注意，如果您使用自己的服务器作为源，并且您想在查看器与 CloudFront 之间以及在 CloudFront 与您的源

之间都使用 HTTPS，则您必须在 HTTP 服务器上安装经第三方证书颁发机构签署的有效 SSL 证书，例如 VeriSign 或 DigiCert。

默认情况下，您可以使用您的 URL 中的 CloudFront 分配域名（例如 https://dxxxxx.cloudfront.net/image.jpg）通

过 HTTPS 将内容传输到查看器。如果您需要使用您自己的域名和您自己的 SSL 证书通过 HTTPS 传输内容，

则可使用 SNI 自定义 SSL 或专用 IP 自定义 SSL。有了服务器名称标识 (SNI) 自定义 SSL，CloudFront 依赖 TLS 协议的 SNI 扩展，后者受大多数新式 Web 浏览器的支持。但是，某些用户可能无法访问您的内容，因为

一些旧版浏览器不支持 SNI。（有关支持的浏览器的列表，请访问 http://aws.amazon.com/cloudfront/faqs/。）借

助专用 IP 自定义 SSL，CloudFront 可将 IP 地址指定给每个 CloudFront 边缘站点上的 SSL 证书，以便 CloudFront 能够将传入请求与适当的 SSL 证书关联。

Amazon CloudFront 访问日志包含关于内容请求的全套信息，包括请求的对象、请求的日期和时间、服务请求

的边缘站点、客户端 IP 地址、引用站点及用户代理。要启用访问日志，仅需在您配置您的 Amazon CloudFront 分配时指定要存储日志的 Amazon S3 存储桶的名称。

AWS Direct Connect 安全性借助 AWS Direct Connect，您可以使用高吞吐量的专用连接预置您的内部网络与 AWS 区域之间的直接链接。

这样做可能将帮助降低网络成本、提高吞吐量或提供更一致的网络体验。有了此专用连接以后，您就可以创建

直接连接到 AWS 云（如 Amazon EC2 和 Amazon S3）和 Amazon VPC 的虚拟接口。借助 Direct Connect，您可以绕过您的网络路径中的 Internet 服务提供商。您可以购买存放 AWS Direct Connect 位置的设施中的机架空间并在附近部署您的设备。部署后，您就可以通过交叉互连方式将此设备与 AWS Direct Connect 连接。每个 AWS Direct Connect 位置均可连接到地理上最近的 AWS 区域并访问其他美国区域。

例如，您可以预置与美国任何 AWS Direct Connect 位置之间的单个连接，并用它访问所有美国区域和 AWS GovCloud（美国）中的公有 AWS 服务。

通过使用业内规定的 802.1q VLAN 标准，可将专用连接分割成多个虚拟接口。这样您就可使用同一个连接访问

共享资源（如存储在使用公有 IP 地址空间的 Amazon S3 中的对象）和专有资源（如使用私有 IP 空间的在 Amazon VPC 中运行的 Amazon EC2 实例），同时又能在共享和专用环境之间保持网络隔离。

Amazon Direct Connect 要求使用边界网关协议 (BGP)，以及自治系统编号 (ASN)。要创建虚拟接口，您可以使

用 MD5 加密密钥进行消息授权。MD5 使用您的私有密钥来创建加密哈希。您可以让 AWS 自动生成 BGP MD5 密钥，也可以提供您自己的密钥。

http://aws.amazon.com/cloudfront/faqs/


第 35 页，共 74 页

存储服务

Amazon Web Services 提供具有高持久性和可用性的低成本数据存储。AWS 提供用于备份、存档和灾难恢复的存

储选项以及数据块和对象存储。

Amazon Simple Storage Service (Amazon S3) 安全性 Amazon Simple Storage Service (S3) 允许您随时从 Web 上的任何位置上传和检索数据。Amazon S3 将数据以对

象的形式存储在存储桶中。对象可以是任何类型的文件：文本文件、照片、视频等。在向 Amazon S3 添加文件

时，您可以选择将元数据包含在文件中并设置权限以控制对文件的访问权。对于每个存储桶，您都可以控制存

储桶的访问权限（哪些用户可以在存储桶中创建、删除和列出对象）、查看存储桶及其对象的访问日志以及选

择 Amazon S3 存储存储桶及其内容的地理区域。数据访问默认情况下，对存储在 Amazon S3 中的数据的访问是受限制的；仅存储桶和对象拥有者有权访问他们创建的 Amazon S3 资源（请注意，存储桶/对象拥有者是 AWS 账户拥有者，而不是创建存储桶/对象的用户）。可通

过多种方式控制对存储桶和对象的访问：

• Identity and Access Management (IAM) 策略。AWS IAM 让拥有许多员工的组织能够在一个 AWS 账户

下创建和管理多个用户。IAM 策略被附加到用户，以便集中控制 AWS 账户下用户访问存储桶或对象的

权限。使用 IAM 策略，您可以只授予您自己的 AWS 账户中的用户对 Amazon S3 资源的访问权限。

• 访问控制列表 (ACL)。在 Amazon S3 中，您可以使用 ACL 向用户组授予对存储桶或对象的读取或写入

访问权。使用 ACL，您可以只授予其他 AWS 账户（非特定用户）对 Amazon S3 资源的访问权限。

• 存储桶策略。Amazon S3 中的存储桶策略可用来添加或拒绝对单个存储桶内的部分或所有对象的权

限。策略可以附加到用户、组或 Amazon S3 存储桶上，实现对权限的集中管理。使用存储桶策略，您

可以授予您自己的 AWS 账户或其他 AWS 账户中的用户对 Amazon S3 资源的访问权。

访问类型控制 AWS 账户级别控制？用户级别控制？

IAM 策略否是

ACL 是否

存储桶策略是是

您可以根据一些条件进一步限制对特定资源的访问。例如，您可以基于请求时间（日期条件）限制访问，无论

该请求是使用 SSL（布尔值条件）还是使用申请方的 IP 地址（IP 地址条件）发送的，也可以基于申请方的客户

端应用程序（字符串条件）限制访问。要标识这些条件，您可以使用策略密钥。有关 Amazon S3 中可用的特定

于操作的策略密钥的更多信息，请参阅 Amazon Simple Storage Service 开发人员指南。

Amazon S3 还向开发人员提供了使用查询字符串身份验证的选项，允许他们通过在预定义的时间段内有效的 URL 来共享 Amazon S3 对象。查询字符串身份验证对于提供对通常需要身份验证的资源的 HTTP 或浏览器访问

权限来说很有用。查询字符串中的签名将保护请求。

http://docs.amazonwebservices.com/AmazonS3/latest/dev/Welcome.html


第 36 页，共 74 页

数据传输为了实现最高安全性，您可以通过 SSL 加密型终端节点，安全地将数据上传/下载到 Amazon S3。既可从 Internet 也可从 Amazon EC2 内部访问加密的终端节点，因此数据能在 AWS 内安全地传输，也能安全地往返于 AWS 外部的源。

数据存储 Amazon S3 提供多种保护静态数据的选项。对于希望管理自己的加密的客户，他们可以使用客户端加密库（如 Amazon S3 加密客户端）先对数据加密，然后再将其上传到 Amazon S3。或者，如果您希望让 Amazon S3 为您

管理加密过程，则可以使用 Amazon S3 服务器端加密 (SSE)。根据您的要求，可使用 AWS 生成的密钥或您提

供的密钥对数据进行加密。使用 Amazon S3 SSE，您只需在写入对象时另外添加一个请求标头，即可在上传时

对数据加密。检索数据时，将自动进行解密。请注意，您可以包含在对象中的元数据未加密。因此，AWS 建议客户不要在 Amazon S3 元数据中放置敏感

信息。

Amazon S3 SSE 使用了一种最强大的数据块加密技术 — 256 位高级加密标准 (AES-256)。使用 Amazon S3 SSE 时，每个受保护对象都使用唯一加密密钥进行加密。此对象密钥本身随后使用定期轮换的主密钥进行加密。

Amazon S3 SSE 通过将加密数据和加密密钥存储在不同的主机中来提高安全性。Amazon S3 SSE 还使您可以强

制实施加密要求。例如，您可以创建和应用存储桶策略，以便要求只有经过加密的数据才能上传到存储桶。对于长期存储，您可以将 Amazon S3 存储桶的内容自动存档至名为 Glacier 的 AWS 存档服务。您可以在 Amazon S3 中创建生命周期规则（描述要存档至 Glacier 的对象及时间）来按照指定的时间间隔将数据传输至 Glacier。作为数据管理策略的一部分，您也可以指定 Amazon S3 在对象存档至 Amazon S3 多久后将其删除。

从 Amazon S3 中删除对象后，将立即删除从公用名到对象的映射，此删除操作通常在几秒内跨分布式系统完

成。移除映射后，不再能远程访问已删除对象。然后将收回底层存储区以供系统使用。数据持久性和可靠性 Amazon S3 在一年之内提供 99.999999999% 的对象持久性和 99.99% 的对象可用性。在 Amazon S3 区域中，

对象以冗余方式存储在多个设施间的多个设备中。为帮助提供持久性，Amazon S3 PUT 和 COPY 操作在多个

设施间同步存储客户数据，然后返回 SUCCESS。存储后，Amazon S3 通过快速检测和修复任何丢失的冗余数

据来帮助保持对象的持久性。Amazon S3 还使用校验和定期验证所存储数据的完整性。如果检测到数据损

坏，则使用冗余数据进行修复。此外，Amazon S3 还在存储或检索数据时对所有网络流量计算校验和以检测

数据包是否损坏。

Amazon S3 通过版本控制提供了进一步的保护。对于 Amazon S3 存储桶中存储的每个对象，您可以使用版本控

制功能来保存、检索和还原它们的各个版本。使用版本控制，您可以从意外用户操作和应用程序故障中轻松恢

复。默认情况下，请求将会检索最新写入的版本。通过在请求中指定版本，可以检索对象的较旧版本。您可以

使用 Amazon S3 版本控制的“MFA 删除”功能进一步保护版本。一旦为某个 Amazon S3 存储桶启用此功能，

每个版本删除请求就必须包括来自多重验证设备的六位数代码及序号。

http://docs.amazonwebservices.com/AWSJavaSDK/latest/javadoc/com/amazonaws/services/s3/AmazonS3EncryptionClient.html


第 37 页，共 74 页

访问日志可对 Amazon S3 存储桶进行配置以记录对存储桶及存储桶中对象的访问。访问日志包含有关每个访问请求的详

细信息，包括请求类型、请求的资源、请求者的 IP 以及请求的时间和日期。在为存储桶启用日志记录后，日志

记录就定期累计到日志文件中并发送至指定的 Amazon S3 存储桶。跨源资源共享 (CORS) 使用 Amazon S3 托管静态网页或存储其他网页所用对象的 AWS 客户可通过配置 Amazon S3 存储桶以显式启用

跨源请求来安全地加载内容。新式浏览器使用同源策略来阻止 JavaScript 或 HTML5 允许加载来自其他站点或

域的内容的请求，从而帮助确保不从可靠性较低的源加载恶意内容（如在跨站点脚本攻击期间）。在启用跨源

资源共享 (CORS) 策略的情况下，外部网页、样式表和 HTML5 应用程序可安全地引用存储在 Amazon S3 存储

桶中的 Web 字体和图像等资产。

AWS Glacier 安全性与 Amazon S3 类似，Amazon Glacier 服务提供了低成本、安全和持久的存储。但 Amazon S3 适合快速检索，

Glacier 用作针对不常访问的数据的存档服务（多个小时检索一次较为适当）。

Amazon Glacier 将文件以存档形式存储在文件库中。存档可以是任意数据（例如，照片、视频或文档），并且

可包含一个或多个文件。您可在单个文件库中存储无限数量的存档，并且可在每个区域创建最多 1,000 个文件

库。每个存档可包含最多 40 TB 的数据。数据上传要将数据传输至 Amazon Glacier 文件库，您可在单个上传操作或分段操作中上传存档。在单个上传操作中，可

上传最大为 4 GB 的存档。但是，在上传大小超过 100 MB 的存档时，客户使用分段上传 API 可取得更好的效

果。使用分段上传 API，您可以上传最多约 40,000 GB 的大型存档。分段上传 API 调用旨在改善较大存档的上

传体验；它能以任意顺序并行上传存档的各个部分。如果分段上传失败，您只需重新上传失败部分，无需重新

上传整个存档。向 Glacier 上传数据时，必须计算和提供树形哈希。Glacier 会针对数据检查该哈希，以帮助确保数据在传输途中

未遭到修改。树形哈希的生成方法：计算数据每兆字节大小区段的哈希，然后以树形式组合这些哈希，以表示不

断增长的相邻数据区段。除了使用分段上传功能，有极大数据要上传至 Amazon Glacier 的客户也可考虑使用 AWS Import/Export 服务来

传输数据。AWS Import/Export 使用便携式存储设备进行传输，可加快大量数据移入 AWS 的速度。使用绕过 Internet 的 Amazon 高速内部网络，AWS 可以将数据直接传出存储设备。

您还可将 Amazon S3 设置为以特定时间间隔向 Glacier 传输数据。您可在 Amazon S3 中创建生命周期规则，

描述要存档至 Glacier 的对象及存档时间。此外，您还可指定 Amazon S3 在对象存档至 Amazon S3 多久后将

其删除。要实现更高的安全性，您可通过 SSL 加密的终端节点安全地向/从 Amazon Glacier 上传/下载数据。既可从 Internet 也可从 Amazon EC2 内部访问加密的终端节点，因此数据能在 AWS 内安全地传输，也能安全地往返于 AWS 外部的源。


第 38 页，共 74 页

数据检索从 Amazon Glacier 检索存档需要启动检索作业，此操作通常需花费 3 到 5 小时。随后，您可通过 HTTP GET 请求访问这些数据。这些数据在 24 小时内可供您使用。

您可以检索整个存档或存档中的几个文件。如果您只想检索一个存档的子集，则可使用一个检索请求来指定包

含您感兴趣的文件的存档的范围，也可以发起多个检索请求，每个检索请求具有一个或多个文件的范围。您还

可以通过筛选档案创建日期范围或设置最大项目限制，来限制检索的文件库清单项目数。不论您选择哪种方

法，在您检索存档部分时，均可使用所提供的检验和来帮助确保文件的完整性，前提是所检索的范围与整个存

档的树形哈希保持一致。数据存储 Amazon Glacier 会利用 AES-256 自动加密数据并以不可变格式持久存储。Amazon Glacier 专门针对档案存储

而设计，其目标年均持久性为 99.999999999%。它将各个存档存储在多处设施及多个设备中。与传统系统需

要费时耗力的数据验证和手工修复方式不同，Glacier 可以定期执行数据完整性校验，并且内置了自动自我修

复能力。数据访问仅您的账户可以访问 Amazon Glacier 中的数据。要控制对 Amazon Glacier 中的数据的访问，您可使用 AWS IAM 指定您账户中的哪些用户有权对给定文件库执行操作。

AWS Storage Gateway 安全性 AWS Storage Gateway 服务可将您的本地软件设施与基于云的存储设施连接起来，从而提供 IT 环境和 AWS 的存储基础设施间的无缝、安全的集成。该服务使您能够将数据安全地上传到 AWS 的可扩展的、可靠的、安全

的 Amazon S3 存储服务，以进行具有成本效益的备份和快速灾难恢复。

AWS Storage Gateway 以 Amazon EBS 快照的形式将场外数据透明地备份到 Amazon S3。Amazon S3 以冗余方式

将这些快照存储到多个设施的多个设备上，检测并修复任何丢失的冗余。Amazon EBS 快照可提供时间点备

份，该备份能本地还原或用于实例化新的 Amazon EBS 卷。数据存储在您指定的单个区域中。

AWS Storage Gateway 提供了三个选项：

• 网关存储卷（其中云是备份存储）。在此选项中，您的卷数据在本地存储，然后推送至 Amazon S3，其中以冗余、加密形式存储，并以 Elastic Block Storage (EBS) 快照形式提供。使用该模式时，本地存储

