本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

安全性、身分識別與合規性

AWS 其架構為最安全的全球雲端基礎架構，可用來建置、移轉和管理應用程式和工作負載。

每個服務在圖表之後進行描述。若要協助您決定哪種服務最符合您的需求，請參閱選擇 AWS 安全性、身分識別和治理服務。如需一般資訊，請參閱上的安全性、身分和符合性 AWS.

返回AWS 服務。

Amazon Cognito

Amazon Cognito 可讓您快速輕鬆地將使用者註冊、登入和存取控制新增至 Web 和行動應用程式。使用 Amazon Cognito，您可以擴展到數百萬名使用者，並透過 SAML 2.0 身分識別解決方案或使用您自己的身分系統來支援透過 Apple、Facebook、Twitter 或 Amazon 等社交身分供應商進行登入。

此外，Amazon Cognito 可讓您將資料本機儲存在使用者裝置上，讓您的應用程式即使裝置離線也能正常運作。然後，您可以跨用戶的設備同步數據，以便無論他們使用哪種設備，他們的應用程序體驗都保持一致。

透過 Amazon Cognito，您能夠專心建立絕佳的應用程式體驗，不用擔心如何建置、保護和擴展解決方案，即可有效處理使用者管理、身分驗證與跨裝置同步作業。

Amazon Detective

Amazon Detective tor 可讓您輕鬆分析、調查並快速識別潛在安全問題或可疑活動的根本原因。Amazon Detective 會自動從您的 AWS 資源並使用機器學習、統計分析和圖論來建立連結的資料集，讓您輕鬆進行更快、更有效率的安全性調查。Amazon Detective ess 進一步簡化了組織中所有現有和 future 帳戶的安全操作和調查的帳戶管理 AWS Organizations 最高可達 1,200 美元 AWS 帳戶。

AWS 安全服務，例如 Amazon GuardDuty，亞馬遜 Macie 和 AWS Security Hub以及合作夥伴安全性產品，可用來識別潛在的安全性問題或發現項目。這些服務非常有助於提醒您何時何地可能存在未經授權的訪問或可疑行為 AWS 部署。不過，有時候會有安全性發現項目，您希望對導致發現項目的事件執行更深入的調查，以修正根本原因。對於安全分析師而言，確定安全性發現的根本原因可能是一個複雜的過程，該程序通常涉及收集和合併來自許多資料來源的日誌，使用擷取、轉換和 load (ETL) 工具以及自訂指令碼來組織資料。

Amazon Detective ess 可讓您的安全團隊輕鬆調查並快速找出發現的根本原因，從而簡化此程序。Detective 可以分析來自多個資料來源的數兆個事件，例如 Amazon Virtual Private Cloud (VPC) 流程日誌、 AWS CloudTrail和 Amazon GuardDuty。Detective 使用這些事件來自動建立一個統一的互動式檢視，檢視您的資源、使用者，以及它們之間隨著時間的推移互動。透過此統一檢視，您可以在一個位置視覺化所有詳細資料和內容，以識別發現項目的基本原因、深入研究相關的歷史活動，以及快速判斷根本原因。

您只需單擊幾下即可開始使用 Amazon Detective AWS Management Console。 不需要部署任何軟體，也不需要啟用和維護資料來源。您可以免費試用 Detective，免費試用 30 天，新帳戶可免費試用。

Amazon GuardDuty

Amazon GuardDuty 是一種威脅偵測服務，可持續監控惡意活動和異常行為，以保護您的 AWS 帳戶、工作負載、Kubernetes 叢集，以及存放在 Amazon 簡單儲存服務 (Amazon S3) 中的資料。該 GuardDuty服務監控活動，例如異常API呼叫，未經授權的部署和洩漏的憑據，這些憑據表明可能的帳戶偵察或入侵。

