一、架构总览 多云架构下，各云的安全服务虽然名称不同，但抽象层是相似的。统一安全治理层负责身份联邦、策略一致性和合规基线，向下对接各云的原生安全能力。 设计原则： 统一身份源：各云 IAM 通过 SAML/OIDC 联邦到企业 IdP 一致安全基线：跨云强制执行相同的最小策略集（MFA、密码策略、区域限制） 集中日志审计：各云日志统一汇聚到中心 SIEM IaC 统一编...

概述 通过 AWS IAM Identity Center（SSO）中的自定义 SAML 2.0 应用，将 AWS 身份联邦到腾讯云，实现从 AWS SSO 门户一键登录腾讯云控制台。 整体架构与上一篇 AWS 登录阿里云 类似，不再赘述。 配置步骤 1. 开始配置 AWS 部分 IAM Identity Center -> Applications -> Cust...

概述 通过 AWS IAM Identity Center（SSO）中的自定义 SAML 2.0 应用，将 AWS 身份联邦到阿里云（Aliyun），实现从 AWS SSO 门户一键登录阿里云控制台。 整体架构： 用户 │ 登录 `https://ssoins-xxxxx.portal.xxxxx.app.aws/#/?tab=applications` ▼ IAM Ident...

概述 在 Docker 中运行 lark-mcp 作为 MCP 服务，供 opencode 调用 Lark API。核心需要解决两个问题： Token 持久化 — lark-mcp 通过 keytar → libsecret → D-Bus → gnome-keyring 存储 token，Docker 无桌面环境全链路不可用 端口映射 — OAuth 登录回调需要浏览器访问容...

Guardrails 本质就是 CT 帮你写 SCP Control Tower 的 Guardrails 在底层就是一条条 SCP，附加到对应的 OU 上。CT 帮你封装了”选个框就好”的体验，不用自己写 JSON。 三种 Guardrails 类型： 类型 含义 能否修改 Mandat...

在 AWS 多账号架构中，Break-Glass（破窗/应急）账号是安全体系最后一道防线。当 SSO 挂了、SCP 改坏了、权限全锁了的时候，这是唯一能进去的路。 设计原则 Break-Glass 账号的核心原则：不依赖任何可能出问题的组件。 原则 说明 独立于 SSO SSO 可能配置错...

管理 AWS 多账号安全架构通常有两种方式：传统的手动 Terraform 部署和 AWS 推荐的 Control Tower。本文从实践中总结两者的核心差异。 两种方式概述 传统手动方式 通过 Terraform 自行管理所有资源，包括 AWS Organizations、OU 结构、账号创建、SCP、日志审计等全部基础设施。灵活性最高，但需要从零搭建。 Control Tower...

现象 Claude Code 使用 CC Switch 连接 DeepSeek 模型时，直接连接可以正常使用 web_search，但通过 opencode 中转就会报错。 报错信息 API Error: 400 Error from provider (DeepSeek): Invalid schema for function 'web_search': schema must b...

OpenCode 提供两种订阅方案：Zen 和 Go。 Zen：包含 GPT、Claude 等高级模型，按量计费，无月套餐。适合对模型能力要求较高的场景（如深度代码开发）。Zen 中也有一些免费模型（如 DeepSeek V4 Flash），但用量上限较低。文档 Go：包含 DeepSeek V4、Qwen 3.5 等基础模型，月套餐 $10/月，有 5 小时/周/月三类上限，额...

背景 在 CloudFront + ALB 的 Web 架构中，直接通过 ALB 域名访问可以绕过 CDN 的 WAF 规则、缓存策略和 TLS 证书，让源站直接暴露在攻击者面前。一个常见的安全实践是让 CloudFront 在转发请求时带上一个自定义 Header，ALB 端只有携带该 Header 的请求才会被路由到后端。 架构链路 用户 → CloudFront (HTTPS) ...