为主存储（提供对整个数据集的低延迟访问），云存储为备份存储。

• 网关缓存卷（其中云是主存储）。在此选项中，卷数据以加密形式存储在 Amazon S3 中，并通过 iSCSI 接口在您企业的网络中呈现。最近访问的数据缓存到本地，以提供低延迟的本地访问。使用该模式时，

云存储为主存储，但您可对本地缓存卷中的活动工作集进行低延迟访问。

• 虚拟网关磁带库 (VTL)。在此选项中，您可以配置一个网关 VTL（每个网关最多具有 10 个虚拟磁带驱

动器）、一个媒体转换器和最多 1500 个虚拟磁带盒。每个虚拟磁带驱动器均可响应 SCSI 命令集，因

此现有的本地备份应用程序（磁盘到磁带或磁盘到磁盘到磁带）无需修改即可工作。


第 39 页，共 74 页

无论选择哪个选项，数据都将通过 SSL 从本地存储硬件异步传输至 AWS。使用高级加密标准 (AES) 256（一种使用 256 位加密密钥的对称密钥加密标准）以加密方式将数据存储在 Amazon S3 中。AWS Storage

Gateway 只上传已发生变化的数据，并最大程度地减少通过 Internet 发送的数据量。

AWS Storage Gateway 作为您在运行 VMware ESXi Hypervisor v 4.1 或 v 5 或 Microsoft Hyper-V（在安装过程中

下载 VMware 软件）的数据中心内的主机上部署的虚拟机 (VM) 运行。您也可以使用网关 AMI 在 EC2 中运行。

在安装和配置过程中，您可以为每个网关创建最多 12 个存储卷、20 个缓存卷或 1500 个虚拟磁带盒。安装后，

每个网关将自动下载、安装和部署更新和补丁。此活动在可基于网关设置的维护时段内进行。

iSCSI 协议支持通过 CHAP（质询握手身份验证协议）在目标与启动程序之间进行身份验证。CHAP 通过定期

验证 iSCSI 启动程序的标识是否具有访问存储卷目标的权限，防止中间人攻击和重放攻击。如需建立 CHAP，您必须在 AWS Storage Gateway 控制台中和用来连接到该目标的 iSCSI 启动程序中进行配置。

部署 AWS Storage Gateway VM 后，您必须使用 AWS Storage Gateway 控制台激活该网关。激活过程将您的网

关与 AWS 账户关联。建立该连接后，您可以从控制台管理网关的几乎所有方面。在激活过程中，您指定网关

的 IP 地址，命名网关，识别希望将快照备份存储到的 AWS 区域，并指定网关时区。

AWS Import/Export 安全性 AWS Import/Export 是一种将大量数据物理传输到 Amazon S3、EBS 或 Glacier 存储的简单安全的方法。通

常，拥有 100 GB 以上数据且/或较慢的连接速度（可能会导致 Internet 上的传输速度非常慢）的客户会使用此

服务。使用 AWS Import/Export，您可以准备一个发送到安全 AWS 设施的便携式存储设备。使用 Amazon 的高速内部网络，AWS 可以将数据直接传出存储设备，从而绕过 Internet。相反，也可将数据从 AWS 导出到便

携式存储设备。和所有其他 AWS 服务一样，AWS Import/Export 服务要求您对存储设备进行安全地标识和身份验证。在此示例

中，您会将一个作业请求提交到 AWS，其中包含您的 Amazon S3 存储桶、Amazon EBS 区域、AWS Access Key ID 以及回寄地址。然后您将收到作业的唯一标识符、用于验证您的设备的数字签名，以及将存储设备寄送到的 AWS 地址。对于 Amazon S3，您将签名文件放入设备的根目录中。对于 Amazon EBS，您将签名条形码粘贴到

设备外侧。该签名文件仅用于身份验证，不会上传到 Amazon S3 或 EBS。对于传输到 Amazon S3，您指定数据应加载到的特定存储桶，并确保执行加载的账户具有该存储桶的写入权

限。您还应指定要应用于已加载到 Amazon S3 的每个对象的访问控制列表。对于传输到 EBS，您指定 EBS 导入操作的目标区域。如果存储设备容量不超过 1 TB 大小上限，其内容将被直

接加载到 Amazon EBS 快照中。如果存储设备容量超过 1 TB，则会在指定的 S3 日志存储桶中存储设备映像。

随后，您可以使用 Logical Volume Manager 之类的软件创建 Amazon EBS 卷 RAID，并将该映像从 S3 复制到这

一新卷中。


第 40 页，共 74 页

要提供额外保护，您可以在将设备运输到 AWS 之前对设备上的数据进行加密。对于 Amazon S3 数据，您可以

使用带硬件加密的 PIN 码设备或 TrueCrypt 软件来加密您的数据，然后再将其发送到 AWS。对于 EBS 和 Glacier 数据，您可以使用您选择的任何加密方法，包括 PIN 码设备。在导入之前，AWS 将使用您在导入清单

上提供的 PIN 码和/或 TrueCrypt 密码对您的 Amazon S3 数据进行解密。AWS 使用您的 PIN 访问 PIN 码设备，

但不会解密要导入到 Amazon EBS 或 Amazon Glacier 的软件加密的数据。下表汇总了每种类型的导入/导出作业

的加密选项。

导入到 Amazon S3

源目标结果

• 设备文件系统上的文件

• 在装运设备之前，使用 PIN 码设备和/或 TrueCrypt 加密数据

• 现有 Amazon S3 存储桶中的对象

• AWS 在执行导入操作之前对数据

进行解密

• 每个文件对应一个对象。

• 在装运之前，每次完成导入作业

后，AWS 将对您的设备进行擦

除操作

从 Amazon S3 导出

源目标结果

• 一个或多个 Amazon S3 存储桶中的对象

• 提供 AWS 将用来加密数据

的 PIN 码和/或密码

• 您的存储设备上的文件

• AWS 将格式化您的设备

• AWS 会将数据复制到设备上的已加

密文件容器

• 每个对象对应一个文件

• AWS 在装运之前将加密您的数据

• 使用 PIN 码设备和/或 TrueCrypt 解密文件

导入到 Amazon Glacier

源目标结果

• 整个设备

• 在装运之前，使用您选

择的加密方法加密数据

• 现有 Amazon Glacier 文件库中

的一个存档

• AWS 不会解密您的设备

• 存储为单个存档的设备映像



除操作

导入到 Amazon EBS（设备容量 < 1 TB）

源目标结果

• 整个设备



• 一个 Amazon EBS 快照


• 设备映像将存储为一个快照

• 如果设备已加密，则映像也已加密



除操作


第 41 页，共 74 页

导入到 Amazon EBS（设备容量 > 1 TB）

源目标结果

• 整个设备



• 现有 Amazon S3 存储桶中的多个

对象


• 分成一系列 1 TB 快照的设备映像，

这些快照在清单文件中指定的 Amazon S3 存储桶中以对象形式存储

• 如果设备已加密，则映像也已加密



除操作

完成导入后，AWS Import/Export 将擦除您的存储设备的内容，以便在返程运输期间保护数据。AWS 会对存

储设备上的所有可写数据块进行零覆盖。擦除后，您需要对设备重新分区和格式化。如果 AWS 无法擦除设

备上的数据，则会安排对其进行销毁，我们的支持团队将通过设备附带的清单文件中指定的电子邮件地址与

您联系。在国际范围内运输设备时，发送到 AWS 的清单文件中的海关选项和某些所需的子字段是必填的。AWS Import/Export 使用这些值验证入站装运并准备出站海关文件。这些选项中有两个选项为设备上的数据是否

已加密和加密软件的分类。根据美国出口管理条例，在将加密的数据运入或运出美国时，加密软件必须归

类为 5D992。数据库服务

Amazon Web Services 为开发人员和企业提供了大量数据库解决方案 — 从托管的关系和 NoSQL 数据库服务到

内存中的缓存即服务和 PB 级数据仓库服务。

Amazon DynamoDB 安全性 Amazon DynamoDB 是一种托管的 NoSQL 数据库服务，提供快速而可预测的性能，能够实现无缝扩展。利用 Amazon DynamoDB，您可以将操作和扩展分布式数据库的管理工作负担转移给 AWS，因此您无需担心硬件预

置、设置和配置、复制、软件修补或集群扩展等问题。您可以创建一个数据库表来存储和检索任意量级的数据，并支持任何级别的请求流量。DynamoDB 自动将表的

数据和流量分布到足够多的服务器，以便处理您指定的请求容量和存储的数据量，同时保持一致、快速的性

能。所有数据项均存储在固态硬盘 (SSD) 中，并自动复制到相关地区的多个可用区中，以提供内置的高可用性

和数据持久性。

您可以使用 AWS Data Pipeline 中刚刚为复制 DynamoDB 表而创建的特殊模板来设置自动备份。您可以选择完

整或增量备份到位于相同区域或不同区域中的表。您可以在代码错误损坏原始表的情况下使用灾难恢复 (DR) 的副本，或跨区域联合 DynamoDB 数据以支持多区域应用程序。


第 42 页，共 74 页

要控制可使用 DynamoDB 资源和 API 的人员，您可以在 AWS IAM 中设置权限。除了使用 IAM 控制资源级访

问权之外，您还可以控制数据库级访问权 - 您可以根据应用程序的需求创建允许或拒绝访问项目（行）和属性

（列）的数据库级权限。这些数据库级权限称为精细访问控制，您使用一个 IAM 策略创建这些权限，该策略指

定用户或应用程序在哪些情况下可以访问 DynamoDB 表。IAM 策略可以对表中单个项目的访问和项目中属性的

访问实施单独控制，也可以同时控制。

您可以视情况使用 Web 联合身份验证来控制使用 Login with Amazon、Facebook 或 Google 进行身份验证的应

用程序用户的访问。使用 Web 联合身份验证不必逐一创建 IAM 用户；相反，用户可以登录到身份提供商并从 AWS Security Token Service (AWS STS) 获取临时安全凭证。AWS STS 将向应用程序返回临时 AWS 凭证并允

许其访问特定 DynamoDB 表。除了要求数据库和用户权限之外，对 DynamoDB 服务的每个请求必须包含有效的 HMAC-SHA256 签名，否则

请求将被拒绝。AWS 软件开发工具包会自动对请求进行签名；但是，如果您要编写自己的 HTTP POST 请求，则必须在 Amazon DynamoDB 的请求的标头中提供签名。要计算签名，您必须从 AWS Security Token Service 请求临时安全凭证。使用临时安全凭证为 Amazon DynamoDB 的请求签名。

可通过 SSL 加密的终端节点访问 Amazon DynamoDB。可以从 Internet 和 Amazon EC2 内部访问加密的终端

节点。

Amazon Relational Database Service (Amazon RDS) 安全性 Amazon RDS 让您能迅速创建一个关系数据库 (DB) 实例，并灵活地扩张相关计算资源及存储容量，以满足应

用程序的要求。Amazon RDS 通过执行备份、处理故障转移及维护数据库软件代您管理数据库实例。目前，

Amazon RDS 可用于 MySQL、Oracle、Microsoft SQL Server 和 PostgreSQL 数据库引擎。 Amazon RDS 具有多项可提高重要生产数据库的可靠性的功能，包括数据库安全组、权限、SSL 连接、自动备

份、数据库快照和多可用区部署。数据库实例还可以部署在 Amazon VPC 中以提供额外的网络隔离。

属性

项目


第 43 页，共 74 页

访问控制首次在 Amazon RDS 内创建数据库实例时，将会创建一个主用户账户，它仅在 Amazon RDS 环境中用来控制对

您的数据库实例的访问。主用户账户是原生数据库用户账户，允许您登录到数据库实例并享有所有数据库权

限。在创建数据库实例时，您可以指定要与每个数据库实例相关联的主用户账户和密码。创建数据库实例后，

您可以使用主用户凭证连接到数据库。之后，可以创建其他用户账户，以便限制谁能访问您的数据库实例。您可以通过数据库安全组控制 Amazon RDS 数据库实例访问，数据库安全组与 Amazon EC2 安全组类似，但不

可互换。数据库安全组与防火墙的功能类似，控制对您的数据库实例的网络访问。数据库安全组默认设置为

“全部拒绝”访问模式，客户必须对网络进入专门进行授权。有两种方法进行此操作：授权一个网络 IP 范围，

或授权一个现有的 Amazon EC2 安全组。数据库安全组仅允许对数据库服务器端口进行访问（所有其他端口均

被阻断），且不用重启 Amazon RDS 数据库实例就可对其进行更新，这使客户能无缝地控制他们的数据库访

问。使用 AWS IAM，您可以进一步控制对您的 RDS 数据库实例的访问。AWS IAM 还使您可以控制每个 AWS IAM 用户有权调用哪些 RDS 操作。

网络隔离为了实施额外的网络访问控制，您可以在 Amazon VPC 中运行您的数据库实例。使用 Amazon VPC，您可通过

指定要使用的 IP 地址范围来隔离您的数据库实例，并通过经过行业标准加密的 IPsec VPN 连接到现有 IT 基础

设施。在 VPC 中运行 Amazon RDS 可让您在私有子网中拥有数据库实例。您也可以设置一个虚拟专用网关，将

公司网络扩展到 VPC，然后允许访问该 VPC 中的 RDS 数据库实例。有关详细信息，请参阅 Amazon VPC 用户

指南。

对于多可用区部署，为某个地区的所有可用区定义子网将允许 Amazon RDS 根据需要在其他可用区中创建新的

备用实例。您可以创建数据库子网组，这些组是您可能需要为 VPC 中的 RDS 数据库实例指定的子网集合。每

个数据库子网组应至少包含给定区域中每个可用区的一个子网。在这种情况下，在 VPC 中创建数据库实例时，

选择一个数据库子网组；然后，Amazon RDS 使用该数据库子网组和您首选的可用区来选择子网及该子网内的 IP 地址。Amazon RDS 创建弹性网络接口，并通过该 IP 地址将其关联到您的数据库实例。

对于 Amazon VPC 内部署的数据库实例，可通过 VPN 或您在公有子网中可以启动的堡垒主机从 VPC 外部的 Amazon EC2 实例进行访问。要使用堡垒主机，您需要设置一个包含用作 SSH 堡垒的 EC2 实例的公有子网。该

公有子网的 Internet 网关和路由规则必须允许通过 SSH 主机引导流量，然后必须将请求转发到 Amazon RDS 数据库实例的私有 IP 地址。

数据库安全组可用来帮助确保 Amazon VPC 内数据库实例的安全。此外，通过网络 ACL 可以允许或拒绝进入

和退出各个子网的网络流量。内部安全基础设施（包括网络防火墙和入侵检测系统）可以监视通过 IPsec VPN 连接进入或退出 Amazon VPC 的所有网络流量。

http://docs.amazonwebservices.com/AmazonVPC/latest/UserGuide

http://docs.amazonwebservices.com/AmazonVPC/latest/UserGuide


第 44 页，共 74 页

加密您可以使用 SSL 对您的应用程序和数据库实例之间的连接加密。对于 MySQL 和 SQL Server，在预置实例时，

RDS 会创建一个 SSL 证书并将该证书安装在数据库实例上。对于 MySQL，要加密连接，可使用 --ssl_ca 参数

启动 mysql 客户端来引用公有密钥。对于 SQL Server，请下载公钥并将证书导入您的 Windows 操作系统中。

Oracle RDS 借助 Oracle 本机网络加密来加密数据库实例。只需将本机网络加密选项添加到一个选项组中并将该

选项组与数据库实例关联即可。建立加密连接后，在传输时将对数据库实例和应用程序之间传输的数据进行加

密。也可以要求您的数据库实例只接受加密的连接。

Amazon RDS 支持对 SQL Server（SQL Server 企业版）和 Oracle（Oracle Enterprise Edition 中提供的 Oracle 高级