啟用與點擊幾下 AWS Management Console 並在其支持下輕鬆管理整個組織 AWS Organizations，Amazon GuardDuty 可以立即開始分析您的數十億個事件 AWS 說明未經授權使用的跡象。 GuardDuty 透過整合式威脅情報摘要和機器學習異常偵測來識別可疑的攻擊者，以偵測帳戶和工作負載活動中的異常情況。當偵測到潛在的未經授權使用時，服務會向主 GuardDuty 控台、Amazon E CloudWatch vents 和 AWS Security Hub。 這使得發現結果可行，並且易於集成到現有的事件管理和工作流程系統中。透過直接從 GuardDuty 主控台使用 Amazon Detective ess，即可輕鬆完成進一步調查以確定發現項目的根本原因。

Amazon 具 GuardDuty 有成本效益且易於操作。它不需要您部署和維護軟體或安全性基礎架構，這表示可以快速啟用，而不會對現有應用程式和容器工作負載造成負面影響。無需預付費用 GuardDuty，也不需要部署軟體，也不需要啟用威脅情報饋送。此外， GuardDuty透過套用智慧篩選器並僅分析與威脅偵測相關的一部分日誌來優化成本，而新的 Amazon GuardDuty 帳戶則可免費使用 30 天。

Amazon Inspector

Amazon Inspector 是全新的自動化弱點管理服務，可持續掃描 AWS 針對軟體弱點和非預期網路暴露的工作負載。隨著點擊幾下 AWS Management Console 以及 AWS Organizations，您可以在組織中的所有帳戶中使用 Amazon Inspector。一旦啟動，Amazon Inspector 會自動探索執行中的 Amazon 彈性運算雲端 (AmazonEC2) 執行個體和存放在 Amazon 彈性容器登錄 (AmazonECR) 中的容器映像，並立即開始評估已知漏洞。

Amazon Inspector 有過亞 Amazon Inspector 經典的許多改進。例如，新的 Amazon Inspector 會將常見弱點和曝光 (CVE) 資訊與網路存取和可利用性等因素建立關聯，來計算每個發現項目的高度情境化風險評分。此分數用於排定最嚴重弱點的優先順序，以改善補救回應效率。此外，Amazon Inspector 現在使用廣泛部署 AWS Systems Manager 代理程SSM式 (代理程式) 可讓您不需要部署和維護獨立代理程式來執行 Amazon EC2 執行個體評估。對於容器工作負載，Amazon Inspector 現在已與 Amazon 彈性容器登錄 (AmazonECR) 整合，以支援容器映像的智慧型、具成本效益且持續的弱點評估。所有發現項目都會彙總在 Amazon Inspector 主控台中，並路由到 AWS Security Hub，並通過 Amazon 推送 EventBridge 以自動化工作流程，例如票務。

Amazon Inspector 的所有新帳戶都有資格獲得 15 天的免費試用期，以評估服務並估算其成本。在試用期間，所有推送到 Amazon 的合格 Amazon EC2 執行個體和容器映像ECR都會持續免費掃描。

Amazon Macie

Amazon Macie 是全受管的資料安全和資料隱私權服務，使用庫存評估、機器學習和模式比對來探索 Amazon S3 環境中的敏感資料和可存取性。Macie 支援可擴充的隨需和自動化敏感資料探索工作，可自動追蹤值區的變更，並只評估一段時間內的新物件或修改過的物件。使用 Macie，您可以檢測許多國家和地區的大量敏感數據類型列表，包括多種類型的財務數據，個人健康信息（PHI）和個人身份信息（PII）以及自定義類型。Macie 也會持續評估您的 Amazon S3 環境，為您的所有帳戶提供 S3 資源摘要和安全評估。您可以依中繼資料變數 (例如儲存貯體名稱、標籤和加密狀態或公共可存取性等安全控制) 來搜尋、篩選和排序 S3 儲存貯體。適用於任何未加密的值區、可公開存取的值區，或與之共用的值區 AWS 帳戶 在您定義的內容之外 AWS Organizations，你可以被提醒採取行動。

