Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Keamanan, identitas, dan kepatuhan
AWS dirancang untuk menjadi infrastruktur cloud global paling aman untuk membangun, bermigrasi, dan mengelola aplikasi dan beban kerja.
Setiap layanan dijelaskan setelah diagram. Untuk membantu Anda memutuskan layanan mana yang paling sesuai dengan kebutuhan Anda, lihat Memilih layanan AWS keamanan, identitas, dan tata kelola. Untuk informasi umum, lihat Keamanan, Identitas, dan Kepatuhan di AWS
![Diagram yang menunjukkan AWS layanan keamanan, identitas, dan tata kelola](images/security-identity-governance-services.png)
Layanan
- Amazon Cognito
- Amazon Detective
- Amazon GuardDuty
- Amazon Inspector
- Amazon Macie
- Amazon Security Lake
- Izin Terverifikasi Amazon
- AWS Artifact
- AWS Audit Manager
- AWS Certificate Manager
- AWS CloudHSM
- AWS Directory Service
- AWS Firewall Manager
- AWS Identity and Access Management
- AWS Key Management Service
- AWS Network Firewall
- AWS Resource Access Manager
- AWS Secrets Manager
- AWS Security Hub
- AWS Shield
- AWS IAM Identity Center
- AWS WAF
- AWS WAF Captcha
Kembali keAWS layanan.
Amazon Cognito
Amazon Cognito
Selain itu, Amazon Cognito memungkinkan Anda menyimpan data secara lokal di perangkat pengguna, memungkinkan aplikasi Anda berfungsi bahkan saat perangkat sedang offline. Anda kemudian dapat menyinkronkan data di seluruh perangkat pengguna sehingga pengalaman aplikasi mereka tetap konsisten terlepas dari perangkat yang mereka gunakan.
Dengan Amazon Cognito, Anda dapat fokus untuk menciptakan pengalaman aplikasi yang luar biasa daripada khawatir tentang membangun, mengamankan, dan menskalakan solusi untuk menangani manajemen, otentikasi, dan sinkronisasi pengguna di seluruh perangkat.
Amazon Detective
Amazon Detective
AWS Layanan keamanan seperti Amazon GuardDuty, Amazon Macie, dan AWS Security Hub, serta produk keamanan mitra, dapat digunakan untuk mengidentifikasi potensi masalah keamanan, atau temuan. Layanan ini sangat membantu dalam memberi tahu Anda kapan dan di mana ada kemungkinan akses tidak sah atau perilaku mencurigakan dalam penerapan Anda. AWS Namun, terkadang ada temuan keamanan bahwa Anda ingin melakukan penyelidikan lebih dalam tentang peristiwa yang mengarah pada temuan untuk memulihkan akar penyebabnya. Menentukan akar penyebab temuan keamanan dapat menjadi proses yang kompleks bagi analis keamanan yang sering melibatkan pengumpulan dan penggabungan log dari banyak sumber data, menggunakan alat ekstrak, transformasi, dan pemuatan (ETL), dan skrip khusus untuk mengatur data.
Amazon Detective menyederhanakan proses ini dengan memungkinkan tim keamanan Anda untuk dengan mudah menyelidiki dan dengan cepat sampai ke akar penyebab temuan. Detective dapat menganalisis triliunan peristiwa dari berbagai sumber data seperti Amazon Virtual Private Cloud (VPC) Flow Logs, AWS CloudTrail dan Amazon. GuardDuty Detective menggunakan peristiwa ini untuk secara otomatis membuat tampilan interaktif terpadu dari sumber daya Anda, pengguna, dan interaksi di antara mereka dari waktu ke waktu. Dengan pandangan terpadu ini, Anda dapat memvisualisasikan semua detail dan konteks di satu tempat untuk mengidentifikasi alasan yang mendasari temuan, menggali aktivitas historis yang relevan, dan menentukan akar penyebabnya dengan cepat.
Anda dapat memulai dengan Amazon Detective hanya dengan beberapa klik di. AWS Management Console Tidak ada perangkat lunak untuk menyebarkan, atau sumber data untuk mengaktifkan dan memelihara. Anda dapat mencoba Detective tanpa biaya tambahan dengan uji coba gratis 30 hari yang tersedia untuk akun baru.