安全选项的一部分）进行透明数据加密 (TDE)。TDE 功能在将数据写入到存储之前自动对数据进行加密，并在

从存储读取数据时自动对数据进行解密。如果您需要 MySQL 数据在数据库中处于“静态”时也处于加密状

态，则应用程序必须管理数据的加密和解密。请注意，Amazon RDS 中的 SSL 支持用来对应用程序和数据库实例之间的连接加密，不应依赖于数据库实例本

身的身份验证。虽然 SSL 有安全优势，但应注意 SSL 加密操作需使用大量计算资源，可能会加大数据库连接延迟。有关 SSL 如何用于 MySQL 的详细信息，请直接参考此处的 MySQL 文档。要了解如何对 SQL Server 使用 SSL，请参阅 RDS 用户指南。

自动备份和数据库快照 Amazon RDS 提供两种不同的方法来备份和还原数据库实例：自动备份和数据库快照。

Amazon RDS 的自动备份功能在默认情况下打开，实现数据库实例的时间点恢复。Amazon RDS 将备份您的数

据库和事务日志，并且按用户指定的保留期进行存储。这样，您就能够将数据库实例恢复到保留期内任何一秒

钟的状态，最多可恢复到前五分钟的状态。自动备份保留期可配置为最长 35 天。在备份窗口期间，备份数据时可能会暂停存储 I/O。这种 I/O 暂停通常持续几分钟时间。因为备份是从备用副

本获取的，所以通过多可用区数据库部署可以避免 I/O 暂停。数据库快照是用户启动的数据库实例备份。Amazon RDS 将存储这些完整数据库备份，直至您明确删除它们。

您可以复制任意大小的数据库快照并在 AWS 的任意公共区域间移动这些快照，或同时将同一快照复制到多个

区域。然后，您可以在需要时随时从数据库快照创建新数据库实例。数据库实例复制 Amazon 云计算资源存储在位于全球不同区域中的高度可用的数据中心设施中，每个区域包含多个独立位置

（称为可用区）。每个可用区都被设计成不受其他可用区故障的影响，并提供与同一区域的其他可用区的低价、

低延迟的网络连接。

http://dev.mysql.com/doc/refman/5.1/en/secure-connections.html

http://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/SQLServer.Concepts.General.SSL.html


第 45 页，共 74 页

为了实现 Oracle、PostgreSQL 或 MySQL 数据库的高度可用性，您可以在多个可用区内运行您的 RDS 数据库

实例（称为多可用区部署的选项）。选择此选项后，Amazon 会自动在不同的可用区预配置和维护数据库实例

的同步备用副本。主数据库实例可以跨可用区同步复制到备用副本。如果遇到数据库实例或可用区故障，

Amazon RDS 将自动故障转移到备用副本，以便没有管理干预也能很快恢复数据库操作。对于使用 MySQL 且需要扩展单一数据库实例的容量限制以应对需要大量读取操作的数据库工作负载的客户，

Amazon RDS 提供了只读副本选项。创建只读副本后，使用 MySQL 的本机异步复制功能将源数据库实例的数

据库更新信息复制到只读副本。您可以为给定的源数据库实例创建多个只读副本，并在它们当中分配应用程序

的读取流量。可以使用多可用区部署创建只读副本，从而获得读取扩展优势，同时实现多可用区部署提供的增

强的数据库写入可用性和数据持久性。自动执行软件修补 Amazon RDS 将确保您部署项目中使用的关系数据库软件已安装最新补丁，保持最新状态。如有必要，在可控

制的维护时段内应用补丁。您可以将 Amazon RDS 维护时段视为在请求或要求的情况下执行数据库实例修改

（例如，扩展数据库实例等级）及修补软件的机会。如果在给定的星期内安排了“维护”事件，将在您确定的 30 分钟维护时段的某个时间点启动和完成维护。

唯一需要使用 Amazon RDS 将数据库实例脱机的情况是扩展计算操作（从始至终通常只需要几分钟时间）或要

求修补软件的情况。只有安全和耐久的补丁会自动安排要求的修补。这种修补很少发生（通常几个月一次），

并且几乎不会要求过长的维护窗口。如果创建数据库实例时未指定首选周维护时段，将分配默认值 30 分钟。

如果希望在代您执行维护时进行修改，您可以通过 AWS 管理控制台或使用 ModifyDBInstance API 修改数据库

实例来执行该操作。如果选择这样做，您的各个数据库实例可以执行不同的首选维护时段。以多可用区部署方式运行数据库实例可进一步降低维护事件的影响，因为 Amazon RDS 将通过以下步骤执行

维护：1) 对备用实例执行维护，2) 将备用实例提升为主实例，以及 3) 对旧的主实例（成为新备用实例）执

行维护。当 Amazon RDS 数据库实例删除 API (DeleteDBInstance) 运行时，数据库实例将标记为删除。一旦实例不再显示

“删除”状态，就表示实例已被删除。此时实例不再可供访问，除非请求了一个最终快照，否则无法将其恢

复，任何工具或 API 也不会将其列出。事件通知您可以接收您的 RDS 实例可能发生的各种重要事件的通知，如实例是否已关闭、备份启动、发生故障转移、安

全组发生更改、存储空间不足等。Amazon RDS 服务将这些事件分组为您可以订阅的类型，以便您在出现该类

事件时接收通知。您可以为数据库实例、数据库快照、数据库安全组或数据库参数组订阅一种事件类别。RDS 事件通过 AWS SNS 发布并以电子邮件和短信形式发送给您。有关 RDS 通知事件类别的详细信息，请参阅 RDS 用户指南。

https://console.aws.amazon.com/

http://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Events.html

http://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_Events.html


第 46 页，共 74 页

Amazon Redshift 安全性 Amazon Redshift 是在高度优化和托管的 AWS 计算和存储资源上运行的 PB 级 SQL 数据仓库服务。该服务已经

过设计，不仅可快速向上扩展或向下扩展，还可大大加快查询速度，即使对于非常大的数据集也是如此。为

了提高性能，Redshift 采用列式存储、数据压缩和区域映射等方法来降低执行查询所需的 IO 量。此外，它还拥

有大规模并行处理 (MPP) 架构，对 SQL 操作进行并行分布处理以利用所有可用资源。在创建 Redshift 数据仓库时，您需要配置一个单节点或多节点集群，并指定将构成该集群的节点的类型和数

量。节点类型决定每个节点的存储大小、内存和 CPU。每个多节点集群包括一个领导节点和两个或更多的计算

节点。领导节点负责管理连接、分析查询、构建执行计划，并管理计算节点中的查询执行。计算节点在领导节

点的指示下存储数据、执行计算和运行查询。可通过 ODBC 和 JDBC 终端节点访问（使用标准的 PostgreSQL 驱动程序）每个集群的领导节点。计算节点在独立的隔离网络上运行且绝不能直接访问。

预置集群后，可使用常用的基于 SQL 的工具和商业智能应用程序上传数据集和执行数据分析查询。

集群访问默认情况下，您创建的集群对所有人都是关闭的。利用 Amazon Redshift 可以配置防火墙规则（安全组），以

控制对数据仓库集群的网络访问。您也可在 Amazon VPC 中运行 Redshift，将您的数据仓库集群隔离在您自己

的虚拟网络中，并使用行业标准加密 IPsec VPN 将其连接至您现有的 IT 基础设施。创建集群的 AWS 账户拥有该集群的完全访问权。在 AWS 账户中，您可以使用 AWS IAM 创建用户账户和

管理这些账户的权限。通过使用 IAM，您可向不同的用户授予权限，使其只能执行完成其工作所必需的集群

操作。与所有数据库一样，除了授予资源级访问权限外，您还必须在 Redshift 中授予数据库级权限。数据库用户是

可连接到数据库的指定用户账户，当这些用户账户登录 Amazon Redshift 时，系统会对其进行身份验证。在 Redshift 中，您基于集群而非表向数据库用户授予权限。但是，用户只能查看由其自己的活动生成的表行中的

数据；而无法查看由其他用户生成的行。创建数据库对象的用户是该对象的所有者。默认情况下，仅对象的超级用户或所有者能够查询、修改对象或授

予对象的权限。对于要使用对象的用户，您必须向用户或包含用户的组授予必要权限。仅对象的所有者能够修

改或删除对象。数据备份 Amazon Redshift 跨集群中的所有计算节点分发您的数据。在运行具有至少两个计算节点的集群时，每个节

点上的数据始终会镜像到其他节点的磁盘上，从而降低数据丢失的风险。此外，写入到集群中的某个节点的

所有数据会通过快照持续备份到 Amazon S3。Redshift 按用户定义的期间存储您的快照，此期间可以是 1 到 35 天。您也可在任何时候拍摄自己的快照；这些快照影响所有现有的系统快照，并可保留到您明确地

删除它们的时候为止。


第 47 页，共 74 页

Amazon Redshift 持续监控集群的健康状态并自动从故障驱动器重新复制数据，并在必要时替换节点。所有这

些操作都将自动进行，无需您参与其中，但在重新复制过程中，性能可能会略为降低。您可通过 AWS 管理控制台或 Amazon Redshift API 用任何系统快照或用户快照来恢复您的集群。一旦恢复了系

统元数据，您的集群就可供使用，而且您可在用户数据在后台脱机的时候开始运行查询。数据加密在创建集群时，可以选择对集群进行加密以便为静态数据提供额外保护。在集群中启用加密时，Amazon Redshift 会利用硬件加速的 AES-256 数据块加密密钥以加密格式将所有数据存储在用户创建的表中。这包括写

入磁盘以及任何备份的所有数据。

Amazon Redshift 使用基于密钥的四层架构来进行加密。这些密钥包括数据加密密钥、数据库密钥、集群密钥

和主密钥：

• 数据加密密钥对集群中的数据块进行加密。每个数据块分配有一个随机生成的 AES- 256 密钥。这些密钥是使用集群的数据库密钥进行加密的。

• 数据库密钥对集群中的数据加密密钥进行加密。数据库密钥是随机生成的 AES- 256 密钥。它存储在独

立于 Amazon Redshift 集群的网络中的磁盘上，并通过主密钥进行加密。Amazon Redshift 跨安全通道传

递数据库密钥，并将其保留在集群的内存中。

• 集群密钥对 Amazon Redshift 集群的数据库密钥进行加密。您可以使用 AWS 或硬件安全模块 (HSM) 来存储集群密钥。HSM 提供对密钥生成和管理的直接控制，并使密钥管理独立于应用程序和数据库。

• 如果集群密钥存储在 AWS 中，则主密钥会对集群密钥进行加密。如果集群密钥存储在 HSM 中，主密钥将对集群密钥加密的数据库密钥进行加密。

您可以让 Redshift 随时轮换您的已加密集群的加密密钥。作为轮换过程的一部分，集群的所有自动快照和手动

快照的密钥也将进行更新。请注意，在集群中启用加密将影响性能，即使它是硬件加速的。加密也应用于备份。在从加密快照进行恢复

时，也将对新集群进行加密。要在向 Amazon S3 上传表加载数据文件时对这些文件进行加密，可使用 Amazon S3 服务器端加密。从 Amazon S3 加载数据时，COPY 命令将在加载表时解密数据。

数据库审核日志记录 Amazon Redshift 记录所有 SQL 操作，包括连接尝试、查询以及对数据库的更改。您可以对系统表使用 SQL 查询来访问这些日志，也可以选择将它们下载到安全的 Amazon S3 存储桶。随后，可以使用这些审核日志监控您

的集群以实现安全性并进行故障排除。

自动执行软件修补 Amazon Redshift 管理设置、运行和扩展数据仓库的所有工作，包括预置容量、监控集群和向 Amazon Redshift 引擎应用补丁和升级。补丁仅在指定维护时段内应用。


第 48 页，共 74 页

SSL 连接为保护 AWS 云中的传输中的数据，Amazon Redshift 使用硬件加速的 SSL 来与 Amazon S3 或 Amazon DynamoDB 进行通信，以执行 COPY、UNLOAD、备份和恢复操作。您可通过在与集群关联的参数组中指定 SSL 来加密客户端与集群间的连接。要使客户端也对 Redshift 服务器执行身份验证，您可在客户端上安装 SSL 证书的公有密钥（.pem 文件）并使用该密钥连接到集群。

Amazon Redshift 提供更新、更强的密码套件，这些套件使用 Elliptic Curve Diffie-Hellman Ephemeral 协议。

ECDHE 允许 SSL 客户端提供客户端与 Redshift 集群之间的完全向前保密。完全向前保密使用未存储在任何位

置的临时会话密钥，这可防止未经授权的第三方对捕获到的数据进行解码，即使加密的长期密钥本身已泄露也

是如此。您无需在 Amazon Redshift 中进行任何配置即可启用 ECDHE；如果您从使用 ECDHE 加密客户端与服

务器之间的连接的 SQL 客户端工具进行连接，则 Amazon Redshift 将使用提供的密码列表进行适当的连接。

Amazon ElastiCache 安全性 Amazon ElastiCache 是一种 Web 服务，可让用户在云中轻松设置、管理和扩展分布式内存中的缓存环境。该

服务允许您从快速的托管内存中的缓存系统中检索信息，而无需完全依赖于速度较慢的基于磁盘的数据库，

从而提高了 Web 应用程序的性能。它可用于显著改进很多高读取量的应用程序工作负载（例如社交网络、游

戏、媒体共享和 Q&A 门户）或计算密集型工作负载（例如建议引擎）的延迟和吞吐量。缓存可将关键数据

存储在内存中，以便进行低延迟访问，从而提高应用程序性能。缓存信息可能包括 I/O 密集型数据库查询的

结果或计算密集型计算的结果。

Amazon ElastiCache 服务可自动完成内存中的缓存环境的耗时的管理任务，例如，补丁管理、故障检测和恢

复。它可与其他 Amazon Web Services（例如 Amazon EC2、Amazon CloudWatch 和 Amazon SNS）协同工作，

以提供一个安全、高性能和托管的内存中的缓存。例如，在 Amazon EC2 中运行的应用程序能够以很低的延迟

安全地访问同一区域中的 Amazon ElastiCache 集群。通过使用 Amazon ElastiCache 服务，您可以创建缓存集群，该缓存集群是一个或更多缓存节点的集合，其中每

个缓存节点均运行一个 Memcached 服务实例。缓存节点是具有固定大小的、与网络连接的安全 RAM 区块。每

个缓存节点都运行一个 Memcached 软件实例，并且具有其自己的 DNS 名称和端口。支持多种类型的缓存节

点，每种缓存节点可具有不同的关联内存量。可以使用特定数量的缓存节点和一个控制各个缓存节点属性的缓

存参数组来设置缓存集群。一个缓存集群中的所有缓存节点都应该是相同的节点类型，并且具有相同的参数和

安全组设置。

Amazon ElastiCache 允许您使用缓存安全组控制对缓存集群的访问。缓存安全组与防火墙的功能类似，控制对

您的缓存集群的网络访问。默认情况下，对缓存集群的网络访问处于关闭状态。如果希望应用程序可以访问您

的缓存集群，必须明确允许来自于特定 EC2 安全组中主机的访问。一旦配置了入口规则，相同的规则将适用

于与该缓存安全组关联的所有缓存集群。


第 49 页，共 74 页

要允许对您的缓存集群进行网络访问，可创建一个缓存安全组，然后使用 Authorize Cache Security Group Ingress API 或 CLI 命令授权所需的 EC2 安全组（此 EC2 安全组进而会指定允许的 EC2 实例）。当前没有为缓存集群