在多帳戶配置中，單個 Macie 管理員帳戶可以管理所有成員帳戶，包括創建和管理跨帳戶的敏感數據發現作業 AWS Organizations。 安全性和敏感資料探索發現結果會彙總在 Macie 管理員帳戶中，並傳送至 Amazon CloudWatch 活動和 AWS Security Hub。 現在使用一個帳戶，您可以與事件管理，工作流程和票務系統集成，或者使用 Macie 調查結果 AWS Step Functions 以自動化修復動作。您可以免費使用新帳戶提供給 S3 儲存貯體庫存和儲存貯體層級評估的 30 天試用版，快速開始使用 Macie。儲存貯體評估的 30 天試用版不包含敏感資料探索。

Amazon Security Lake

Amazon 安全湖集中安全性資料 AWS 環境、SaaS 供應商、內部部署和雲端來源，轉換為專門建置的資料湖，並儲存在您的 AWS 帳戶。 Security Lake 可自動收集和管理不同帳戶的安全性資料，以及 AWS 區域 這樣您就可以使用偏好的分析工具，同時保留對安全性資料的控制權和擁有權。透過 Security Lake，您還可以改善工作負載、應用程式和資料的保護。

Security Lake 可自動從整合式收集與安全性相關的記錄檔和事件資料 AWS 服務和第三方服務。它還可以通過可自定義的保留設置幫助您管理數據的生命週期。資料湖由 Amazon S3 儲存貯體提供支援，您保留資料的擁有權。安全湖將擷取的資料轉換為 Apache Parquet 格式，以及稱為開放網路安全架構架構 (OCSF) 的標準開放原始碼結構描述。透過OCSF支援，Security Lake 可將來自的安全性資料標準化並結合 AWS 以及廣泛的企業安全性資料來源。

其他 AWS 服務和第三方服務可以訂閱儲存在 Security Lake 中的資料，以進行事件回應和安全性資料分析。

Amazon Verified Permissions

Amazon 驗證許可是可擴展的精細許可管理和授權服務，適用於您已建立的自訂應用程式。驗證權限可讓您的開發人員透過外部化授權並集中原則管理和管理，以更快速地建置安全的應用程式。

驗證權限使用 Cedar (一種開放原始碼原則語言)SDK，並為應用程式使用者定義精細的權限。您的授權模型是使用主參與者類型、資源類型和有效動作來定義，以控制哪些人可以針對指定應用程式前後關聯中的哪些資源採取哪些動作。系統會稽核原則變更，以便您可以查看變更的人員以及何時進行變更。

AWS Artifact

AWS Artifact是您最重要的法規遵循相關資訊的核心資源。它提供按需訪問 AWS 安全性與合規性報告，以及選取線上合約。可用的報告 AWS Artifact 包括我們的服務組織控制 (SOC) 報告、支付卡產業 (PCI) 報告，以及來自各地區和法規遵循垂直行業的認證機構的認證，以驗證實施和營運效率 AWS 安全控制。協議可用於 AWS Artifact 包括「商業夥伴增補合約」(BAA) 和「保密協議」()。NDA

AWS Audit Manager

AWS Audit Manager協助您持續稽核 AWS 使用方式可簡化您評估風險和法規遵循與產業標準的方式。Audit Manager 會自動執行證據收集，以減少稽核經常發生的「全力投入」手動工作，並讓您能夠隨著業務成長而在雲端擴展稽核能力。有了 Audit Manager，您就可以輕鬆評估您的策略、程序和活動 (也稱為控制項) 是否有效運作。當它的時間進行審計, AWS Audit Manager 協助您管理控制項的利害關係人審查，並讓您以更少的手動方式建立可稽核準備的報告。

