https://cooli7wa.xyz/Cooli7wa 空间 2026-06-07T10:23:56+08:00 Cooli7wa 空间 https://cooli7wa.xyz/ Jekyll © 2026 Cooli7wa 空间 /assets/img/favicons/favicon.ico /assets/img/favicons/favicon-96x96.png 多云安全架构对比 — AWS / 阿里云 / 腾讯云 / 华为云2026-06-06T12:30:40+08:00 2026-06-06T12:30:40+08:00 https://cooli7wa.xyz/posts/multi-cloud-security-architecture/ {"name"=>"cooli7wa", "link"=>"https://cooli7wa@126.com"} 一、架构总览 多云架构下,各云的安全服务虽然名称不同,但抽象层是相似的。统一安全治理层负责身份联邦、策略一致性和合规基线,向下对接各云的原生安全能力。 设计原则: 统一身份源:各云 IAM 通过 SAML/OIDC 联邦到企业 IdP 一致安全基线:跨云强制执行相同的最小策略集(MFA、密码策略、区域限制) 集中日志审计:各云日志统一汇聚到中心 SIEM IaC 统一编排:Terraform + 各云 Provider 统一管理基础设施 二、身份与访问管理(IAM) 安全域 AWS 阿里云 腾讯云 华为云 身份管理 IAM + Identity Center (SSO) RAM + IDaaS C... 多云联邦 — AWS 登录腾讯云2026-06-05T12:01:48+08:00 2026-06-05T12:01:48+08:00 https://cooli7wa.xyz/posts/aws-tencentcloud-saml-federation/ {"name"=>"cooli7wa", "link"=>"https://cooli7wa@126.com"} 概述 通过 AWS IAM Identity Center(SSO)中的自定义 SAML 2.0 应用,将 AWS 身份联邦到腾讯云,实现从 AWS SSO 门户一键登录腾讯云控制台。 整体架构与上一篇 AWS 登录阿里云 类似,不再赘述。 配置步骤 1. 开始配置 AWS 部分 IAM Identity Center -> Applications -> Customer managed -> Add application -> I have an application I want to set up -> SAML 2.0 IAM Identity Center metadata -> IAM Identity Center SAML metadata file,下载,腾讯云那边需要,一般名字叫 Custom SAML 2... 多云联邦 — AWS 登录 Aliyun2026-06-05T06:29:42+08:00 2026-06-05T06:29:42+08:00 https://cooli7wa.xyz/posts/aws-aliyun-saml-federation/ {"name"=>"cooli7wa", "link"=>"https://cooli7wa@126.com"} 概述 通过 AWS IAM Identity Center(SSO)中的自定义 SAML 2.0 应用,将 AWS 身份联邦到阿里云(Aliyun),实现从 AWS SSO 门户一键登录阿里云控制台。 整体架构: 用户 │ 登录 `https://ssoins-xxxxx.portal.xxxxx.app.aws/#/?tab=applications` ▼ IAM Identity Center │ 点击 "aliyun" 应用 ▼ AWS 生成 SAML 断言(含用户属性 + 角色映射) │ POST 到 Aliyun SAML ACS URL ▼ 阿里云 RAM SAML SSO │ SAML 断言 → 映射到 Aliyun RAM 角色 ▼ 获得 Aliyun 控制台访问(或 STS 临时凭证) 配置步骤 1. 开始配置 AWS... Lark MCP Docker 集成方案2026-05-29T20:10:12+08:00 2026-05-29T20:10:12+08:00 https://cooli7wa.xyz/posts/lark-mcp-docker-setup/ {"name"=>"cooli7wa", "link"=>"https://cooli7wa@126.com"} 概述 在 Docker 中运行 lark-mcp 作为 MCP 服务,供 opencode 调用 Lark API。核心需要解决两个问题: Token 持久化 — lark-mcp 通过 keytar → libsecret → D-Bus → gnome-keyring 存储 token,Docker 无桌面环境全链路不可用 端口映射 — OAuth 登录回调需要浏览器访问容器内的登录服务 相关文件 文件 作用 Dockerfile 镜像构建,安装所有依赖 scripts/entrypoint.sh 容器启动时初始化 dbus + keyring scripts/start.sh ... CT Control Tower Guardrails 与原生 SCP 的分工原则2026-05-26T09:14:34+08:00 2026-05-26T09:14:34+08:00 https://cooli7wa.xyz/posts/aws-control-tower-guardrails-vs-scp/ {"name"=>"cooli7wa", "link"=>"https://cooli7wa@126.com"} Guardrails 本质就是 CT 帮你写 SCP Control Tower 的 Guardrails 在底层就是一条条 SCP,附加到对应的 OU 上。CT 帮你封装了”选个框就好”的体验,不用自己写 JSON。 三种 Guardrails 类型: 类型 含义 能否修改 Mandatory CT 强制开启,自动创建底层 SCP 不可见不可改 Strongly Recommended CT 推荐的防护策略 可以关但不建议 Optional 可选策略 可以开可以关 Mandatory 类型的 SCP 用户不可见也不可删除(CT...