Amazon GuardDuty
Amazon GuardDuty
Diaktifkan dengan beberapa klik di seluruh organisasi yang AWS Management Console dikelola dengan mudah dengan dukungannya, AWS Organizations Amazon GuardDuty dapat segera mulai menganalisis miliaran peristiwa di seluruh AWS akun Anda untuk tanda-tanda penggunaan yang tidak sah. GuardDuty mengidentifikasi tersangka penyerang melalui umpan intelijen ancaman terintegrasi dan deteksi anomali pembelajaran mesin untuk mendeteksi anomali dalam aktivitas akun dan beban kerja. Ketika potensi penggunaan tidak sah terdeteksi, layanan memberikan temuan terperinci ke GuardDuty konsol, Amazon CloudWatch Events, dan. AWS Security Hub Hal ini membuat temuan dapat ditindaklanjuti dan mudah diintegrasikan ke dalam manajemen acara dan sistem alur kerja yang ada. Penyelidikan lebih lanjut untuk menentukan akar penyebab temuan mudah dilakukan dengan menggunakan Amazon Detective langsung dari GuardDuty konsol.
Amazon GuardDuty hemat biaya dan mudah dioperasikan. Ini tidak mengharuskan Anda untuk menyebarkan dan memelihara perangkat lunak atau infrastruktur keamanan, yang berarti dapat diaktifkan dengan cepat tanpa risiko berdampak negatif terhadap aplikasi dan beban kerja kontainer yang ada. Tidak ada biaya di muka, tidak ada perangkat lunak untuk digunakan GuardDuty, dan tidak ada umpan intelijen ancaman untuk diaktifkan. Selain itu, GuardDuty mengoptimalkan biaya dengan menerapkan filter pintar dan hanya menganalisis sebagian log yang relevan dengan deteksi ancaman, dan GuardDuty akun Amazon baru gratis selama 30 hari.
Amazon Inspector
Amazon Inspector
Amazon Inspector memiliki banyak perbaikan dibandingkan Amazon Inspector Classic. Misalnya, Amazon Inspector baru menghitung skor risiko yang sangat kontekstual untuk setiap temuan dengan mengkorelasikan kerentanan umum dan eksposur (CVE) informasi dengan faktor-faktor seperti akses jaringan dan eksploitasi. Skor ini digunakan untuk memprioritaskan kerentanan paling kritis untuk meningkatkan efisiensi respons remediasi. Selain itu, Amazon Inspector sekarang menggunakan AWS Systems Manager Agen (SSMAgen) yang digunakan secara luas untuk menghilangkan kebutuhan Anda untuk menerapkan dan memelihara agen mandiri untuk menjalankan penilaian instans Amazon. EC2 Untuk beban kerja kontainer, Amazon Inspector sekarang terintegrasi dengan Amazon Elastic Container Registry (ECRAmazon) untuk mendukung penilaian kerentanan gambar kontainer yang cerdas, hemat biaya, dan berkelanjutan. Semua temuan dikumpulkan di konsol Amazon Inspector, diarahkan AWS Security Hub ke, dan didorong melalui EventBridge Amazon untuk mengotomatiskan alur kerja seperti tiket.
Semua akun baru Amazon Inspector memenuhi syarat untuk uji coba gratis 15 hari untuk mengevaluasi layanan dan memperkirakan biayanya. Selama uji coba, semua EC2 instans Amazon yang memenuhi syarat dan gambar kontainer yang didorong ke Amazon ECR terus dipindai tanpa biaya.
Amazon Macie
Amazon Macie
Dalam konfigurasi multi-akun, satu akun administrator Macie dapat mengelola semua akun anggota, termasuk pembuatan dan administrasi pekerjaan penemuan data sensitif di seluruh akun dengan. AWS Organizations Temuan keamanan dan penemuan data sensitif dikumpulkan di akun administrator Macie dan dikirim ke Amazon CloudWatch Events dan. AWS Security Hub Sekarang menggunakan satu akun, Anda dapat berintegrasi dengan manajemen acara, alur kerja, dan sistem tiket atau menggunakan temuan Macie AWS Step Functions untuk mengotomatiskan tindakan remediasi. Anda dapat dengan cepat memulai dengan Macie menggunakan uji coba 30 hari yang tersedia untuk akun baru untuk inventaris bucket S3 dan evaluasi tingkat ember tanpa biaya. Penemuan data sensitif tidak termasuk dalam uji coba 30 hari untuk evaluasi bucket.