所以此 AWS Audit Manager 預先建置的架構可透過對應您的雲端服務，將證據從雲端服務轉換為對稽核友善 AWS 符合業界標準或法規要求的資源，例如CISAWS基礎基準、一般資料保護條例 (GDPR) 和支付卡產業資料安全標準 (PCIDSS)。您也可以針對您獨特的業務需求，完全自訂架構及其控制項。Audit Manager 會根據您選取的架構啟動評估，持續收集並組織您的相關證據 AWS 帳號和資源，例如資源組態快照、使用者活動和符合性檢查結果。

您可以在 AWS Management Console。 只要選取預先建置的架構即可啟動評估，並開始自動收集和整理證據。

AWS Certificate Manager

AWS Certificate Manager是一項服務，可讓您輕鬆佈建、管理和部署安全通訊端層/傳輸層安全性 (SSL/TLS) 憑證，以便搭配使用 AWS 服務和您的內部連接資源。SSL/TLS認證用於保護網路通訊的安全，並透過網際網路建立網站的身分，以及私人網路上的資源。 AWS Certificate Manager 消除了耗時的手動購買，上傳和續訂SSL/TLS認證過程。

同 AWS Certificate Manager，您可以快速請求證書，將其部署在ACM集成 AWS 資源，例如 Elastic Load Balancing，Amazon CloudFront 分發和API網關APIs上，並讓 AWS Certificate Manager 處理憑證續約。它也可讓您為內部資源建立私有憑證，並集中管理憑證生命週期。透過佈建的公用和私有憑證 AWS Certificate Manager 與ACM綜合服務一起使用是免費的。您只需支付 AWS 您建立用來執行應用程式的資源。

搭配 AWS Private Certificate Authority，您每月支付私有憑證授權單位 (CA) 的運作費用，以及您發行的私有憑證。您擁有高可用性的私有 CA 服務，而不需要支付操作自己私有 CA 的前期投資和持續的維護成本。

AWS CloudHSM

AWS CloudHSM是雲端式硬體安全模組 (HSM)，可讓您輕鬆產生並使用您自己的加密金鑰 AWS 雲端。 同 AWS CloudHSM，您可以使用專用的 FIPS 140-2 級 3 驗證來管理自己的加密金鑰。HSMs AWS CloudHSM 提供您使用業界標準 (例如 PKCS #11 APIs、Java 密碼編譯延伸模組 (JCE) 和 Microsoft CrypTong (CNG) 程式庫與應用程式整合的彈性。

AWS CloudHSM 符合標準HSMs，可讓您將所有金鑰匯出至大多數其他市售的金鑰 (視您的組態而定)。這是一項全受管服務，可為您自動執行耗時的管理工作，例如硬體佈建、軟體修補、高可用性和備份。 AWS CloudHSM 還可讓您透過隨需新增和移除HSM容量來快速擴充，而無需前期成本。

AWS Directory Service

AWS Directory Service對於 Microsoft 活動目錄，也被稱為 AWS Managed Microsoft AD，可讓您的目錄感知工作負載和AWS資源使用中的受管理 Active Directory AWS 雲端. AWS Managed Microsoft AD 是建立在實際的 Microsoft 活動目錄，不需要您同步或複製數據從您現有的活動目錄到雲。您可以使用標準的 Active Directory 系統管理工具，並利用內建的 Active Directory 功能，例如群組原則和單一登入 (SSO)。同 AWS Managed Microsoft AD，您可以輕鬆地將 Amazon EC2 和 Amazon 用RDS於SQL伺服器執行個體加入網域，並將 Amazon 等AWS企業 IT 應用程式 WorkSpaces與 Active Directory 使用者和群組一起使用。

AWS Firewall Manager

AWS Firewall Manager是一項安全管理服務，可讓您集中配置和管理跨帳戶和應用程序的防火牆規則 AWS Organizations。 建立新應用程式時，Firewall Manager 可透過強制執行一組通用的安全規則，輕鬆將新的應用程式和資源納入法規遵循。現在，您可以使用單一服務來建置防火牆規則、建立安全性原則，並以一致、階層式的方式在整個基礎結構中強制執行這些規則，從中央系統管理員帳戶。

