毫無疑問，Amazon Web Services已經成為一套極為強大且安全的云服務平臺，可用于交付各類軟件應用。AWS亦提供一套具備可擴展性、可靠性且擁有廣泛、靈活服務選項的結構體系，足以滿足大家的獨特發展需求。然而，面對云環境的全面來臨，我們往往在安全保障方面感到有些無力。下面，我們將探討三種能夠切實實現這項目標的三種方式，希望能夠為大家提供具備可操作性的起點。

CloudTrail

CloudTrail能夠為我們的賬戶收集與API調用相關的各類信息(例如調用程序、時間、調用IP地址以及與API調用相關的請求與響應信息)，并將其存儲在S3存儲桶內以待后續安全追蹤、事故響應以及合規審計。順帶一提，CloudTrail默認對全部數據進行加密。Amazon基于提供一套CloudTrail免費層，允許大家面向各服務區查詢最近七天內的各項事件。

以下示例為如何在Threat Stack中使用CloudTrail。我們將在生產環境內的Route53 DNS發生變更時彈出一條警告。盡管DNS變更也許屬于計劃內操作，但CloudTrail仍會捕捉相關數據，并由Threat Stack向我們快速發出提醒。

EBS加密

EBS全稱為Elastic Block Store，即彈性塊存儲服務，用于為EC2實例存儲高耐久性數據。大家可以將其視為附加至EC2實例的磁盤驅動器。EBS與S3的不同之處在于，前者只能配合EC2使用。使用EBS加密機制的***優勢是，大家能夠隨時啟用且不會造成任何性能影響。另外，其啟用方式非常簡單——只需要點選一個復選框即可。如果有人訪問到您此前使用過的分卷，加密機制的存在將使其無法查看其中的任何實際數據。

配合STS啟用IAM

IAM意為身份與訪問管理，而STS則為Amazon的安全令牌服務。STS的基本作用在于允許大家為用戶請求臨時性且權限受限的IAM憑證。盡管這項功能的設置難度較前兩者更高，但其效果絕對物有所值。利用STS，大家可以通過雙因素驗證機制保護用戶的訪問密鑰與秘密ID。相較于為用戶提供具備長期權限的訪問密鑰，如今用戶將通過Amazon IAM API提交自己的密鑰與雙因素設備信息，從而完成驗證。接下來，IAM API會在未來一小時內為用戶提供一組密鑰，到期后密鑰會自動無效化。IAM亦支持有效周期更短的密鑰; 最短時間為15分鐘，而最長(且默認)有效期為1小時。盡管這并不足以解決一切訪問密鑰丟失問題，但它仍能夠顯著提升大家控制訪問密鑰泄露的能力，同時確保特定時限內訪問操作受到雙因素設備的配合。

總結

在考慮向AWS賬戶中添加安全性因素時，此類因素的繁雜性往往令大家感到不知所措。希望今天文章中提及的例子能夠幫助大家降低相關復雜性水平，從而更為輕松地實現AWS云環境安全性提升。