启用基于 IP 范围的访问控制。缓存集群的所有客户端必须处于 EC2 网络中，并通过缓存安全组进行授权。

ElastiCache for Redis 提供备份和还原功能，使您能够为整个 Redis 集群创建其特定时间点的快照。您可以计划

每天自动重复的快照，也可以随时手动创建快照。对于自动快照，您应指定一个保留期；手动快照将保留直至

您将其删除。快照将存储在 Amazon S3 中并具有极高的持久性，并且快照可用于热启动、备份和存档。

http://aws.amazon.com/s3/


第 50 页，共 74 页

应用程序服务

Amazon Web Services 提供各种托管服务以用于您的应用程序，包括提供应用程序流处理、队列、推送通知、

电子邮件交付、搜索和转码的服务。

Amazon CloudSearch 安全性 Amazon CloudSearch 是一项云中的托管服务，可让您轻松地为网站设置、管理和扩展搜索解决方案。Amazon CloudSearch 可让您搜索大型数据集合，例如网页、文档文件、论坛帖子或产品信息。它可让您快速地向网站添

加搜索功能，而不必成为搜索专家或担心硬件预置、设置和维护问题。随着您的数据量和流量变化，Amazon CloudSearch 会自动进行调整，满足您的需求。

Amazon CloudSearch 域将封装要搜索的数据、处理搜索请求的搜索实例和控制数据的索引和搜索方式的配置的集

合。对于您希望使其可搜索的每个数据集合，您可为其创建一个单独的搜索域。对于每个域，您配置索引选项

（用于描述要包括在索引中的字段及其使用方式）、文本选项（用于定义特定于域的非索引字、词干和同义词）、

排名表达式（用于自定义搜索结果的排序方式）、访问策略（用于控制对域的文档和搜索终端节点的访问）。对搜索域的终端节点的访问受 IP 地址的限制，以便仅授权主机能够提交文档和发送搜索请求。IP 地址授权仅用

于控制对文档和搜索终端节点的访问。必须使用标准 AWS 身份验证对所有 Amazon CloudSearch 配置请求进行身

份验证。

Amazon CloudSearch 提供了单独的终端节点，用于访问配置、搜索和文档服务：

• 通过通用终端节点访问配置服务：cloudsearch.us-east-1.amazonaws.com

• 文档服务终端节点用于将文档提交到域以便建立索引，并且通过特定于域的终端节点来访问： http://doc-domainname-domainid.us-east-1.cloudsearch.amazonaws.com

• 搜索终端节点用于将搜索请求提交到域，并通过特定于域的终端节点访问：http://search-domainname-domainid.us-east-1.cloudsearch.amazonaws.com

请注意，如果您没有静态 IP 地址，则必须在 IP 地址发生更改时对计算机进行重新授权。如果您的 IP 地址是动

态分配的，则也有可能您正在与网络上的其他计算机共享该地址。这意味着，当您对 IP 地址进行授权时，共享

该地址的所有计算机将能够访问您的搜索域的文档服务终端节点。像所有 AWS 服务一样，Amazon CloudSearch 要求应该验证向其控制 API 发出的每个请求，以便仅经过身份验

证的用户能够访问和管理您的 CloudSearch 域。使用 HMAC-SHA1 或 HMAC-SHA256 签名对 API 请求进行签

名，HMAC-SHA1 或 HMAC-SHA256 签名由请求和用户的 AWS 秘密访问密钥计算得出。此外，可通过 SSL 加密的终端节点访问 Amazon CloudSearch 控制 API。您可以通过在您的 AWS 账户下使用 AWS IAM 创建用户并

控制这些用户有权执行哪些 CloudSearch 操作来控制对 Amazon CloudSearch 管理功能的访问。

http://doc-domainname-domainid.us-east-1.cloudsearch.amazonaws.com/

http://search-domainname-domainid.us-east-1.cloudsearch.amazonaws.com/

http://search-domainname-domainid.us-east-1.cloudsearch.amazonaws.com/


第 51 页，共 74 页

Amazon Simple Queue Service (Amazon SQS) 安全性 Amazon SQS 是一种高度可靠、可扩展的信息查询服务，它在应用程序的分布式组件之间启用基于异步信息的

通讯。这些组件可能是计算机或 Amazon EC2 实例，或者是这两者的组合。您可用 Amazon SQS 从任何组件在

任何时候发送任意数据的信息至一个 Amazon SQS 队列。可立即或在较晚的时间（四天以内）从同一或不同组

件检索此信息。信息是高持久性的；每条信息持续地存储在高度可用且高度可靠的队列中。可同时从/向 Amazon SQS 队列读取/写入多条信息，且不会互相干扰。

根据 AWS 账户或用 AWS IAM 创建的用户授予 Amazon SQS 访问权。一旦经过鉴定，AWS 账户就对所有用户

操作具有完全的访问权。不过，AWS IAM 用户仅可访问已通过政策授予访问权的操作及队列。默认情形下，

对每个个别队列的访问权被限制为创建此队列的 AWS 账户。不过，您可使用 SQS 生成的策略或您写入的策略

允许队列的其他访问权。可通过 SSL 加密的端点访问 Amazon SQS。可以从 Internet 和 Amazon EC2 内部访问加密的终端节点。存储在 Amazon SQS 内的数据不由 AWS 加密；不过用户可在数据被加载至 Amazon SQS 之前对其进行加密，前提是

使用应用程序的队列具有在检索时解密信息的手段。在将数据发送至 Amazon SQS 之前进行加密有助于防止未

经授权的人访问敏感性的客户数据，包括 AWS。

Amazon Simple Notification Service (Amazon SNS) 安全性 Amazon Simple Notification Service (Amazon SNS) 是一种 Web 服务，让用户能够轻松设置、运行及从云中

发送通知。它为开发人员提供高度可扩展、灵活并且经济高效的功能，以便从应用程序发布消息并立即将

它们交付到订阅者或其他应用程序中。

Amazon SNS 提供简单的 Web 服务界面，它可创建客户希望通知应用程序（或用户）的主题、让客户端订阅这

些主题、发布消息并通过客户端所选的协议（即 HTTP/HTTPS、电子邮件等）交付这些消息。Amazon SNS 使用“推送”机制向客户端交付通知，该机制无需定期检查或“轮询”新的信息和更新。利用 Amazon SNS 可构

建高度可靠的、事件驱动的工作流和消息发送应用程序，而无需复杂的中间件和应用程序管理。使用 Amazon SNS 的潜在情况包括监控应用程序、工作流系统、时间敏感型信息更新、移动应用程序等。Amazon SNS 提供

访问控制机制，以确保主题和消息免遭未授权访问。主题所有者可以为主题设定策略，限制哪些人可以发布或

订阅主题。此外，主题所有者可以指定交付机制必须为 HTTPS，对传输进行加密。根据 AWS 账户或用 AWS IAM 创建的用户授予 Amazon SNS 访问权。一旦经过鉴定，AWS 账户就对所有用户

操作具有完全的访问权。不过，AWS IAM 用户仅可访问已通过策略授予访问权的操作及主题。默认情况下，

仅创建每个单独主题的 AWS 账户能够访问该主题。不过，您可使用 SNS 生成的策略或您写入的策略来允许 SNS 的其他访问权。


第 52 页，共 74 页

Amazon Simple Workflow Service (Amazon SWF) 安全性 Amazon Simple Workflow Service (SWF) 可用于轻松构建在分布式组件上协同工作的应用程序。您通过 Amazon SWF 将应用程序中的各种处理步骤构建为“任务”来驱动分布式应用程序，Amazon SWF 能以可靠且可扩展

的方式协调这些任务。根据开发人员的应用程序逻辑，Amazon SWF 管理任务运行依赖关系、时间安排和并行

机制。该服务存储任务，将任务分配到应用程序组件中，跟踪其进度并保存其最新状态。

Amazon SWF 提供了简单 API 调用，它们可以通过用任何语言编写的代码执行，并可在 EC2 实例或全球各地

可访问 Internet 的计算机上运行。Amazon SWF 充当一个协调中心，能与您的应用程序主机进行交互。利用 Amazon SWF，您可创建和存储所需的工作流程及其相关任务和要应用的任何条件逻辑。

根据 AWS 账户或用 AWS IAM 创建的用户授予 Amazon SWF 访问权。执行工作流的所有参与者（包括决策

者、活动工作人员、工作流管理员）都必须是拥有 Amazon SWF 资源的 AWS 账户下的 IAM 用户。您不能向

与其他 AWS 账户关联的用户授予 Amazon SWF 工作流的访问权。不过，AWS IAM 用户仅可访问已通过策略

授予访问权的工作流及资源。

Amazon Simple Email Service (Amazon SES) 安全性 Amazon Simple Email Service (SES) 是在 Amazon 的可靠和可扩展的基础设施上构建的一项仅外发电子邮件发送

服务。Amazon SES 可帮助您最大程度地提高电子邮件传输能力并了解电子邮件的传输状态。Amazon SES 可与

其他 AWS 服务集成，使得从 Amazon EC2 等服务中托管的应用程序发送电子邮件变得轻松简单。遗憾的是，对于其他电子邮件系统，垃圾邮件发送者可伪造电子邮件标头并欺骗原始电子邮件地址，使电子邮

件看起来好像源自不同的来源。为了缓解这些问题，Amazon SES 要求用户验证其电子邮件地址或域，以便确

认其所有权并防止其他人使用该地址或域。为了验证域，Amazon SES 要求发件人发布 Amazon SES 作为域控制

证据提供的 DNS 记录。Amazon SES 定期检查域验证状态，并在验证不再有效时将其撤销。

Amazon SES 采取主动的措施来防止发送可疑的内容，因此 ISP 可以始终如一地收到来自我们的域的高质量电

子邮件，因而能将 Amazon SES 视为受信任的电子邮件来源。以下是一些可最大程度地提高所有发件人的发

送率和可靠性的功能：

• Amazon SES 使用内容筛选技术，在邮件发送之前，协助检测和拦截包含病毒或恶意软件的邮件。

• Amazon SES 拥有来自主要 ISP 的投诉反馈循环。投诉反馈循环指明收件人将哪些电子邮件标记为垃圾

邮件。Amazon SES 可让您访问这些送达指标，以帮助引导您的发送策略。

• Amazon SES 使用各种技术来衡量每个用户的发送质量。这些机制有助于标识和禁用将 Amazon SES 用于未经请求的邮件的尝试，并检测可能损害 Amazon SES 在 ISP、邮箱提供商和反垃圾邮件服务方面的

声誉的其他发送模式。


第 53 页，共 74 页

• Amazon SES 支持各种身份验证机制，例如，发件人策略框架 (SPF) 和域名密钥识别邮件 (DKIM)。在对

电子邮件进行身份验证时，应向 ISP 证明您拥有域。Amazon SES 使您能够轻松验证您的电子邮件。如

果您配置账户以使用 Easy DKIM，Amazon SES 将通过 DKIM 代表您对电子邮件进行签名，以便您可以

重点处理电子邮件发送策略的其他方面。为了确保实现最佳送达率，建议您对电子邮件进行身份验证。与其他 AWS 服务一样，您使用安全凭证验证您的身份以及您是否有权与 Amazon SES 进行交互。有关要使用

的凭证的信息，请参阅“对 Amazon SES 使用凭证”。Amazon SES 还与 AWS IAM 相集成，以便您指定用户

可以执行哪些 Amazon SES API 操作。如果您选择通过 Amazon SES 的 SMTP 接口与其进行通信，则需要使用 TLS 对您的连接进行加密。Amazon SES 支持通过两种机制建立 TLS 加密的连接：STARTTLS 和 TLS Wrapper。如果您选择通过 HTTP 与 Amazon SES 进行通信，则 TLS 将通过 Amazon SES 的 HTTPS 终端节点保护所有通信。在将电子邮件发送到其最终目的地

时，Amazon SES 将使用机会性的 TLS 对电子邮件内容进行加密（如果收件人支持这样做）。

Amazon Elastic Transcoder 服务安全性 Amazon Elastic Transcoder 服务可简化和自动化通常复杂的将媒体文件从一种格式、大小或质量转换为另一种格

式、大小或质量的过程。Elastic Transcoder 服务可转换标清 (SD) 或高清 (HD) 视频文件及音频文件。它可从某

个 Amazon S3 存储桶读取输入，执行转码，然后将结果文件写入至其他 Amazon S3 存储桶。您可以对输入和输

出使用相同的存储桶，并且存储桶可以位于任意 AWS 区域中。Elastic Transcoder 接受各种 Web、使用器和专

业格式的输入文件。输出文件类型包括 MP3、MP4、OGG、TS、WebM、使用 MPEG-2 TS 的 HLS 和使用 fmp4 容器类型的平滑流，用于存储 H.264 或 VP8 视频和 AAC、MP3 或 Vorbis 音频。

首先，创建一个或多个输入文件，然后在一种称作“转码管道”的工作流中为每个文件创建转码作业。在创建

管道时，您将指定输入和输出存储桶以及 IAM 角色。每个作业必须引用一个称作“转码预置”的媒体转换模

板，并且将生成一个或多个输出文件。预置告知 Elastic Transcoder 在处理特定输入文件时要使用的设置。创建

预置时可指定许多设置，包括采样率、比特率、分辨率（输出高度和宽度）、引用和关键帧数、视频比特率、

某些缩略图创建选项等。系统会尽最大努力按照作业的提交顺序启动作业，但这不是硬性保证，作业通常会以任意顺序完成，这是因为

作业是并行执行的且复杂程度各不相同。您可根据需要暂停和恢复任意管道。

Elastic Transcoder 支持在以下情况下使用 SNS 通知：在开始和完成每个作业时以及在需要告知您检测到错误或

警告情况时。SNS 通知参数与每个管道关联。此外，还可使用“按状态列出作业”功能查找具有给定状态（如

“已完成”）的所有作业，或使用“读取作业”功能检索有关特定作业的详细信息。与所有其他 AWS 服务一样，Elastic Transcoder 与 AWS Identity and Access Management (IAM) 集成，使您能够

控制对该服务以及 Elastic Transcoder 所需的其他 AWS 资源（包括 Amazon S3 存储桶和 Amazon SNS 主题）的

访问。默认情况下，IAM 用户无权访问 Elastic Transcoder 或其使用的资源。如果您希望 IAM 用户能够使用 Elastic Transcoder，则必须明确地向这些用户授予权限。


第 54 页，共 74 页

Amazon Elastic Transcoder 要求对其控制 API 的每个请求都经过身份验证，这样仅经过身份验证的流程或用户

能创建、修改或删除其自己的 Amazon Transcoder 管道或预置。使用 HMAC-SHA256 签名对请求进行签名，

HMAC-SHA256 签名由请求和派生自用户私有密钥计算得出。此外，仅可通过 SSL 加密的终端节点访问 Amazon Elastic Transcoder API。

持久性由 Amazon S3 提供，媒体文件冗余地存储在跨 Amazon S3 区域中的多个设施的多台设备上。为进一步防

止用户意外删除媒体文件，您可以利用 Amazon S3 中的版本控制功能来保留、检索和恢复 Amazon S3 存储桶中

存储的每个对象的所有版本。您可以使用 Amazon S3 版本控制的“MFA 删除”功能进一步保护版本。一旦为

某个 Amazon S3 存储桶启用此功能，每个版本删除请求就必须包括来自多重验证设备的六位数代码及序号。

Amazon AppStream 安全性 Amazon AppStream 服务提供一个用于运行流应用程序（尤其是需要在移动设备上运行的轻型客户端的应用

程序）的框架。它可让您在云中的功能强大的并行处理 GPU 上存储和运行应用程序，然后将输入和输出流

式传输到任意客户端设备。这可以是预先存在的应用程序（可修改此应用程序来处理 Amazon AppStream）

或专门设计用来处理服务搭配的新应用程序。

Amazon AppStream 软件开发工具包可简化交互式流应用程序与客户端应用程序的开发。软件开发工具包提供

了一些 API，它们可将您客户的设备直接连接到您的应用程序、捕获和编码音频及视频、几乎实时通过 Internet 流式传输内容、在客户端设备上解码内容，以及将用户输入返回到应用程序。由于您的应用程序处理

