毫无疑问，Amazon Web Services已经成为一套极为强大且安全的云服务平台，可用于交付各类软件应用。AWS亦提供一套具备可扩展性、可靠性且拥有广泛、灵活服务选项的结构体系，足以满足大家的独特发展需求。然而，面对云环境的全面来临，我们往往在安全保障方面感到有些无力。下面，我们将探讨三种能够切实实现这项目标的三种方式，希望能够为大家提供具备可操作性的起点。

CloudTrail

CloudTrail能够为我们的账户收集与API调用相关的各类信息(例如调用程序、时间、调用IP地址以及与API调用相关的请求与响应信息)，并将其存储在S3存储桶内以待后续安全追踪、事故响应以及合规审计。顺带一提，CloudTrail默认对全部数据进行加密。Amazon基于提供一套CloudTrail免费层，允许大家面向各服务区查询最近七天内的各项事件。

以下示例为如何在Threat Stack中使用CloudTrail。我们将在生产环境内的Route53 DNS发生变更时弹出一条警告。尽管DNS变更也许属于计划内操作，但CloudTrail仍会捕捉相关数据，并由Threat Stack向我们快速发出提醒。

　　EBS加密

EBS全称为Elastic Block Store，即弹性块存储服务，用于为EC2实例存储高耐久性数据。大家可以将其视为附加至EC2实例的磁盘驱动器。EBS与S3的不同之处在于，前者只能配合EC2使用。使用EBS加密机制的最大优势是，大家能够随时启用且不会造成任何性能影响。另外，其启用方式非常简单——只需要点选一个复选框即可。如果有人访问到您此前使用过的分卷，加密机制的存在将使其无法查看其中的任何实际数据。

　　配合STS启用IAM

IAM意为身份与访问管理，而STS则为Amazon的安全令牌服务。STS的基本作用在于允许大家为用户请求临时性且权限受限的IAM凭证。尽管这项功能的设置难度较前两者更高，但其效果绝对物有所值。利用STS，大家可以通过双因素验证机制保护用户的访问密钥与秘密ID。相较于为用户提供具备长期权限的访问密钥，如今用户将通过Amazon IAM API提交自己的密钥与双因素设备信息，从而完成验证。接下来，IAM API会在未来一小时内为用户提供一组密钥，到期后密钥会自动无效化。IAM亦支持有效周期更短的密钥; 最短时间为15分钟，而最长(且默认)有效期为1小时。尽管这并不足以解决一切访问密钥丢失问题，但它仍能够显著提升大家控制访问密钥泄露的能力，同时确保特定时限内访问操作受到双因素设备的配合。

　　总结

在考虑向AWS账户中添加安全性因素时，此类因素的繁杂性往往令大家感到不知所措。希望今天文章中提及的例子能够帮助大家降低相关复杂性水平，从而更为轻松地实现AWS云环境安全性提升。

原文标题： 3 Things You Can Do to Improve Your AWS Security Posture，作者： Pete Cheslock