AWS 安全、身份与合规全家桶：从 IAM 到 WAF 的 16 项核心服务全景解读|MK博客

1. 前言：为什么“安全 & 合规”是云原生的第一课？

在 2025 年的今天，云已经不再是“可选项”，而是企业数字化的事实底座。与此同时，全球合规框架（PCI-DSS、GDPR、HIPAA、ISO 27001、NIS2……）的复杂度呈指数级上升。安全与合规不再是 CISO 一个人的 KPI，而是每一次产品迭代、每一次架构升级都必须内置的“默认属性”。

AWS 围绕 身份（Identity）、检测（Detective）、防御（Protective）、响应（Responsive）、合规（Compliance） 五大维度，提供了 200+ 安全相关服务。本文精选其中 16 项高频核心服务，帮你用一张思维图搞定它们到底解决什么问题、何时选用、如何组合。

2. 思维导图速览

（文本版）


┌─ 身份认证与访问控制
│   ├─ IAM (身份与权限底座)
│   ├─ Cognito (面向终端用户身份)
│   ├─ DirectoryService (对接微软 AD)
│   └─ SingleSignOn (AWS IAM Identity Center)
├─ 数据保护
│   ├─ KMS (托管密钥)
│   ├─ CloudHSM (硬件 HSM)
│   ├─ SecretsManager (托管机密)
│   └─ CertificateManager (托管证书)
├─ 网络与边界防护
│   ├─ WAF (Web 应用防火墙)
│   ├─ Shield (DDoS 防护)
│   └─ FirewallManager (集中策略编排)
├─ 持续检测与响应
│   ├─ GuardDuty (威胁检测)
│   ├─ Inspector (漏洞扫描)
│   └─ SecurityHub (安全事件聚合)
└─ 合规证明与审计
    ├─ Artifact (官方合规报告下载)
    └─ AuditManager (自动化合规证据收集)
等.......

3. 服务详解：一句话定位 + 典型场景 + 避坑提示

服务	一句话定位	典型场景	避坑提示
IAM	AWS 权限体系的“根证书”	任何 AWS 资源访问都必须经过 IAM；最小权限原则落地	避免使用 root 账户做日常操作；定期审计 Access Analyzer 发现
Cognito	面向 App/Web 用户的身份认证 & 授权	移动端/前端免自建账号体系；社交登录、MFA、OAuth2 授权	记住区分 User Pool（身份源） vs Identity Pool（临时凭证）
DirectoryService	把本地 AD 搬到云上，或托管新 AD	企业已有 Windows 生态，无缝对接 AWS	小型场景直接用 Simple AD 省钱；大型用 AWS Managed Microsoft AD
SingleSignOn (IAM Identity Center)	多账户/多云单点登录	企业员工一键登录 AWS 控制台 & CLI，对接 Okta/AD	启用后，成员账号的 IAM 用户/组需迁移到 Identity Center
KMS	全托管密钥生命周期	S3、EBS、RDS、Lambda 等一键加密；自带审计	千万别把主密钥误删；对 CMK 设置自动轮换
CloudHSM	专属硬件 HSM	金融行业合规强隔离；自定义密钥算法	FIPS 140-2 Level 3 必备；成本高，可与 KMS via KMS custom key store 混合
SecretsManager	托管密码、API Key、连接串	Lambda 安全获取数据库密码；自动轮换 RDS 密码	用 IAM Condition 限制 Secrets 的读取来源
CertificateManager	一键申请、部署 SSL/TLS 证书	CloudFront、ALB、API Gateway HTTPS	支持免费公有证书；私有 PKI 需搭配 ACM PCA
WAF	Web 应用防火墙	OWASP Top10 防护；Bot 管理；GeoMatch	结合 Shield Advanced 可自动创建 WAF 规则
Shield	DDoS 防护	L3/4/7 层攻击；游戏、电商大促	Standard 免费；Advanced 7x24 DRT 支持，按量计费
FirewallManager	跨账户、跨区域集中 WAF / VPC 安全组策略	企业级统一防护基线；自动修正不合规资源	先配置好“安全策略管理员”角色，避免权限边界问题
GuardDuty	智能威胁检测	发现异常 API 调用、恶意 IP、加密货币挖矿	与 SecurityHub、EventBridge 自动化联动封禁
Inspector	漏洞管理与合规扫描	EC2、ECR 镜像、Lambda 代码包漏洞一键扫描	新版 Inspector 统一了 EC2 + ECR + Lambda，旧版已弃用
SecurityHub	安全事件“中央控制台”	聚合 GuardDuty/Inspector/Macie 等发现，一键查看安全评分	启用前标准化所有账户的 Security Finding 格式
Artifact	官方合规证明下载门户	招投标时出具 ISO/SOC/PCI 报告；客户审计	报告分 NDA 和公开两类，下载后注意保密级别
AuditManager	自动化合规证据收集	准备 SOC2、HIPAA、GXP 审计；持续合规	先梳理好 Control Mapping，避免证据重复收集

4. 参考架构：一条典型“电商大促”安全流

身份
- 员工通过 IAM Identity Center 登录多账户环境（最小权限）。
- 终端消费者使用 Cognito 用户池 + 社交登录 + MFA。
数据加密
- 交易订单写入 DynamoDB，表级别 KMS CMK 加密。
- 支付密钥写入 CloudHSM（PCI-DSS Level 1 要求）。
网络防护
- CloudFront + WAF 统一拦截 OWASP 攻击。
- Shield Advanced 自动弹性抵御 DDoS。
持续检测
- GuardDuty 发现异常 EC2 挖矿行为 → EventBridge 触发 Lambda 隔离实例。
- Inspector 每日凌晨扫描 ECR 镜像漏洞 → SecurityHub 生成工单。
合规审计
- AuditManager 每日收集证据，季度自动生成 SOC 2 Type II 报告包。
- 客户需要 PCI-DSS 报告，直接从 Artifact 下载加盖 AWS 官方数字水印的版本。

5. 常见 10 连问（FAQ）

IAM 权限边界 vs SCP 有啥区别？
IAM boundary 限制单个 IAM 实体；SCP 在组织级别限制整个 AWS 账户。
KMS 自带的自动轮换会中断业务吗？
不会，轮换仅改变密钥版本，旧密文可继续解密。
SecretsManager 与 Parameter Store 如何选？
需要自动轮换、跨账号共享、>4KB 大 Value → SecretsManager；简单配置 → Parameter Store。
WAF 规则数太多会不会影响性能？
AWS WAF 采用分布式检测，毫秒级延迟；但建议单 WebACL 规则 < 1000 条。
Shield Standard 和 Advanced 差多少钱？
Standard 免费；Advanced 按 CloudFront/ALB/ELB/EIP 数据量 $3,000/月起 + DRT 支持。
CloudHSM 能托管多少个 keys？
单集群 2~28 HSM，每个 HSM 最多 3,300 密钥。
AuditManager 报告可以导出到 PDF 吗？
可以，支持 PDF + CSV；还能直接上传到 S3 供客户门户下载。
Artifact 报告有效期多久？
SOC/ISO 报告一般 12 个月；PCI 报告 6~12 个月，需关注新版本发布。
DirectoryService 支持 AD Trust 吗？
Managed Microsoft AD 支持与本地 AD 建立单向/双向林信任。
SecurityHub 跨账户发现如何计费？
SecurityHub 按“安全检查结果”计费，每 1,000 条 $0.0015；开启大量扫描前先估算。