是在云中发生的，它可以进行扩展以处理非常大的计算负载。

Amazon AppStream 在 Amazon EC2 上部署流应用程序。在通过 AWS 管理控制台添加流应用程序时，该服

务会创建承载应用程序所需的 AMI，并使您的应用程序对流客户端可用。该服务将在您为满足需求而设置的

容量限制内按需扩展您的应用程序。使用 Amazon AppStream 软件开发工具包的客户端将自动连接到您的流

应用程序。大多数情况下，您需要先确保运行客户端的用户已获得授权能够使用应用程序，然后再让该用户获取会话 ID。

建议您使用某种类型的权限服务，此服务将验证客户端并授权其连接到您的应用程序。在这种情况下，权限服

务还将调用 Amazon AppStream REST API 以便为客户端创建新的流会话。在权限服务创建新的会话后，会以一

次性权限 URL 的形式将会话标识符返回给经授权的客户端。随后，该客户端将使用权限 URL 来连接到应用程

序。您的权限服务可承载于 Amazon EC2 实例或 AWS Elastic Beanstalk 上。

Amazon AppStream 使用 AWS CloudFormation 模板来自动化部署安装了 AppStream Windows 应用程序库和 Windows 客户端软件开发工具包库的 GPU EC2 实例的过程；已针对 SSH、RDC 或 VPN 访问配置此模板；此

模板已分配有一个弹性 IP 地址。通过使用此模板部署独立流服务器，您只需将应用程序上传到服务器并运行

命令即可将其启动。随后，您可以使用 Amazon AppStream 服务模拟器工具在独立模式下测试您的应用程序，

再将其部署到生产中。

Amazon AppStream 还使用 STX 协议管理从 AWS 到本地设备的应用程序流。Amazon AppStream STX 协议是用

于在不同网络条件下流式处理高质量应用程序视频的专有协议；它可监控网络条件并自动调整视频流，以向您

的客户提供低延迟、高分辨率的体验。它最大程度地减少延迟，并同步音频和视频以及获取要发送回在 AWS 中运行的应用程序的客户输入。

http://aws.amazon.com/elasticbeanstalk/


第 55 页，共 74 页

分析服务

Amazon Web Services 提供基于云的分析服务，帮助您处理和分析任意数量的数据，无论您的需求是针对托

管的 Hadoop 集群、实时流数据、PB 级数据仓库还是业务流程。

Amazon Elastic MapReduce (Amazon EMR) 安全性 Amazon Elastic MapReduce (Amazon EMR) 是一项托管的 Web 服务，可用来运行通过在多个服务器间分配工作和

数据来处理大量数据的 Hadoop 集群。它利用的是 Amazon EC2 和 Amazon S3 的 Web 规模基础设施上运行的增

强版 Apache Hadoop 框架。您只需将输入数据和数据处理应用程序上传到 Amazon S3。随后，Amazon EMR 将启

动指定数量的 Amazon EC2 实例。该服务开始执行任务流，同时将输入数据从 Amazon S3 推入启动的 Amazon EC2 实例。在任务流完成后，Amazon EMR 即可将输出数据传输到 Amazon S3，您在此可以进行数据检索或将

其用作其他任务流的输入数据。在代表您启动任务流时，Amazon EMR 会设置两个 Amazon EC2 安全组：一个用于主节点，另一个用于从属节

点。主安全组的端口是开放的，以便与服务进行通信。它的 SSH 端口也呈开放状态，以允许您使用启动时指定

的密钥 SSH 到实例。从实例在单独的安全组中启动，仅允许与主实例进行交互。默认情况下，两个安全组都设

置为不允许从属于其他客户的 Amazon EC2 实例等外部源进行访问。由于这些是您账户内的安全组，所以您可

以使用标准 EC2 工具或仪表板重新配置它们。为了保护客户的输入及输出数据集，Amazon EMR 用 SSL 将数

据传入或传出 Amazon S3。

Amazon EMR 提供了多种控制集群资源访问权限的方法。您可以使用 AWS IAM 创建用户账户和角色，并配置

控制这些用户和角色可以访问哪些 AWS 功能的权限。启动集群后，可以将 Amazon EC2 密钥对与该集群相关

联，随后便可在通过 SSH 连接到集群时使用此密钥对。此外，您还可以设置权限，以便允许默认 Hadoop 用户

以外的其他用户向您的集群提交作业。默认情况下，如果 IAM 用户启动集群，该集群会对 AWS 账户上的其他 IAM 用户隐藏。这种筛选条件会出现

在所有 Amazon EMR 界面（控制台、CLI、API 和软件开发工具包）上，有助于防止 IAM 用户访问和无意中更

改由其他 IAM 用户创建的集群。对于旨在仅让单个 IAM 用户和主 AWS 账户查看的集群而言，它是非常有用

的。其中提供的一些选项，可让您向单个 AWS 账户下的所有 IAM 用户显示集群，并供这些用户访问。要提高额外的一层保护，您可以在 Amazon VPC 中启动您的 EMR 集群的 EC2 实例，就像在私有子网中启动该

实例一样。这使您能够控制对整个子网络的访问。您也可以在 VPC 中启动集群并使集群能够通过 VPN 连接访

问内部网络上的资源。在将输入数据上传至 Amazon S3 之前，可使用任何常用数据加密工具对该数据进行加

密。如果您在上传数据之前对其进行加密，则需要在 Amazon Elastic MapReduce 从 Amazon S3 获取数据时为任

务流的开头添加一个解密步骤。


第 56 页，共 74 页

Amazon Kinesis 安全性 Amazon Kinesis 是一项用于处理实时大数据流的托管服务。它可以接受来自任意数量的源的任意量的数据，并

按需向上扩展和向下扩展。您可以在需要大规模实时数据注入和处理（例如，服务器日志、社交媒体或市场数

据源和 Web 点击流数据）的情况下使用 Kinesis。应用程序读取数据记录并以流的形式将其写入 Amazon Kinesis。您可创建任意数量的 Kinesis 流来捕获、存

储和传输数据。Amazon Kinesis 自动管理所需的基础设施、存储、联网和配置以便在您的流应用程序所需的

吞吐量级别收集和处理数据。您不必担心硬件、软件或其他服务的预置、部署或持续维护，即可实时捕获和

存储大量数据。此外，Amazon Kinesis 还可在 AWS 区域的三个设施上同步复制数据，为您提供高可用性和

数据持久性。在 Amazon Kinesis 中，数据记录包含序列号、分区键和数据 Blob，后者是不解释的、不可变的字节序列。

Amazon Kinesis 服务不以任何方式检查、解释或更改 Blob 中的数据。数据记录仅在其被添加到 Amazon Kinesis 流后的 24 小时内可访问，随后将被自动丢弃。

您的应用程序是 Amazon Kinesis 流的使用者，该流通常运行于一系列 Amazon EC2 实例上。Kinesis 应用程序使

用 Amazon Kinesis 客户端库从 Amazon Kinesis 流进行读取。Kinesis 客户端库为您处理各种任务（包括故障转

移、恢复和负载均衡），从而允许您的应用程序在数据可用时集中处理数据。在处理记录之后，您的使用者代

码可将记录传递给另一个 Kinesis 流；将记录写入 Amazon S3 存储桶、Redshift 数据仓库或 DynamoDB 表；或丢

弃记录。连接器库可用于帮助您将 Kinesis 与其他 AWS 服务（如 DynamoDB、Redshift 和 Amazon S3）以及第

三方产品（如 Apache Storm）集成。可通过在您的 AWS 账户下使用 AWS IAM 创建用户并控制这些用户有权执行的 Kinesis 操作，来控制对 Kinesis 资源和管理功能的逻辑访问。要便于在 Amazon EC2 实例上运行您的创建者或使用者应用程序，您可使

用 IAM 角色配置该实例。这样一来，反映与 IAM 角色关联的权限的 AWS 凭证将对实例上的应用程序可用，

这意味着，您不必使用长期 AWS 安全凭证。角色增加了一个好处，即提供将在短时间内过期的临时凭证，从

而添加了一项额外的保护措施。有关 IAM 角色的更多信息，请参阅使用 IAM 指南。

Amazon Kinesis API 只能通过 SSL 加密的终端节点 (kinesis.us-east-1.amazonaws.com) 进行访问以帮助确保到 AWS 的安全数据传输。您必须连接到此终端节点才能访问 Kinesis，但您随后可使用 API 指示 AWS Kinesis 在任意 AWS 区域中创建流

AWS Data Pipeline 安全性 AWS Data Pipeline 服务借助数据驱动型工作流和内置的依赖性检查来帮助您按指定的时间间隔在不同的数据

源之间处理和移动数据。在创建管道时，您需要定义数据源、前提条件、目的地、处理步骤及可操作的计

划。在定义并激活管道后，它将根据您指定的计划自动运行。借助 AWS Data Pipeline，您无需担心检查资源可用性、管理任务间的依赖关系、单个任务中重试瞬时失效或超

时或创建故障通知系统。AWS 数据管道负责启动管道处理数据所需的 AWS 服务和资源（如 Amazon EC2 或 EMR），并将结果传输至存储（如 Amazon S3、RDS、DynamoDB 或 EMR）。

http://docs.aws.amazon.com/IAM/latest/UserGuide/IAM_Introduction.html


第 57 页，共 74 页

在使用控制台时，AWS Data Pipeline 会为您创建必要的 IAM 角色和策略，包括可信任实体列表。IAM 角色决

定管道可访问的内容以及可执行的操作。此外，在管道创建资源（如 EC2 实例）时，IAM 角色还决定 EC2 实例的允许的资源和操作。创建管道时，您需要指定一个 IAM 角色来管理管道，并指定另一个 IAM 角色来管理

管道的资源（称作“资源角色”），这两个角色可以相同。作为最低特权的安全最佳实践的一部分，建议您仔

细考虑管道执行工作所需的最低权限并相应地定义 IAM 角色。与大多数 AWS 服务一样，AWS Data Pipeline 还提供了用于通过 SSL 进行访问的安全 (HTTPS) 终端节点选项。

部署和管理服务

Amazon Web Services 提供了各种工具来帮助部署和管理应用程序。这包括允许您使用 AWS 服务的访问凭证创

建个人用户账户的服务。它还包括创建和更新 AWS 资源堆栈、在这些资源上部署应用程序和监控 AWS 资源运

行状况的服务。出于安全性与合规性目的，其他工具帮助您使用硬件安全模块 (HSM) 管理加密密钥并记录 AWS API 活动。

AWS Identity and Access Management (AWS IAM) AWS IAM 可让您在 AWS 账户中创建多个用户并分别管理这些用户的权限。用户是具有唯一安全凭证的身份

（位于 AWS 账户中），安全凭证可用来访问 AWS 服务。AWS IAM 无需共享密码或密钥，可轻松地酌情启用

或禁用用户的访问权限。

AWS IAM 使您能够实施最佳安全实践，例如最低权限，在您的 AWS 账户内向每个用户授予唯一凭证，并且仅

授予访问用户执行其工作所需的 AWS 服务和资源的权限。AWS IAM 默认状态下启用安全保护；新用户只有被

显式授予了权限后才能访问 AWS 资源。

AWS IAM 还与 AWS Marketplace 集成，因此，您可以控制组织中哪些人可以订阅 Marketplace 中提供的软

件和服务。由于订阅 Marketplace 中的特定软件会启动 EC2 实例来运行该软件，因此这是一项非常重要的访

问控制功能。使用 AWS IAM 控制对 AWS Marketplace 的访问也使 AWS 账户所有者能够详细控制使用率和

软件成本。

AWS IAM 使您能够最大限度地减少对 AWS 账户凭证的使用。创建 AWS IAM 用户账户之后，应始终通过 AWS IAM 用户安全凭证与 AWS 服务和资源进行交互。有关 AWS IAM 的更多信息，请参阅 AWS 网站：

http://aws.amazon.com/iam/

角色 IAM 角色使用临时安全凭证以允许您将访问权限委派给通常无权访问您的 AWS 资源的用户或服务。角色是一组

访问特定 AWS 资源的权限，但这些权限未关联至某个特定的 IAM 用户或组。授权实体（例如，移动用户、EC2 实例）担任角色，并接收用于对角色中定义的资源进行身份验证的临时安全凭证。临时由于安全凭证的生存期较

短（默认过期时间为 12 小时）且在过期后无法重用，因此增强了安全性。这对于在特定情况下提供有限的、受控

的访问权限特别有用：

http://aws.amazon.com/iam/


第 58 页，共 74 页

• 联合（非 AWS）身份用户访问。联合身份用户是没有 AWS 账户的用户（或应用程序）。使用角色，

您可为此类用户提供在有限时间内访问 AWS 资源的权限。如果您拥有使用外部服务（如 Microsoft Active Directory、LDAP 或者 Kerberos）验证的非 AWS 用户，这会很有用。用于角色的临时 AWS 凭证

在 AWS 和您的身份和授权系统中的非 AWS 用户之间提供联合身份验证。

如果您的组织支持 SAML 2.0（安全断言标记语言 2.0），则可在作为身份提供商 (IdP) 的贵组织与作为服

务提供商的其他组织之间建立信任。在 AWS 中，您可将 AWS 配置为服务提供商，并通过 SAML 使您

的用户可联合单一登录 (SSO) 到 AWS 管理控制台或获取联合访问权以调用 AWS API。

此外，如果您创建访问 AWS 资源的移动应用程序或基于 Web 的应用程序，则角色也很有用。AWS 资源需要编程请求的安全凭证；但是，您不应将长期安全凭证嵌入应用程序中，因为这些凭证可供应用程

序用户访问，并且难以轮换。您可以让用户使用 Login with Amazon、Facebook 或 Google 登录您的应用

程序，然后使用其身份验证信息来担任角色和获取临时安全凭证。

• 跨账户访问。对于使用多个 AWS 账户管理其资源的组织，您可设置角色以便为具有一个账户中的权限

的用户提供访问另一账户下的资源的权限。对于具有极少需要访问另一个账户下的资源的人员的组织，

使用角色可帮助确保仅在需要时提供临时凭证。

• 在需要访问 AWS 资源的 EC2 实例上运行的应用程序。如果应用程序在 Amazon EC2 实例上运行，而

且需要请求 AWS 资源（例如 Amazon S3 存储桶或 DynamoDB 表），则应用程序必须具有安全凭证。

对于使用 AWS Auto Scaling 管理大量实例或弹性缩放队列的客户，使用角色而不是为每个实例上的每

个应用程序创建单独的 IAM 账户可节省大量时间。

临时凭证包括一个安全令牌、一个访问密钥 ID 和一个秘密访问密钥。要授予用户访问特定资源的权限，您需要

向您授予临时访问权限的用户分配临时安全凭证。用户在调用资源时会传入令牌和访问密钥 ID，并使用秘密访问

密钥对请求进行签名。此令牌将不会与其他访问密钥一起使用。用户传入令牌的方式取决于用户调用的 API 和 AWS 产品的版本。有关临时安全凭证的更多信息，请参阅 AWS 网站：http://docs.amazonwebservices.com/STS

使用临时凭证意味着为您提供更多保护，因为您不必为临时用户管理或分配长期凭证。此外，临时凭证将自动

加载到目标实例，因此您不必将其嵌入不安全的位置（如代码）。默认情况下，临时凭证每天自动轮换或更改

多次（无需您执行任何操作）并安全存储。

AWS 网站 http://docs.amazonwebservices.com/IAM 上的使用 IAM 指南中提供了有关使用 IAM 角色在 EC2 实例

上自动预置密钥的更多信息

Amazon CloudWatch 安全性 Amazon CloudWatch 是一种 Web 服务，用于监控通过 Amazon EC2 启动的 AWS 云资源。它使客户能够了解资

源利用率、运营性能和总体需求模式 — 包括 CPU 使用率、磁盘读写和网络流量等指标。您可以设置 CloudWatch 警报，使其在超出特定阈值时通知您或采取其他自动化操作（例如，在 Auto Scaling 启用时添加或