AWS Identity and Access Management

AWS Identity and Access Management(IAM) 可讓您安全地控制存取 AWS 為您提供的服務和資源 AWS 使用者、群組和角色。您可以使用IAM權限建立和管理精細的存取控制、指定誰可以存取哪些服務和資源，以及在哪些情況下。IAM允許您執行以下操作：

AWS Key Management Service

AWS Key Management Service (AWS KMS) 可讓您輕鬆建立和管理密碼編譯金鑰，並控制各種金鑰的使用 AWS 服務和您的應用程序。 AWS KMS 使用硬件安全模塊（HSM）來保護和驗證您的 AWS KMS FIPS140-2 密碼模組驗證程式下的金鑰。 AWS KMS 與整合 AWS CloudTrail 為您提供所有金鑰使用記錄，以協助您滿足法規和合規需求。

AWS Network Firewall

AWS Network Firewall這是一項受管服務，可讓您輕鬆為所有 Amazon 虛擬私有雲部署基本網路保護 (VPCs)。只需按幾下滑鼠即可設定服務，並隨著網路流量自動調整規模，因此您不必擔心部署和管理任何基礎結構。AWSNetwork Firewall 彈性規則引擎可讓您定義防火牆規則，讓您更精細地控制網路流量，例如封鎖輸出伺服器訊息區 (SMB) 要求以防止惡意活動散播。您也可以匯入已使用一般開放原始碼規則格式撰寫的規則，以及啟用與來源的受管理智慧摘要的整合 AWS 合作夥伴。 AWS Network Firewall 一起工作 AWS Firewall Manager 所以你可以根據以下方式構建策略 AWS Network Firewall 規則，然後在您VPCs的和帳戶中集中套用這些政策。

AWS Network Firewall 包含可提供防範常見網路威脅的功能。所以此 AWS Network Firewall 狀態防火牆可以整合來自流量流程的內容 (例如追蹤連線和通訊協定識別)，以強制執行諸如防VPCs止您使用未經授權的通訊協定存取網域等原則。所以此 AWS Network Firewall 入侵預防系統 (IPS) 提供主動式流量檢查，讓您可以使用特徵碼型偵測來識別和封鎖弱點攻擊。 AWS Network Firewall 還提供 Web 過濾功能，可以阻止流量傳輸到已知錯誤URLs並監控完全合格的域名。

開始使用很容易 AWS Network Firewall 透過造訪 Amazon VPC 主控台建立或匯入防火牆規則、將它們分組到政策中，然後將它們套用到VPCs您要保護的規則。 AWS Network Firewall 定價是根據部署的防火牆數量和檢查的流量而定。沒有前期承諾，您只需按用量付費。

AWS Resource Access Manager

AWS Resource Access Manager (AWS RAM) 可協助您跨AWS帳號、組織中的組織或組織單位 (OUs) 內，Organ AWS izations 及支援資源類型的IAM角色和IAM使用者，安全地共用資源。您可以使用... AWS RAM 共享交通網關，子網， AWS License Manager 授權組態、Amazon Route 53 Resolver 規則，以及更多資源類型。

許多組織使用多個帳戶來建立管理或帳單隔離，並限制錯誤的影響。同 AWS RAM，您不需要在多個中創建重複的資源 AWS 帳戶。這樣可以減少管理您擁有的每個帳戶中資源的營運額外負荷。相反地，在您的多帳戶環境中，您可以建立一次資源，然後使用 AWS RAM 透過建立資源共用，在帳號間共用該資源。建立資源共用時，您可以選取要共用的資源，然後選擇 AWS RAM 每個資源類型的受管理權限，並指定您想要存取資源的對象。 AWS RAM 為您提供，不收取額外費用。