Amazon Security Lake
Amazon Security Lake memusatkan data keamanan dari AWS lingkungan, penyedia SaaS, di tempat, dan sumber cloud, ke dalam data lake yang dibuat khusus yang disimpan di tempat Anda. Akun AWS Security Lake mengotomatiskan pengumpulan dan pengelolaan data keamanan di seluruh akun Wilayah AWS sehingga Anda dapat menggunakan alat analisis pilihan Anda sambil mempertahankan kontrol dan kepemilikan atas data keamanan Anda. Dengan Security Lake, Anda juga dapat meningkatkan perlindungan beban kerja, aplikasi, dan data Anda.
Security Lake mengotomatiskan pengumpulan data log dan peristiwa terkait keamanan dari AWS layanan terintegrasi dan layanan pihak ketiga. Ini juga membantu Anda mengelola siklus hidup data dengan pengaturan retensi yang dapat disesuaikan. Data lake didukung oleh bucket Amazon S3, dan Anda mempertahankan kepemilikan atas data Anda. Security Lake mengubah data yang dicerna ke dalam format Apache Parquet dan skema open-source standar yang disebut Open Cybersecurity Schema Framework (). OCSF Dengan OCSF dukungan, Security Lake menormalkan dan menggabungkan data keamanan dari AWS dan berbagai sumber data keamanan perusahaan.
AWS Layanan lain dan layanan pihak ketiga dapat berlangganan data yang disimpan di Security Lake untuk respons insiden dan analisis data keamanan.
Izin Terverifikasi Amazon
Izin Terverifikasi Amazon adalah layanan pengelolaan dan otorisasi izin
Izin Terverifikasi menggunakan Cedar
AWS Artifact
AWS Artifact
AWS Audit Manager
AWS Audit Manager
Kerangka kerja AWS Audit Manager bawaan membantu menerjemahkan bukti dari layanan cloud ke dalam laporan yang ramah auditor dengan memetakan AWS sumber daya Anda ke persyaratan dalam standar atau peraturan industri, seperti Tolok Ukur CIS AWS Yayasan, Peraturan Perlindungan Data Umum (GDPR), dan Standar Keamanan Data Industri Kartu Pembayaran (). PCI DSS Anda juga dapat sepenuhnya menyesuaikan kerangka kerja dan kontrolnya untuk kebutuhan bisnis unik Anda. Berdasarkan kerangka kerja yang Anda pilih, Audit Manager meluncurkan penilaian yang terus mengumpulkan dan mengatur bukti yang relevan dari AWS akun dan sumber daya Anda, seperti snapshot konfigurasi sumber daya, aktivitas pengguna, dan hasil pemeriksaan kepatuhan.
Anda dapat memulai dengan cepat di AWS Management Console. Cukup pilih kerangka kerja bawaan untuk meluncurkan penilaian dan mulai mengumpulkan dan mengatur bukti secara otomatis.
AWS Certificate Manager
AWS Certificate Manager
Dengan AWS Certificate Manager, Anda dapat dengan cepat meminta sertifikat, menerapkannya pada AWS sumber daya ACM terintegrasi, seperti Elastic Load Balancing, distribusi CloudFront Amazon, API dan di GatewayAPIs, AWS Certificate Manager dan membiarkan menangani perpanjangan sertifikat. Ini juga memungkinkan Anda untuk membuat sertifikat pribadi untuk sumber daya internal Anda dan mengelola siklus hidup sertifikat secara terpusat. Sertifikat publik dan swasta yang disediakan AWS Certificate Manager untuk digunakan dengan layanan ACM -terintegrasi gratis. Anda hanya membayar untuk AWS sumber daya yang Anda buat untuk menjalankan aplikasi Anda.
Dengan AWS Private Certificate Authority
AWS CloudHSM
AWS CloudHSM
AWS CloudHSM sesuai standar dan memungkinkan Anda untuk mengekspor semua kunci Anda ke sebagian besar lainnya yang tersedia secara komersialHSMs, tergantung pada konfigurasi Anda. Ini adalah layanan yang dikelola sepenuhnya yang mengotomatiskan tugas administratif yang memakan waktu untuk Anda, seperti penyediaan perangkat keras, penambalan perangkat lunak, ketersediaan tinggi, dan pencadangan. AWS CloudHSM juga memungkinkan Anda untuk menskalakan dengan cepat dengan menambah dan menghapus HSM kapasitas sesuai permintaan, tanpa biaya di muka.