移除 EC2 实例）。

http://docs.amazonwebservices.com/STS/latest/UsingSTS/Welcome.html?r=181

http://docs.amazonwebservices.com/IAM/latest/UserGuide/Welcome.html


第 59 页，共 74 页

CloudWatch 本机捕获并汇总 AWS 资源的利用率指标，您还可监控发送给 CloudWatch 的其他日志。您可将来

宾操作系统、应用程序和 EC2 实例上安装的软件的自定义日志文件路由至 CloudWatch，这些内容将持久存储

所需时间。您可以配置 CloudWatch 以监控传入日志条目中是否有任何所需符号或消息，并将结果作为 CloudWatch 指标呈现。例如，您可监控 Web 服务器的日志文件中的 404 错误以检测错误的入站链接，或监控

其中的个人用户消息以检测对您的来宾操作系统的未经授权的登录尝试。与所有 AWS 服务一样，Amazon CloudWatch 要求验证对其控制 API 发出的每个请求，以便仅经过身份验证的

用户才能访问和管理 CloudWatch。使用 HMAC-SHA1 签名对请求进行签名，HMAC-SHA1 签名由请求和用户

私有密钥计算得出。此外，仅可通过 SSL 加密的终端节点访问 Amazon CloudWatch 控制 API。通过在您的 AWS 账户下使用 AWS IAM 创建用户并控制这些用户有权调用的 CloudWatch 操作，可进一步控制

对 Amazon CloudWatch 的访问。

AWS CloudHSM 安全性 AWS CloudHSM 服务为客户提供了对硬件安全模块 (HSM) 设备的专用访问，这些设备用于在抗入侵、防篡改的

设备中提供安全加密密钥存储和操作。您可生成、存储和管理用于数据加密的加密密钥，使其只能由您访问。

AWS CloudHSM 设备旨在安全地存储和处理适用于各种用途（如数据库加密、数字权限管理 (DRM)、公钥基础

结构 (PKI)、身份验证和授权、文档签名、事务处理）的加密密钥材料。它们支持某些目前可用的最强的密码算

法，例如 AES、RSA、ECC 等。

AWS CloudHSM 服务旨在与 Amazon EC2 和 VPC 配合使用，从而为设备提供私有子网内的私有 IP。您可以通

过 SSL/TLS 从 EC2 服务器连接到 CloudHSM 设备，这将使用双向数字证书身份验证和 256 位 SSL 加密来提供

安全通信通道。选择 EC2 实例所在区域内的 CloudHSM 服务可减少网络延迟，从而提高应用程序性能。您可以在 EC2 实例上

配置客户端，使您的应用程序能够使用 HSM 提供的 API，包括 PKCS#11、MS CAPI 和 Java JCA/JCE（Java 加密架构/Java 加密扩展）。

在开始使用 HSM 之前，您必须在该设备上设置至少一个分区。加密分区是限制访问您的密钥的逻辑和物理安

全边界，所以只有您能控制密钥和 HSM 执行的操作。AWS 具有设备的管理凭证，但这些凭证只能用于管理

设备，而非设备上的 HSM 分区。AWS 使用这些凭证来监控和维护设备的运行状况和可用性。AWS 无法提取

您的密钥，也无法使设备用您的密钥执行任何加密操作。

HSM 设备具有物理和逻辑篡改检测和响应机制（在检测到篡改情况时，将擦除加密密钥材料并生成事件日

志）。HSM 设计为在 HSM 设备的物理屏障被突破时会检测到篡改行为。此外，使用 HSM 管理员凭证尝试访

问 HSM 分区失败三次后，HSM 设备将擦除其 HSM 分区。在 CloudHSM 订阅到期时，如果您已确认不再需要 HSM 的内容，则必须删除每个分区及其内容以及所有日

志。作为解除流程的一部分，AWS 会将设备清零，永久性擦除所有密钥材料。


第 60 页，共 74 页

AWS CloudTrail 安全性 AWS CloudTrail 提供面向账户内的 AWS 资源的所有请求的日志。对于记录的每个事件，您可看到访问的服

务、执行的操作、操作的任何参数以及发出请求的人员。您不仅可看到哪个用户或服务在 AWS 服务上执行了

操作，而且可看到它是 AWS 根账户用户还是 IAM 用户，以及使用的是面向角色还是联合身份用户的临时安全

凭证。

CloudTrail 主要捕获有关对 AWS 资源发出的每个 API 调用的信息，无论调用是通过 AWS 管理控制台、CLI 还是软件开发工具包发出的。如果 API 请求返回错误，CloudTrail 将提供错误的描述，包括授权失败的消息。它

甚至会捕获 AWS 管理控制台登录事件，在 AWS 账户所有者、联合身份用户或 IAM 用户每次登录控制台时创

建日志记录。在启用 CloudTrail 后，每 5 分钟会向您选择的 Amazon S3 存储桶交付一次事件日志。日志文件是按 AWS 账户 ID、区域、服务名称、日期和时间整理的。您可配置 CloudTrail，以便将多个区域中的日志文件聚合到一个 Amazon S3 存储桶中。从存储桶中，您可将日志文件上传到喜欢的日志管理和分析解决方案中，以执行安全分析

和检测用户行为模式。默认情况下，日志文件将无限期存储。日志文件通过 Amazon S3 的服务器端加密自动进行加密，并将保留在存

储桶中，直至您选择对其进行删除或存档操作。您可使用 Amazon S3 生命周期配置规则自动删除旧的日志文件

或将其存档到 Amazon Glacier 以延长生命周期，从而实现大量节省。与所有其他 AWS 服务一样，您可仅允许特定用户访问 CloudTrail。您可使用 IAM 控制哪些 AWS 用户可创

建、配置或删除 AWS CloudTrail 线索以及哪些用户可启动和停止日志记录。您可通过应用 IAM 或 Amazon S3 存储桶策略来控制对日志文件的访问。您还可通过在 Amazon S3 存储桶上启用 MFA 删除来添加额外安全层。

移动服务

AWS 移动服务使您能够更轻松地为移动设备构建、装运、运行、监控、优化和缩放云支持的应用程序。这些

服务还帮助您验证移动应用程序用户的身份、同步数据以及收集和分析应用程序使用情况。

Amazon Cognito Amazon Cognito 提供面向移动和基于 Web 的应用程序的身份和同步服务。它简化了对用户进行身份验证以及

跨多个设备、平台和应用程序存储、管理和同步用户数据的任务。它为经过身份验证的用户和未经过身份验证

的用户提供具有有限权限的临时凭证，而无需管理任何后端基础设施。

Cognito 与知名的身份提供商（如 Google、Facebook 和 Amazon）合作，对移动和 Web 应用程序的最终用户进

行身份验证。您可利用这些服务提供的身份和授权功能，而无需构建和维护自己的标识和授权功能。您的应用

程序使用提供商的软件开发工具包通过某个身份提供商进行身份验证。在通过提供商对最终用户进行身份验证

后，从提供商处返回的 OAuth 或 OpenID Connect 令牌将由您的应用程序传递给 Cognito，从而为用户返回一个

新的 Cognito ID 以及一组具有有限权限的临时 AWS 凭证。

http://docs.aws.amazon.com/AmazonS3/latest/dev/UsingServerSideEncryption.html

http://docs.aws.amazon.com/AmazonS3/latest/dev/UsingServerSideEncryption.html

http://docs.aws.amazon.com/AmazonS3/latest/dev/MultiFactorAuthenticationDelete.html


第 61 页，共 74 页

要开始使用 Amazon Cognito，可通过 Amazon Cognito 控制台创建一个身份池。身份池是用于存储特定于您的 AWS 账户的用户身份信息的存储区。在创建身份池的过程中，系统将要求您为您的最终用户创建新的 IAM 角色

或选取现有 IAM 角色。IAM 角色是一组用于访问特定 AWS 资源的权限，但这些权限未关联至某个特定的 IAM 用户或组。授权实体（例如，移动用户、EC2 实例）担任角色，并接收用于对角色中定义的 AWS 资源进行身份

验证的临时安全凭证。由于临时安全凭证的生存期较短（默认过期时间为 12 小时）且在过期后无法重用，因此

增强了安全性。所选角色会影响您的最终用户可使用临时凭证访问的 AWS 服务。默认情况下，Amazon Cognito 会创建一个具有有限权限的新角色 – 最终用户只能访问 Cognito Sync 服务和 Amazon Mobile Analytics。如果您

的应用程序需要访问其他 AWS 资源（如 Amazon S3 或 DynamoDB），则可直接通过 IAM 管理控制台修改您的

角色。借助 Amazon Cognito，无需为需要访问 AWS 资源的 Web/移动应用程序最终用户创建单独的 AWS 账户或 IAM 账户。通过结合使用 IAM 角色，移动用户可以安全地访问 AWS 资源和应用程序功能，甚至无需创建账户或登

录即可将数据保存到 AWS 云。不过，如果用户选择稍后再这样做，则 Cognito 将合并数据和标识信息。由于 Amazon Cognito 将数据存储在本地和服务中，因此最终用户能够继续与数据进行交互，甚至在脱机情况下

也是如此。其脱机数据可能会过时，但无论这些用户是否处于联机状态，都可立即检索其放入数据集中的任何

内容。客户端软件开发工具包管理本地 SQLite 存储，以便应用程序在未连接时也可工作。SQLite 存储将用作缓

存，并且是所有读写操作的目标。Cognito 的同步设施将数据的本地版本与云版本进行比较，并按需增加或减少

增量。请注意，要跨设备同步数据，您的身份池必须支持经过身份验证的身份。未经身份验证的身份与设备关

联，因此，除非最终用户进行身份验证，否则不会跨多台设备同步数据。借助 Cognito，您的应用程序将直接与支持的公共身份提供商（Amazon、Facebook 或 Google）通信以对用户进

行身份验证。Amazon Cognito 不会接收或存储用户凭证 — 仅从身份提供商处接收 OAuth 或 OpenID Connect 令牌。在 Cognito 接收令牌后，它将为用户返回新的 Cognito ID 和一组具有有限权限的临时 AWS 凭证。

每个 Cognito 身份只能访问同步存储中自己的数据，并且此数据在存储时会进行加密。此外，所有身份数据都

是通过 HTTPS 传输的。设备上的唯一 Amazon Cognito 标识符存储在适当的安全位置 — 例如，在 iOS 上，

Cognito 标识符存储在 iOS 密钥链中。用户数据缓存在应用程序沙盒中的本地 SQLite 数据库中；如果您需要额

外安全性，可通过在应用程序中实施加密对本地缓存中的此身份数据进行加密。

https://console.aws.amazon.com/cognito/home

http://aws.amazon.com/iam/details/manage-roles/

http://aws.amazon.com/iam/details/manage-roles/


第 62 页，共 74 页

Amazon Mobile Analytics Amazon Mobile Analytics 是一项用于收集、可视化和了解移动应用程序使用率数据的服务。它使您能够在移动

应用程序中跟踪客户行为、聚合指标和确定有意义的模式。Amazon Mobile Analytics 会在从运行您的应用程序

的客户端设备接收数据时自动计算和更新使用指标，并将数据显示在控制台中。您可将 Amazon Mobile Analytics 与您的应用程序集成，而无需通过身份提供商（如 Google、Facebook 或 Amazon）对应用程序用户进行身份验证。对于未经身份验证的用户，Mobile Analytics 与 Amazon Cognito 结合

使用以提供具有有限权限的临时凭证。为此，请先在 Cognito 中创建身份池。身份池将使用 IAM 角色，这是一

组与特定 IAM 用户或组无关的权限，但这些权限允许实体访问特定 AWS 资源。实体担任角色，并接收用于对

角色中定义的 AWS 资源进行身份验证的临时安全凭证。默认情况下，Amazon Cognito 会创建一个具有有限权

限的新角色 – 最终用户只能访问 Cognito Sync 服务和 Amazon Mobile Analytics。如果您的应用程序需要访问

其他 AWS 资源（如 Amazon S3 或 DynamoDB），则可直接通过 IAM 管理控制台修改您的角色。您可将适用于 Android 或 iOS 的 AWS 移动软件开发工具包集成到您的应用程序中，或使用 Amazon Mobile Analytics REST API 从任何连接的设备或服务发送事件并可视化报告中的数据。Amazon Mobile Analytics API 只能通过 SSL 加密的终端节点 (https://mobileanalytics.us-east-1.amazonaws.com) 进行访问。

应用程序

AWS 应用程序是托管服务，使您能够为用户提供云中的安全、集中化的存储和工作区域。

Amazon WorkSpaces Amazon WorkSpaces 是托管桌面服务，允许您快速地为用户预置基于云的桌面。只需选择最能满足用户需求的 Windows 7 捆绑以及要启动的 WorkSpaces 的数量。在 WorkSpaces 准备就绪后，用户将收到一封电子邮件，告

知其可以下载相关客户端和登录 WorkSpace 的位置。然后，他们即可从各种终端节点设备（包括 PC、笔记本

电脑和移动设备）访问基于云的桌面。但是，您组织的数据绝不会发送到或存储在最终用户设备上，因为 Amazon WorkSpaces 使用 PC-over-IP (PCoIP)，可提供交互式视频流而不传输实际数据。PCoIP 协议压缩、加密

和编码用户的桌面计算体验，并跨任何标准 IP 网络“仅将像素”传输到最终用户设备。要访问 WorkSpace，用户必须使用一组唯一凭证或其常规 Active Directory 凭证登录。在将 Amazon WorkSpaces 与企业 Active Directory 集成后，每个 WorkSpace 将加入您的 Active Directory 域并且可像组织内的任何其他桌

面一样进行管理。这意味着，您可使用 Active Directory 组策略管理用户的 WorkSpace 以指定用于控制桌面的

配置选项。如果您选择不使用 Active Directory 或其他类型的本地目录来管理用户 WorkSpace，可在 Amazon WorkSpaces 中创建可用于管理的私有云目录。

要提供额外安全层，您还可以要求在登录时使用硬件或软件令牌形式的多重验证。Amazon WorkSpaces 支持使

用本地远程身份验证拨入用户服务 (RADIUS) 服务器的 MFA 或任何支持 RADIUS 身份验证的安全提供商。它

当前支持 PAP、CHAP、MS-CHAP1 和 MS-CHAP2 协议以及 RADIUS 代理。

https://mobileanalytics.us-east-1.amazonaws.com/

http://www.teradici.com/pcoip-technology.php


第 63 页，共 74 页

每个 Workspace 驻留在 VPC 内自己的 EC2 实例上。您可在已有的 VPC 中创建 WorkSpace，或使用 WorkSpaces“快速入门”选项让 WorkSpaces 服务自动为您创建一个 WorkSpace。如果您使用“快速入门”选项，

WorkSpaces 不仅会创建 VPC，而且会为您执行多个其他预置和配置任务，例如为 VPC 创建 Internet 网关、在 VPC 内设置用于存储用户和 WorkSpace 信息的目录、创建目录管理员账户、创建指定的用户账户并将其添加到

目录中，以及创建 WorkSpace 实例。或者，可使用安全 VPN 连接将 VPC 连接到本地网络，以允许访问现有本

地 Active Directory 和其他内部网资源。您可将在 Amazon VPC 中创建的安全组添加到属于您的目录的所有 WorkSpace。这使您能够控制从 VPC 中的 Amazon WorkSpaces 对 Amazon VPC 和本地网络中的其他资源的网络

访问。

WorkSpaces 的持久性存储由 Amazon EBS 提供，并将自动备份到 Amazon S3（一天两次）。如果在 WorkSpace 上启用 WorkSpaces Sync，则用户选择同步的文件夹将持续备份并存储在 Amazon S3 中。您还可在 Mac 或 PC 上使用 WorkSpaces Sync 以同步与 WorkSpace 之间的文档，以便您始终能够访问您的数据，不管您使用的台式

计算机如何。由于这是一项托管服务，AWS 会负责许多像日常备份和修补这样的安全和维护任务。在每周维护时段，将自

动为 WorkSpace 交付更新。您可控制如何为用户的 WorkSpace 配置修补。默认情况下，将启用 Windows Update，但您能够自定义这些设置，或使用备用补丁管理方式（如果需要）。对于基础操作系统，默认情况