AWS Secrets Manager

AWS Secrets Manager協助您保護存取應用程式、服務和 IT 資源所需的機密。此服務可讓您輕鬆輪換、管理和擷取資料庫登入資料、API金鑰和其他機密的整個生命週期。用戶和應用程序使用呼叫 toSecrets 管理器檢索密碼APIs，從而無需以純文本格式對敏感信息進行硬編碼。Secrets Manager 提供秘密輪換與內置的集成 AmazonRDS, 亞馬遜紅移, 和 Amazon DocumentDB. 該服務也可擴展到其他類型的密碼，包括密API鑰和OAuth令牌。此外，Secrets Manager 可讓您使用精細的權限來控制密碼的存取，並集中稽核中資源的密碼輪換 AWS 雲端、第三方服務和內部部署。

AWS Security Hub

AWS Security Hub是雲端安全狀態管理服務，可針對您的系統執行自動化、持續的安全性最佳實務檢查 AWS 的費用。Security Hub 彙總了來自各種安全警報（即發現的結果） AWS 標準化格式的服務和合作夥伴產品，讓您可以更輕鬆地對其採取行動。若要全面檢視您的安全性狀態，請參閱 AWS，您需要整合多種工具和服務，包括來自 Amazon 的威脅偵測 GuardDuty、來自 Amazon Inspector 的漏洞、Amazon Macie 的敏感資料分類、來自 Amazon Macie 的資源組態問題 AWS Config和 AWS Partner Network 產品。Security Hub 透過提供支援的自動化安全性最佳實務檢查，簡化您瞭解和改善安全狀態的方式 AWS Config 規則和與數十個的自動集成 AWS 服務和合作夥伴產品。

Security Hub 可讓您透過整合的安全性分數，瞭解您的整體安全性狀態 AWS 帳戶，自動評估您的安全性 AWS 通過帳戶資源 AWS 基礎安全性最佳做法 (FSBP) 標準和其他合規性架構。它還彙總了來自數十個的所有安全發現 AWS 安全服務和APN產品在一個地方和格式通過 AWS 安全性尋找格式 (ASFF)，並透過自動化回應和補救支援縮短您的平均補救時間 (MTTR)。Security Hub out-of-the-box 整合了售票、聊天、安全資訊和事件管理 (SIEM)、安全協調自動化與回應 (SOAR)、威脅調查、治理風險與合規性 (GRC) 和事件管理工具，可為您的使用者提供完整的安全性作業工作流程。

開始使用 Security Hub 只需點擊幾下 AWS Management Console 使用我們的 30 天免費試用開始匯總結果並進行安全檢查。您可以將 Security Hub 與 AWS Organizations ，以自動啟用組織中所有帳戶中的服務。

AWS Shield

AWS Shield是一項受管理的分散式拒絕服務 (DDoS) 保護服務，可保護在上執行的 Web 應用程式 AWS. AWS Shield 為您提供永遠在線的偵測和自動內嵌緩解措施，將應用程式停機時間和延遲降至最低，因此無需參與 AWS Support 受益於保DDoS護。有兩層 AWS Shield：標準和進階。

全部 AWS 客戶受益於自動保護 AWS Shield 標準，不收取額外費用。 AWS Shield Standard 防禦針對您網站或應用程式的常見、經常發生的網路和傳輸層DDoS攻擊。當您使用 AWS Shield Standard 透過 Amazon CloudFront 和 Amazon Route 53，您可以獲得全面的可用性保護，抵禦所有已知的基礎設施 (第 3 層和第 4 層) 攻擊。

如需針對在 Amazon 彈性運算雲端 (Amazon)、Elastic Load Balancing (EC2ELB)、Amazon 和 Amazon Route 53 資源上執行之應用程式的攻擊提供更高層級的保護，您可以訂閱 CloudFront AWS Shield Advanced。 除了標準配備的網路和傳輸層保護外， AWS Shield Advanced 提供額外的偵測和緩解措施，以抵禦大型和複雜的DDoS攻擊、近乎即時的攻擊能見度，以及與 AWS WAF，Web 應用程式防火牆。 AWS Shield Advanced 您還可以全天候訪問AWSDDoS響應團隊（DRT），並保護您的 Amazon 彈性運算雲（Amazon），Elastic Load Balancing（EC2ELB），Amazon 和 Amazon CloudFront 路線 53 費用中的DDoS相關峰值。