AWS Directory Service
AWS Directory Service
AWS Firewall Manager
AWS Firewall Manager
AWS Identity and Access Management
AWS Identity and Access Management
-
Anda mengelola AWS izin untuk pengguna dan beban kerja tenaga kerja Anda di AWS IAM Identity Center
(Pusat IAM Identitas). IAM Pusat Identitas memungkinkan Anda mengelola akses pengguna di beberapa AWS akun. Hanya dengan beberapa klik, Anda dapat mengaktifkan layanan yang sangat tersedia, mengelola akses multi-akun dengan mudah, dan izin ke semua akun Anda secara terpusat. AWS Organizations IAM Identity Center mencakup SAML integrasi bawaan ke banyak aplikasi bisnis, seperti Salesforce, Box, dan Microsoft Office 365. Selanjutnya, Anda dapat membuat integrasi Security Assertion Markup Language (SAML) 2.0 dan memperluas akses masuk tunggal ke salah satu aplikasi yang diaktifkan. SAML Pengguna Anda cukup masuk ke portal pengguna dengan kredensi yang mereka konfigurasikan atau menggunakan kredensi perusahaan yang ada untuk mengakses semua akun dan aplikasi yang ditugaskan dari satu tempat. -
Mengelola IAM izin akun tunggal
: Anda dapat menentukan akses ke AWS sumber daya menggunakan izin. IAMEntitas Anda (pengguna, grup, dan peran) secara default dimulai tanpa izin. Identitas ini dapat diberikan izin dengan melampirkan IAM kebijakan yang menentukan jenis akses, tindakan yang dapat dilakukan, dan sumber daya tempat tindakan dapat dilakukan. Anda juga dapat menentukan kondisi yang harus diatur agar akses diizinkan atau ditolak. -
Kelola IAM peran akun tunggal
: IAM peran memungkinkan Anda mendelegasikan akses ke pengguna atau layanan yang biasanya tidak memiliki akses ke sumber daya organisasi AWS Anda. IAMPengguna atau AWS layanan dapat mengambil peran untuk mendapatkan kredensi keamanan sementara yang digunakan untuk melakukan AWS API panggilan. Anda tidak perlu membagikan kredensi jangka panjang atau menentukan izin untuk setiap identitas.
AWS Key Management Service
AWS Key Management Service
AWS Network Firewall
AWS Network Firewall
AWS Network Firewall termasuk fitur yang memberikan perlindungan dari ancaman jaringan umum. Firewall AWS Network Firewall stateful dapat menggabungkan konteks dari arus lalu lintas, seperti melacak koneksi dan identifikasi protokol, untuk menegakkan kebijakan seperti VPCs mencegah Anda mengakses domain menggunakan protokol yang tidak sah. Sistem pencegahan AWS Network Firewall intrusi (IPS) menyediakan inspeksi arus lalu lintas aktif sehingga Anda dapat mengidentifikasi dan memblokir eksploitasi kerentanan menggunakan deteksi berbasis tanda tangan. AWS Network Firewall juga menawarkan pemfilteran web yang dapat menghentikan lalu lintas ke yang diketahui buruk URLs dan memantau nama domain yang sepenuhnya memenuhi syarat.
Sangat mudah untuk memulai AWS Network Firewall dengan mengunjungi VPCKonsol Amazon
AWS Resource Access Manager
AWS Resource Access Manager
Banyak organisasi menggunakan beberapa akun untuk membuat isolasi administratif atau penagihan, dan untuk membatasi dampak kesalahan. Dengan AWS RAM, Anda tidak perlu membuat sumber daya duplikat di beberapa AWS akun. Ini mengurangi overhead operasional mengelola sumber daya di setiap akun yang Anda miliki. Sebagai gantinya, di lingkungan multi-akun, Anda dapat membuat sumber daya sekali, dan menggunakannya AWS RAM untuk membagikan sumber daya tersebut di seluruh akun dengan membuat pembagian sumber daya. Saat membuat pembagian sumber daya, Anda memilih sumber daya yang akan dibagikan, memilih izin AWS RAM terkelola per jenis sumber daya, dan menentukan siapa yang ingin Anda akses ke sumber daya tersebut. AWS RAM tersedia untuk Anda tanpa biaya tambahan.