下，Windows Update 在 WorkSpaces 上处于启用状态，并且配置为每周安装更新。您可使用备用修补方式或将 Windows Update 配置为在所选时间执行更新。

您可使用 IAM 控制可执行创建或删除 WorkSpace 或设置用户目录等管理职能的团队成员。您还可设置 WorkSpace 以进行目录管理、安装您喜欢的 Active Directory 管理工具和创建组织部门和组策略，以便更轻松地

为所有 WorkSpaces 用户应用 Active Directory 更改。

Amazon WorkDocs Amazon WorkDocs 是一项托管企业存储和共享服务，具有方便用户协作的反馈功能。用户可将任何类型的文件

存储在 WorkDocs 文件夹中，并允许其他人查看和下载这些文件。注释和批注功能适用于特定的文件类型（如 MS Word），并且无需最初用于创建文件的应用程序。WorkDocs 通过电子邮件告知参与者有关审查活动和截止

期限的信息，并对您已使用 WorkDocs Sync 应用程序同步的文件执行版本控制。用户信息存储在与 Active Directory 兼容的网络目录中。您可在云中创建新目录，也可将 Amazon WorkDocs 连接到本地目录。在使用 WorkDocs 的快速入门安装程序创建云目录时，还将使用管理员电子邮件作为用户名来

创建目录管理员账户。系统将向管理员发送电子邮件，其中包含用于完成注册的说明。随后，管理员可使用此

账户管理您的目录。在使用 WorkDocs 的快速入门安装程序创建云目录时，还将创建并配置用于目录的 VPC。如果您需要更进一步

地控制目录配置，则可以选择标准设置，使用它可以指定您自己的目录域名，以及与目录一起使用的现有 VPC 之一。如果要使用某个现有 VPC，则该 VPC 必须具有一个 Internet 网关和至少两个子网。每个子网必须位于不

同的可用区。


第 64 页，共 74 页

通过使用 Amazon WorkDocs 管理控制台，管理员可查看审核日志以按时间、IP 地址和设备跟踪文件和用户活

动，并选择是否允许用户与组织外的其他人共享文件。随后，用户可控制能够访问个人文件的人员并禁止其下载自己共享的文件。

传输中的所有数据都已使用行业标准 SSL 进行加密。WorkDocs Web 和移动应用程序和桌面同步客户端使用 SSL 将文件直接传输到 Amazon WorkDocs。WorkDocs 用户还可利用 Multi-Factor Authentication（简称 MFA，

即多重验证），前提是其组织已部署 Radius 服务器。MFA 使用下列各项：用户名、密码和 Radius 服务器支持

的方法。支持的协议为 PAP、CHAP、MS-CHAPv1 和 MS- CHAPv2 您选择用于存储每个 WorkDocs 站点文件的 AWS 区域。Amazon WorkDocs 目前在美国东部（弗吉尼亚）、美

国西部（俄勒冈）和欧洲（爱尔兰）AWS 区域提供。WorkDocs 中存储的所有文件、注释和批注将自动使用 AES-256 加密方法进行加密。


第 65 页，共 74 页

附录 — 术语表访问密钥 ID：AWS 分发的一个字符串，用于唯一标识每个 AWS 用户；它是一个与您的秘密访问密钥关联的

字母数字令牌。访问控制列表 (ACL)：一个列表，其中包含用于访问对象或网络资源的权限或规则。在 Amazon EC2 中，安全

组充当实例级的 ACL，可控制有权访问特定实例的用户。在 Amazon S3 中，您可以使用 ACL 向用户组授予对

存储桶或对象的读取或写入访问权。在 Amazon VPC 中，ACL 充当网络防火墙并控制子网级的访问。

AMI：Amazon 系统映像 (AMI) 是一个存储在 Amazon S3 中的加密系统映像。它包含启动客户软件的实例需要

的所有信息。

API：应用程序编程接口 (API) 是计算机科学中的一个接口，用于定义应用程序请求库和/或操作系统中的服务

的方式。档案：Amazon Glacier 中的档案是您要存储的文件，并且是 Amazon Glacier 中的基本存储单位。它可以是任何

数据，如照片、视频或文档。每个档案都有唯一的 ID 和可选的描述。身份验证：身份验证是确定某人或事是否确实是其宣称的人或事的过程。不仅用户需要接受身份验证，而且要

调用 AWS API 公开的功能的所有程序也必须接受身份验证。AWS 会要求您使用加密哈希函数对每个请求进行

数字签名，从而验证其身份。

Auto-Scaling：一项 AWS 服务，允许客户根据其定义的条件自动扩展或缩小 Amazon EC2 容量。可用区：Amazon EC2 的位置由区域和可用区组成。可用区是专门用于隔离其他可用区中的故障的独特位置，

可向相同区域中的其他可用区提供廉价的低延迟网络连接。堡垒主机：一台专门配置的用于抵御攻击的计算机，通常放在隔离区 (DMZ) 的外部/公共端或防火墙的外部。

您可以通过设置公有子网作为 Amazon VPC 的一部分来设置 Amazon EC2 实例作为 SSH 堡垒。存储桶：用于在 Amazon S3 中存储对象的容器。每个对象都包含在一个存储桶中。例如，如果名为 photos/puppy.jpg 的对象存储在 johnsmith 存储桶中，则可使用 URL http://johnsmith.s3.amazonaws.com/photos/puppy.jpg 对该对象

进行寻址。

证书：供某些 AWS 产品对 AWS 账户和用户进行身份验证的凭证。也称为“X.509 证书”。该证书与私有密钥

成对使用。

CIDR 块：IP 地址的无类别域间路由块。客户端加密：在将客户端上的数据上传到 Amazon S3 之前对这些数据进行加密。

CloudFormation：一个 AWS 预置工具，客户可用来记录运行其应用程序所需的 AWS 资源的基线配置，从而

能以有序且可预测的方式配置和更新这些资源。

http://johnsmith.s3.amazonaws.com/photos/puppy.jpg

http://johnsmith.s3.amazonaws.com/photos/puppy.jpg


第 66 页，共 74 页

Cognito：一项 AWS 服务，用于简化对用户进行身份验证以及跨多个设备、平台和应用程序存储、管理和同步

用户数据的任务。它适用于多个现有身份提供商，并且还支持未经身份验证的来宾用户。凭证：用户或流程为了在身份验证过程中向 AWS 服务确认它们已获得访问该服务的权限而必须拥有的项目。

AWS 凭证包括密码、秘密访问密钥以及 X.509 证书和多重令牌。专用实例：在主机硬件级别上进行物理隔离的 Amazon EC2 实例（即，它们将在单个租户硬件上运行）。

数字签名：数字签名是用于证明数字消息或文档的真实性的加密方法。有效的数字签名可让收件人有理由相

信，消息是由授权发件人创建的并且在传输过程中未被修改。客户使用数字签名对发送到 AWS API 的请求进

行签名以作为身份验证过程的一部分。

Direct Connect 服务：一项 Amazon 服务，允许您使用高吞吐量的专用连接预置您的内部网络与 AWS 区域之

间的直接链接。有了此专用连接以后，您就可以创建直接连接到 AWS 云（如 Amazon EC2 和 Amazon S3）和 Amazon VPC 的逻辑连接，从而绕过网络路径中的 Internet 服务提供商。

DynamoDB 服务：AWS 的一种托管的 NoSQL 数据库服务，可提供快速且可预测的性能，同时还能够实现无缝

扩展。

EBS：Amazon Elastic Block Store (EBS) 提供数据块级存储卷以用于 Amazon EC2 实例。Amazon EBS 卷是不受

实例生命周期约束永久保存的非实例存储。

ElastiCache：一项 AWS Web 服务，允许您在云中设置、管理和缩放分布式内存中的缓存环境。该服务允许您

从快速的托管内存中的缓存系统中检索信息，而无需完全依赖于速度较慢的基于磁盘的数据库，从而提高了 Web 应用程序的性能。

Elastic Beanstalk：一个 AWS 部署和管理工具，可为客户的应用程序自动执行容量预置、负载均衡和 Auto Scaling 功能。

弹性 IP 地址：一个静态的公有 IP 地址，您可将其分配到 Amazon VPC 中的任何实例，从而使该实例成为公有

实例。弹性 IP 地址还使您可以迅速将公有 IP 地址重新映射到 VPC 中的任何实例，从而屏蔽实例故障。

Elastic Load Balancing：一项 AWS 服务，用于管理 Amazon EC2 实例队列上的流量，从而将流量分发给一个

区域中的所有可用区中的实例。Elastic Load Balancing 具有本地负载均衡器的所有优点，此外还有几个安全方

面的优点，例如接管 EC2 实例的加密/解密工作并在负载均衡器上集中管理这项工作。

Elastic MapReduce (EMR) 服务：一项可利用在 Amazon EC2 和 Amazon S3 的 Web 规模基础设施上运行的托

管 Hadoop 框架的 AWS 服务。利用 Elastic MapReduce，客户能够轻松且经济高效地处理数量极大的数据

（“大数据”）。


第 67 页，共 74 页

弹性网络接口：在 Amazon VPC 中，弹性网络接口是可连接到 EC2 实例的另一个可选网络接口。当需要创建管

理网络或者在 Amazon VPC 中使用网络或安全设备时，弹性网络接口可能很有用。该接口可轻易从一个实例中

分离并重新连接到另一个实例。终端节点：作为 AWS 服务的入口点的 URL。为了缩短应用程序中的数据延迟，大多数 AWS 服务都允许您选

择区域终端节点来发出请求。某些 Web 服务允许您使用不指定区域的通用终端节点；这些通用终端节点将解

析为服务的 us-east-1 终端节点。您可以借助 HTTP 或使用 SSL 的安全 HTTP (HTTPS) 连接到 AWS 终端节点。联合身份用户：当前未获得访问您的 AWS 服务的授权、但您希望为其提供临时访问权限的用户、系统或应用

程序。此访问权限使用 AWS Security Token Service (STS) API 提供。防火墙：根据一组特定的规则控制传入和/或传出网络流量的硬件或软件组件。利用 Amazon EC2 中的防火墙规

则，您可以指定允许访问您的实例的协议、端口和源 IP 地址范围。这些规则指定应将哪些传入网络流量传输到

实例（例如，接受端口 80 上的 Web 流量）。Amazon VPC 支持一个全面的防火墙解决方案，从而支持对实例

的输入流量及输出流量进行过滤。默认组启用来自同一组其他成员的入站通讯及至任何目的地的出站通讯。流

量可能受到任何 IP 协议、服务端口以及源/目的地 IP 地址（个别 IP 或无类别域间路由 (CIDR) 块）的限制。来宾操作系统：在虚拟机环境中，多个操作系统可在单个硬件上运行。这些实例均被视为主机硬件上的来宾，

并使用自己的操作系统。哈希：加密哈希函数用于计算数字签名以签署发送到 AWS API 的请求。加密哈希是根据输入内容返回唯一哈

希值的单向函数。对哈希函数的输入内容包括您的请求文本和秘密访问密钥。哈希函数返回哈希值，您将该值

包含在请求中作为签名。

HMAC-SHA1/HMAC-SHA256：密码术中的一种密钥式哈希消息身份验证代码（HMAC 或 KHMAC），它是

一种用涉及加密哈希函数的特定算法结合私有密钥计算出的消息身份验证代码 (MAC)。与任何 MAC 一样，它

可用来同时确认数据的完整性和消息的真实性。任何迭代式加密哈希函数（如 SHA-1 或 SHA-256）均可用于计

算 HMAC；所得的 MAC 算法相应地称为 HMAC-SHA1 或 HMAC-SHA256。HMAC 的加密强度取决于底层哈

希函数的加密强度、密钥的大小和质量以及以哈希输出长度的大小（以位为单位）。硬件安全模块 (HSM)：HSM 是一种工具，用于在防篡改的硬件设备中提供安全的加密密钥存储和操作。HSM 在设计上能够安全地存储加密密钥材料，并能在不将加密材料暴露于设备的加密边界之外的情况下使用它。

AWS CloudHSM 服务可为客户提供对 HSM 设备的专用单租户访问。管理程序：管理程序（也称为虚拟机监视程序 (VMM)）是支持在一台主机计算机上并行运行多个操作系统的

计算机软件/硬件平台虚拟化软件。 Identity and Access Management (IAM)：AWS IAM 使您能够创建多个用户，并管理您的 AWS 账户下的所有这

些用户的权限。身份池：Amazon Cognito 中用于存储特定于您的 AWS 账户的用户身份信息的存储区。身份池使用 IAM 角色，这些角色是未绑定到某个特定 IAM 用户或组且使用临时安全凭证对角色中定义的 AWS 资源进行身份验

证的权限。


第 68 页，共 74 页

身份提供商：一项联机服务，负责为希望与该服务或其他协作服务交互的用户颁发身份证明信息。身份提供商

的示例包括 Facebook、Google 和 Amazon。导入/导出服务：一项 AWS 服务，用于通过物理方式将便携式存储设备运送到安全的 AWS 设施，从而将大量

数据转移到 Amazon S3 或 EBS 存储。实例：实例是拥有自己的硬件资源和来宾操作系统的虚拟服务器，也称为“虚拟机 (VM)”。在 EC2 中，实例

表示 Amazon 系统映像 (AMI) 的一个正在运行的副本。

IP 地址：Internet 协议 (IP) 地址是一个数字标签，可分配给参与到一个利用 Internet 协议实现节点之间通信的

计算机网络中的设备。

IP 欺骗：用伪造的源 IP 地址（称为“欺骗”）创建 IP 数据包，企图隐藏发送人的身份或模仿其他计算机

系统。密钥：在密码术中，密钥是确定加密算法（称为“哈希算法”）的输出的参数。密钥对是一组安全凭证，由公

有密钥和私有密钥组成，用于以电子方式证明您的身份。密钥轮换：定期更改用于对数据加密或以数字方式签署请求的加密密钥的过程。在攻击者以某种方式获取您的

密钥或确定它的值的情况下，轮换密钥可最大程度地降低未经授权的访问的风险，就像更改密码一样。AWS 支持多个并行访问密钥和证书，这使客户可以经常性地在操作开始和结束时轮换密钥和证书，并且他们的应用

程序不会出现停机。

Mobile Analytics：一项用于收集、可视化和了解移动应用程序使用率数据的 AWS 服务。它使您能够在移动应

用程序中跟踪客户行为、聚合指标和确定有意义的模式。多重验证 (MFA)：使用两个或更多身份验证因素。身份验证因素包含您知道的事情（如密码）或您拥有的东西

（如生成随机数字的令牌）。除了用户名和密码凭证之外，AWS IAM 还允许使用六位数的一次性代码。客户从

他们实际拥有的身份验证设备（物理令牌设备或来自智能手机的虚拟令牌）获得此一次性代码。网络 ACL：适用于 Amazon VPC 中的某个子网的所有入站或出站流量的无状态流量过滤器。网络 ACL 可能包

含一些有序规则，以便根据 IP 协议按照服务端口以及源/目标 IP 地址允许或拒绝流量。对象：存储在 Amazon S3 中的基本实体。对象由对象数据和元数据组成。数据部分对 Amazon S3 是不透明

的。元数据是一组描述对象的名称—值对。其中包括一些默认的元数据（如上次修改日期）和标准 HTTP 元数

据（如 Content-Type）。开发人员还可以在存储对象时指定自定义元数据。半虚拟化：在计算中，半虚拟化是一种向虚拟机提供软件接口的虚拟化技术，这与基础硬件的虚拟化技术相

