一句话结论 有人/系统在定期轮换密钥（RDS 密码、API Key）→ Secrets Manager 静态配置、只需要安全存储（第三方 API Key、共享 Secret、配置项）→ Parameter Store 免费、配置项体积小（< 8KB、无轮换需求）→ Parameter Store 标准参数 跨账号共享（需要资源策略）→ Secrets Manager...

什么是 Data Perimeter Data Perimeter（数据边界）是 AWS 在 2021 年 re:Invent 提出的安全概念，核心思想是：不在组织内的资源不能访问我的数据，我的数据也不能流出到组织外。它不是单一的策略，而是一组多层防护机制的组合。 在实际的多账号架构中，数据外泄可能发生在多个层面：合法的跨账号授权被滥用、AccessKey 泄露后从公网调用 API、S3...

用 GitHub Actions 做 CI/CD 时，通过 OIDC 直接获取 AWS 临时凭证是官方推荐的做法——省去了管理长期 Access Key 的麻烦。但在实际配置过程中，几个不起眼的小细节就能卡住半天。 问题现象 Terraform CI 流水线的第一步 configure-aws-credentials 反复重试后失败： Assuming role with OIDC A...

IAM Permission Boundary 是 AWS 中一个常被忽视的安全机制。它解决的问题非常具体：一个拥有 IAM 写权限的用户，可以创建具有管理员权限的角色来绕过自身限制。 提权路径分析 假设开发者通过 SSO 获得了 PowerUserAccess 权限集（允许所有操作，但不包括 IAM 管理）。如果 SCP 中没有显式拒绝 iam:CreateRole，提权链条如下： ...

Private 子网的 EC2 没有公网 IP，但它可能需要下载软件包、访问外部 API。怎么让这些实例安全地访问公网，同时不暴露入站端口？最主流的方案是 TGW + NAT Gateway。 流量路径 Private EC2 访问公网的完整路径： Private EC2（10.1.0.10）→ TGW → NAT Gateway（10.0.0.10）→ IGW → Internet ...

Data Perimeter（数据边界）是 AWS 安全体系中定义”信任边界”的一套策略组合。核心目标只有两条：组织内资源只能被组织内账号访问、组织内账号只能访问组织内资源。 实现方式不是单一策略，而是从不同维度分层控制。以下按控制维度逐一说明。 一、主体侧控制：SCP aws:ResourceOrgID 控制什么：限制 IAM 主体只能操作归属于本组织的资源。 原理：aws:Res...

在多账号架构中，每个 VPC 各自暴露公网入口、各自配置 NAT 是常见做法，但这会导致安全策略分散、出站流量难以统一审计、攻击面扩大等问题。中心化网络架构（Hub-and-Spoke）的核心思想是：只用一个 Network VPC 作为枢纽，所有其他 VPC 不设公网入口，流量统一经过枢纽 VPC。 架构总览 Network VPC（枢纽） ...

AWS VPC（Virtual Private Cloud）是 AWS 上最基础也最重要的网络概念。如果你刚开始接触 AWS，面对 VPC、CIDR、子网、路由表、IGW、NAT 这一串名词可能会感到困惑。这篇文章用类比帮你理清它们之间的关系。 VPC —— 一间独立的房间 VPC 是 AWS 云里的一个私有、隔离的虚拟网络。可以把云想象成一栋大楼，VPC 就是你在大楼里租的一个独立房间...

Security Group（安全组）和 NACL（Network ACL）是 AWS 提供的最基础的网络安全机制，都是用来控制流量的防火墙，但工作方式有本质区别。很多人配置 VPC 时会忽略 NACL，只使用 Security Group，这在某些场景下会留下安全隐患。 一句话定位 Security Group：附着在实例（EC2 / RDS / ALB）上的虚拟防火墙，控制单个...

企业在 AWS 上搭建安全防御体系时，最常见的问题是：有哪些安全组件？分别放在哪？做什么用？ 这篇文章从外到内梳理 AWS 的 7 层网络安全防线。 总览 用户/互联网 │ ▼ ① AWS Shield ← DDoS 防护，全局层 ② AWS WAF ← Web 应用层过滤 ③ AWS Network Firewall ← V...