AWS Secrets Manager
AWS Secrets Manager
AWS Security Hub
AWS Security Hub
Security Hub memungkinkan Anda memahami postur keamanan Anda secara keseluruhan melalui skor keamanan terkonsolidasi di semua AWS akun Anda, secara otomatis menilai keamanan sumber daya AWS akun Anda melalui standar Praktik Terbaik Keamanan AWS Dasar (FSBP) dan kerangka kerja kepatuhan lainnya. Ini juga mengumpulkan semua temuan keamanan Anda dari lusinan layanan dan APN produk AWS keamanan di satu tempat dan format melalui AWS Security Finding Format (ASFF), dan mengurangi Mean Time To Remediation (MTTR) Anda dengan respons otomatis dan dukungan remediasi. Security Hub memiliki out-of-the-box integrasi dengan tiket, obrolan, Informasi Keamanan dan Manajemen Acara (SIEM), Otomatisasi dan Respons Orkestrasi Keamanan (SOAR), investigasi ancaman, Risiko dan Kepatuhan Tata Kelola (GRC), dan alat manajemen insiden untuk menyediakan alur kerja operasi keamanan yang lengkap kepada pengguna Anda.
Memulai Security Hub hanya memerlukan beberapa klik AWS Management Console untuk mulai mengumpulkan temuan dan melakukan pemeriksaan keamanan menggunakan uji coba gratis 30 hari kami. Anda dapat mengintegrasikan Security Hub AWS Organizations untuk mengaktifkan layanan secara otomatis di semua akun di organisasi Anda.
AWS Shield
AWS Shield
Semua AWS pelanggan mendapat manfaat dari perlindungan otomatis AWS Shield Standar, tanpa biaya tambahan. AWS Shield Standard bertahan terhadap DDoS serangan lapisan jaringan dan transport yang paling umum dan sering terjadi yang menargetkan situs web atau aplikasi Anda. Saat Anda menggunakan AWS Shield Standard
Amazon CloudFront dan Amazon
Untuk tingkat perlindungan yang lebih tinggi terhadap serangan yang menargetkan aplikasi Anda yang berjalan di Amazon Elastic Compute Cloud EC2 (Amazon), Elastic Load Balancing ELB (), Amazon CloudFront, dan Amazon Route 53 resource, Anda dapat berlangganan. AWS Shield Advanced Selain perlindungan lapisan jaringan dan transport yang disertakan dengan Standard, AWS Shield Advanced menyediakan deteksi dan mitigasi tambahan terhadap DDoS serangan besar dan canggih, visibilitas mendekati real-time ke dalam serangan, dan integrasi dengan AWS WAF, firewall aplikasi web. AWS Shield Advanced juga memberi Anda akses 24x7 ke Tim AWS DDoS Response (DRT) dan perlindungan terhadap lonjakan DDoS terkait di Amazon Elastic Compute Cloud (AmazonEC2), Elastic Load Balancing ()ELB, Amazon, dan Amazon CloudFront Route 53.
AWS Shield Advanced tersedia secara global di semua lokasi tepi Amazon CloudFront dan Amazon Route 53. Anda dapat melindungi aplikasi web Anda yang dihosting di mana saja di dunia dengan menggunakan Amazon CloudFront di depan aplikasi Anda. Server asal Anda dapat berupa Amazon S3, Amazon Elastic Compute Cloud (AmazonEC2), Elastic Load Balancing ELB (), atau server khusus di luar. AWS Anda juga dapat mengaktifkan AWS Shield Advanced langsung pada IP Elastis atau Elastic Load Balancing (ELB) sebagai berikut Wilayah AWS: Virginia Utara, Ohio, Oregon, California Utara, Montreal, São Paulo, Irlandia, Frankfurt, London, Paris, Stockholm, Singapura, Tokyo, Sydney, Seoul, Mumbai, Milan, dan Cape Town.
AWS IAM Identity Center
AWS IAM Identity Center
AWS WAF
AWS WAF
AWS WAF Captcha
AWSWAFCaptcha
Kembali keAWS layanan.