似，但又不完全相同。对等：VPC 对等连接是两个 VPC 之间的网络连接，通过此连接，您可以使用私有 IP 地址在两个 VPC 之间路由

流量。这两个 VPC 中的实例可以彼此通信，就像它们在同一网络中一样。


第 69 页，共 74 页

端口扫描：端口扫描是某人发出的一系列消息，试图侵入一台计算机以了解该计算机提供哪些计算机网络服务

（每个服务均与一个“已知的”端口号相关联）。区域：同一地理地区中的一组命名的 AWS 资源。每个区域包含至少两个可用区。

复制：持续不断地从某个数据库中复制数据以维护该数据库的另一个版本，通常用于灾难恢复目的。客户可

使用多个 AZ 来满足其 Amazon RDS 数据库复制需求；如果使用了 MySQL，则可使用只读副本。

Relational Database Service (RDS)：一项 AWS 服务，让您能够创建关系数据库 (DB) 实例，并灵活地缩放相关

计算资源和存储容量以满足应用程序需求。Amazon RDS 可用于 MySQL、Oracle 或 Microsoft SQL Server 数据

库引擎。角色：AWS IAM 中的一个实体，具有一组可由另一个实体代入的权限。通过使用角色，可让运行于 Amazon EC2 实例上的应用程序能够安全地访问您的 AWS 资源。您可向某个角色授予一组特定权限，使用该角色启动 Amazon EC2 实例，然后让 EC2 为在 Amazon EC2 上运行的应用程序自动处理 AWS 凭证管理。

Route 53：一个权威的 DNS 系统，可提供开发人员用于管理其公有 DNS 名称的更新机制，并能响应 DNS 查询和将域名转换成 IP 地址，以便计算机之间可以互相通信。

秘密访问密钥：当您注册 AWS 账户时 AWS 分配给您的密钥。为了进行 API 调用或使用命令行接口，每个 AWS 用户都需具有秘密访问密钥和访问密钥 ID。用户使用秘密访问密钥签署每个请求，并在请求中包含访问

密钥 ID。为帮助确保您的 AWS 账户的安全，仅在创建密钥和用户期间可访问秘密访问密钥。若您希望能够再

次访问该密钥，则必须保存它（例如，将其保存到一个您可以安全存储的文本文件中）。安全组：安全组可让您控制允许访问您的 Amazon EC2 实例的协议、端口和源 IP 地址范围，换句话说，它定

义了针对您的实例的防火墙规则。这些规则指定应将哪些传入网络流量传输到实例（例如，接受端口 80 上的 Web 流量）。

Security Token Service (STS)：AWS STS API 可返回临时安全凭证，包括安全令牌、访问密钥 ID 和秘密访问

密钥。可使用 STS 向临时需要访问您资源的用户发放安全凭证。这些用户可能是需要访问您的 AWS 资源的现

有 IAM 用户、非 AWS 用户（联合身份）、系统或应用程序。服务器端加密 (SSE)：一个供 Amazon S3 存储自动加密静态数据的选项。利用 Amazon S3 SSE，客户只需在写

入对象时另外添加一个请求标头，即可在上传时对数据加密。检索数据时，将自动进行解密。服务：通过网络提供的软件或计算能力（例如 Amazon EC2 和 Amazon S3）。

分区：在 Amazon Kinesis 中，分区是 Amazon Kinesis 流中具有唯一标识的数据记录组。一个 Kinesis 流由多个

分区组成，每个分区提供一个固定单位的容量。签名：这里指的是数字签名，它是一种确认数字信息的真实性的数学方式。AWS 使用通过加密算法计算出的

签名以及您的私钥对您发送到我们的 Web 服务的请求进行身份验证。 Simple Data Base (SimpleDB)：一种非关系型数据存储，允许 AWS 客户通过 Web 服务请求存储和查询数据项。

Amazon SimpleDB 将自动创建和管理分布在多个地理位置的客户数据副本，以实现高可用性和数据持久性。


第 70 页，共 74 页

Simple Email Service (SES)：一项 AWS 服务，可为企业和开发人员提供可扩展的大批量、事务性的电子邮件

发送服务。为了最大程度地提高发件人的送达率和可信赖性，Amazon SES 采取主动的措施来防止发送可疑的

内容，以便 ISP 将该服务视为受信任的电子邮件来源。简单邮件传输协议 (SMTP)：SMTP 是一种在 IP 网络中传输电子邮件的 Internet 标准，Amazon Simple Email Service 将使用它。使用了 Amazon SES 的客户可使用 SMTP 接口来发送电子邮件，但必须通过 TLS 连接到 SMTP 终端节点。

Simple Notification Service (SNS)：一项让用户从云中轻松设置、操作和发送通知的 AWS 服务。Amazon SNS 使开发人员能够从应用程序发布消息并立即将它们交付到订阅者或其他应用程序。

Simple Queue Service (SQS)：AWS 的一种可扩展的消息查询服务，可在应用程序的分布式组件之间实现基于

异步消息的通信。这些组件可能是计算机或 Amazon EC2 实例，或者是这两者的组合。

Simple Storage Service (Amazon S3)：为对象文件提供安全存储的 AWS 服务。对对象的访问可在文件或存储

桶级别加以控制，并且可根据其他条件（如请求 IP 源、请求时间等）做进一步限制。还可使用 AES-256 加密

对文件进行自动加密。

Simple Workflow Service (SWF)：一项 AWS 服务，使客户能够构建在分布式组件中协调工作的应用程序。利

用 Amazon SWF，开发人员可以将应用程序中的各种处理步骤构建为在分布式应用程序中推动工作的“任

务”。Amazon SWF 将协调这些任务，并根据开发人员的应用程序逻辑，管理任务执行依赖关系、时间安排

和并发机制。单一登录：只需登录一次即可访问多个应用程序和系统的功能。可通过创建将临时安全凭证传递到 AWS 管理

控制台的 URL 将安全的单一登录功能提供给您的联合身份用户（AWS 用户和非 AWS 用户）。

快照：客户发起的对存储在 Amazon S3 中的 EBS 卷的备份，或客户发起的对存储在 Amazon RDS 中的 RDS 数据库的备份。快照可用作创建新的 EBS 卷或 Amazon RDS 数据库的起点，或用于确保数据的长期耐久性和恢

复能力。安全套接字层 (SSL)：在应用程序层通过 Internet 提供安全性的加密协议。TLS 1.0 和 SSL 3.0 协议规范都使用

加密机制来实施用于建立和维护安全的 TCP/IP 连接的安全服务。安全连接可防止窃取、篡改或消息伪造。您

可以借助 HTTP 或使用 SSL 的安全 HTTP (HTTPS) 连接到 AWS 终端节点。有状态的防火墙：在计算中，有状态的防火墙（任何执行有状态数据包检查 (SPI) 或有状态检查的防火墙）是

可跟踪穿透其中的网络连接（如 TCP 流和 UDP 通信）的状态的防火墙。 Storage Gateway：一项 AWS 服务，可通过使用客户在运行 VMware ESXi Hypervisor 的数据中心内的主机上部

署的 VM，安全地将客户的本地软件设备与 Amazon S3 存储连接。数据将通过 SSL 从客户的本地存储硬件异步

传输到 AWS，然后使用 AES-256 以加密形式存储在 Amazon S3 中。


第 71 页，共 74 页

临时安全凭证：用于提供对 AWS 服务的临时访问权限的 AWS 凭证。临时安全凭证可用于在您自己的身份和

授权系统中提供 AWS 服务和非 AWS 用户之间的联合身份验证。临时安全凭证由安全令牌、访问密钥 ID 和秘

密访问密钥组成。转码器：一种可将媒体文件（音频或视频）从一种格式、大小或品质转码（转换）为另一种格式、大小或品质

的系统。利用 Amazon Elastic Transcoder，客户可以轻松地以可扩展且经济高效的方式将视频文件进行转码。传输层安全性 (TLS)：在应用程序层通过 Internet 提供安全性的加密协议。使用了 Amazon 的 Simple Email Service 的客户必须通过 TLS 连接到 SMTP 终端节点。

树形哈希：树形哈希是通过以下方式生成的：计算每个兆字节大小的数据区段的哈希，然后以树形式组合这些哈

希，以表示不断增长的相邻数据区段。Glacier 会针对数据检查该哈希，以帮助确保数据在传输途中未遭到修改。文件库：在 Amazon Glacier 中，文件库是用于存储档案的容器。在创建文件库时，您可以指定名称并选择要在

其中创建文件库的 AWS 地区。每个文件库资源都有唯一的地址。版本控制：Amazon S3 中的每个对象都有一个密钥和一个版本 ID。密钥相同但版本 ID 不同的对象可存储在同

一存储桶中。版本控制是在存储桶层使用 PUT Bucket 版本控制功能启用的。虚拟实例：一旦启动了某个 AMI，产生的运行系统就被称为一个实例。基于同一 AMI 的所有实例在开

始时都是相同的，当实例终止或发生故障时，实例上的所有信息都会丢失。虚拟 MFA：用户从智能手机（而不是从令牌/卡）获取六位数的一次性 MFA 代码的功能。MFA 就是将一个额

外因素（一次性代码）与用户名和密码结合使用以进行身份验证。

Virtual Private Cloud (VPC)：一项 AWS 服务，使客户能够预置 AWS 云的隔离部分，包括选择自己的 IP 地址

范围、定义子网和配置路由表和网络网关。虚拟专用网络 (VPN)：通过公有网络（如 Internet）在两个位置之间创建私有、安全的网络的功能。AWS 客户

可在其 Amazon VPC 和数据中心之间添加一个 IPsec VPN 连接，从而有效地将其数据中心扩展到云中，同时为

其 Amazon VPC 中的公有子网实例提供对 Internet 的直接访问权限。在此配置中，客户将在其企业数据中心添

加 VPN 设备。

WorkSpaces：一项 AWS 托管桌面服务，可让您为用户预置基于云的桌面并允许用户使用一组唯一的凭证或其

常规 Active Directory 凭证进行登录。

X. 9：在密码术中，X.509 是一个用于单一登录公钥基础设施 (PKI) 及特权管理基础设施 (PMI) 的标准。

X.509 为公钥证书、证书吊销列表、属性证书及认证路径验证算法指定了标准格式。某些 AWS 产品使用 X.509 证书而非秘密访问密钥来访问某些接口。例如，Amazon EC2 使用秘密访问密钥访问其查询接口，但

使用签名证书访问其 SOAP 接口和命令行工具接口。

WorkDocs：一项 AWS 托管企业存储和共享服务，具有方便用户协作的反馈功能。


第 72 页，共 74 页

上一版本（2014 年 11 月）之后的变更：

• 更新了合规性计划 • 更新了责任共担安全模式 • 更新了 AWS 账户安全功能 • 将服务重新整理为若干类别 • 用新功能更新了几项服务：CloudWatch、CloudTrail、CloudFront、EBS、ElastiCache、Redshift、

Route 53、S3、Trusted Advisor 或 WorkSpaces • 添加了 Cognito 安全性 • 添加了 Mobile Analytics 安全性 • 添加了 WorkDocs 安全性


• 更新了区域 • 用新功能更新了几项服务：CloudFront、DirectConnect、DynamoDB、EBS、ELB、EMR、Glacier、

IAM、OpsWorks、RDS、Redshift、Route 53、Storage Gateway 和 VPC • 添加了 AppStream 安全性 • 添加了 CloudTrail 安全性 • 添加了 Kinesis 安全性 • 添加了 WorkSpaces 安全性

上一版本（2013 年 5/6 月）之后的变更：

• 更新了 IAM，以包含角色和 API 访问 • 更新了客户指定的特权操作的 API 访问 MFA • 更新了 RDS，以向 SQL Server 2012 添加事件通知、多可用区和 SSL • 更新了 VPC，以添加多个 IP 地址、静态路由 VPN 和默认 VPC • 用新功能更新了几项其他服务：CloudFront、CloudWatch、EBS、ElastiCache、Elastic

Beanstalk、Route 53、S3 和 Storage Gateway • 添加了 Glacier 安全性 • 添加了 Redshift 安全性 • 添加了 Data Pipeline 安全性 • 添加了 Transcoder 安全性 • 添加了 Trusted Advisor 安全性 • 添加了 OpsWorks 安全性 • 添加了 CloudHSM 安全性


第 73 页，共 74 页


• 进行了重新整理，以更好地识别基础设施与特定于服务的安全性 • 将“控制环境概要”标题更改为“AWS 合规性计划” • 将“信息和通信”标题更改为“管理和通信” • 将“员工生命周期”标题更改为“逻辑访问” • 将“配置管理”标题更改为“变更管理” • 将“环境保护”小节与“物理安全”小节合并 • 将“备份”小节中的信息并入到“S3”、“SimpleDB”和“EBS”小节中 • 更新了认证，以反映 SAS70 到 SSAE 16 的名称更改和 FedRAMP 的添加 • 更新了“网络安全”小节，以添加“保护网络架构”和“网络监控和保护” • 更新了 IAM，以包含角色/密钥预置、虚拟 MFA、临时安全凭证和单一登录 • 更新了区域，以包含新区域和 GovCloud 描述 • 更新了 EBS、S3、SimpleDB、RDS 和 EMR，以澄清服务和安全描述 • 更新了 VPC，以添加配置选项、VPN 和弹性网络接口 • 添加了“Amazon Direct Connect 安全性”小节 • 添加了 Amazon Elastic Load Balancing 安全性 • 添加了 AWS Storage Gateway 安全性 • 添加了 AWS Import/Export 安全性 • 添加了 Auto Scaling 安全性 • 添加了 Amazon DynamoDB 安全性 • 添加了 Amazon ElastiCache 安全性 • 添加了 Amazon Simple Workflow Service (Amazon SWS) 安全性 • 添加了 Amazon Simple Email Service (Amazon SES) 安全性 • 添加了 Amazon Route 53 安全性 • 添加了 Amazon CloudSearch 安全性 • 添加了 AWS Elastic Beanstalk 安全性 • 添加了 AWS CloudFormation 安全性 • 更新了术语表


• 添加了 AWS Identity and Access Management (AWS IAM) • 添加了 Amazon Simple Notification Service (SNS) 安全性 • 添加了 Amazon CloudWatch 安全性 • 添加了 Auto Scaling 安全性 • 更新了 Amazon Virtual Private Cloud (Amazon VPC) • 更新了控制环境 • 删除了风险管理，因为它已在单独的白皮书中进行了详述


第 74 页，共 74 页


• 主要修订上一版本（2009 年 6 月）之后的变更：

• 更改了“认证和鉴定”小节以反映 SAS70 • 添加了 Amazon Virtual Private Cloud (Amazon VPC) • 添加了“安全凭证”小节，以重点介绍 AWS Multi-Factor Authentication 和密钥轮换 • 添加了 Amazon Relational Database Service (Amazon RDS) 安全性


• 添加了安全设计原则 • 更新了物理安全性信息并加入了背景调查 • 更新了“备份”小节，以澄清与 Amazon EBS 有关的内容 • 更新了“Amazon EC2 安全性”小节以包含以下内容： • 基于证书的 SSHv2 • 多层安全组的详细信息及示意图 • 管理程序的说明及实例隔离示意图 • 故障隔离 • 添加了配置管理 • 更新了“Amazon S3”小节以进行详述和澄清 • 添加了存储设备的停用 • 添加了 Amazon SQS 安全性 • 添加了 Amazon CloudFront 安全性 • 添加了 Amazon Elastic MapReduce 安全性

版权声明 © 2010-2015 Amazon.com, Inc. 或其附属公司。本文档仅用于参考。自本文件发行之日起，它代表了 AWS 当前提供的产品，如有变

更，恕不另行通知。客户负责对此文件的信息以及对 AWS 的产品或服务的任何使用进行自我独立的评估，每项产品或服务均按“原

样”提供，无任何类型的保证，不管是明示还是暗示。本文档不形成 AWS、其附属公司、供应商或许可方的任何保证、表示、合同承

诺、条件或担保。AWS 对客户承担的责任和义务受 AWS 协议制约，本文档不是 AWS 与客户的任何协议的一部分，也不构成对这些协

议的修改。

Amazon Web Services：安全过程概述 · Amazon Web Services — 安全过程概述 2015 年 8...

Documents

Transcript of Amazon Web Services：安全过程概述 · Amazon Web Services — 安全过程概述 2015 年 8...