AWS Shield 進階版可在全球所有 Amazon CloudFront 和 Amazon Route 53 節點使用。您可以在應用程式前部署 Amazon CloudFront ，保護在世界任何地方託管的 Web 應用程式。您的原始伺服器可以是 Amazon S3、Amazon 彈性運算雲端 (AmazonEC2)、Elastic Load Balancing (ELB) 或以外的自訂伺服器 AWS。 您也可以啟用 AWS Shield 直接在彈性 IP 或 Elastic Load Balancing（ELB）上進階，如下所示 AWS 區域：北維吉尼亞州、俄亥俄州、俄勒岡、北加利福尼亞、蒙特利爾、聖保羅、愛爾蘭、法蘭克福、倫敦、巴黎、斯德哥爾摩、新加坡、東京、悉尼、首爾、孟買、米蘭和開普敦。

AWS IAM Identity Center

AWS IAM Identity Center(SSO) 是一項雲端SSO服務，可讓您輕鬆集中管理多個SSO存取 AWS 帳戶和商業應用程式。只要按幾下滑鼠，您就可以啟用高可用性SSO服務，而不必支付操作自己SSO基礎架構的前期投資和持續的維護成本。透過IAM身分識別中心，您可以輕鬆管理所有帳戶的SSO存取權和使用者權限 AWS Organizations集中。IAM身分識別中心也包含許多商務應用程式的內建SAML整合，例如 Salesforce、盒子和 Microsoft Office 365。此外，透過使用 IAM Identity Center 應用程式設定精靈，您可以建立安全性宣告標記語言 (SAML) 2.0 整合，並將SSO存取權延伸至任何SAML已啟用的應用程式。您的使用者只要使用在 IAM Identity Center 中設定的認證登入使用者入口網站，或使用現有的公司認證，即可從單一位置存取所有指派的帳戶和應用程式。

AWS WAF

AWS WAF是一種 Web 應用程式防護牆，可協助保護您的 Web 應用程式，或APIs防止可能影響可用性、危害安全性或耗用過多資源的常見 Web 入侵程式和機器人。 AWS WAF 讓您能夠建立安全規則來控制機器人流量並封鎖常見攻擊模式 (例如SQL插入式或跨網站指令碼)，讓您控制流量到達應用程式的方式。您也可以自訂篩選出特定流量模式的規則。您可以快速開始使用下列項目的受管規則 AWS WAF，由管理的預先設定規則集 AWS 或 AWS Marketplace 賣方解決諸如OWASP前十大安全風險和自動化漫遊器之類的問題，這些問題會消耗過多的資源，扭曲指標或可能導致停機。這些規則會隨著新問題的出現而定期更新。 AWS WAF 包括功能齊全API，您可以用來自動化安全規則的建立、部署和維護。

AWS WAF Captcha

AWSWAF驗證碼通過要求用戶成功完成挑戰，以幫助阻止不需要的機器人流量，以便允許他們的 Web 請求到達 AWS WAF 受保護的資源。您可以配置 AWS WAF 規則要求針對機器人（例如登錄，搜索和表單提交）經常定位的特定資源來解決WAF驗證碼挑戰。您還可以根據從中生成的速率，屬性或標籤要求對可疑請求進行WAF驗證碼挑戰 AWS 受管規則，例如， AWS WAF 機器人控制或 Amazon IP 信譽清單。WAF驗證碼挑戰對人類來說很簡單，同時對機器人保持有效。WAF驗證碼包含音訊版本，其設計符合網頁內容存取指引 (WCAG) 無障礙需求。

返回AWS 服務。