场景和架构概述

使用亚马逊简单存储服务 (Amazon S3) 进行存储以及提取、转换 AWS Lambda 和加载 (ETL) 操作的无服务器数据湖

一种容器化 Web 服务，在 Amazon Elastic Container Service（Amazon ECS）上运行并使用 Amazon Relational Database Service（Amazon RDS）中的数据库

在亚马逊 EC2 上运行的商用 off-the-shelf (COTS) 软件

身份联合链接 AWS IAM Identity Center 到他们的 E Microsoft ntra ID（以前是 Azure 活动目录）实例。联合会强制执行 MFA、用户账户自动到期以及 AWS Identity and Access Management 通过 (IAM) 角色使用短期证书。

使用集中式 AMI 管线，通过 EC2 Image Builder 修补操作系统和核心应用程序。

Amazon Inspector 可以识别漏洞，所有安全发现都将发送到亚马逊 GuardDuty 进行集中管理。

使用既定机制来更新应用程序控制规则、响应网络安全事件，及审查合规差距。

AWS CloudTrail 用于记录和监控。

安全事件（例如根用户登录）会触发提醒。

SCPs 而且 VPC 终端节点策略会为您的 AWS 环境建立数据边界。

SCPs 防止应用程序团队禁用安全和日志服务，例如 CloudTrail 和 AWS Config。

AWS Config AWS 账户 为了安全起见，将整个 AWS 组织的调查结果汇总到一个单一的调查结果中。

AWS Config ACSC Essential 8 一致性包已 AWS 账户 在您的组织中启用。