我是如何将130多个小时的亚马逊云科技基础设施打包成可复用模板的

2026西湖龙井茶官网DTC发售：茶农直供，政府溯源防伪到农户家 

每个新项目的启动方式都如出一辙。

你注册一个亚马逊云科技（AWS）账户。你需要一个虚拟私有云（VPC）。三个可用区（AZ），公有和私有子网，网络地址转换（NAT）网关。然后你需要安全措施——云审计（CloudTrail）、威胁检测（GuardDuty）、身份与访问管理（IAM）加固。接着是持续集成/持续部署（CI/CD）流水线。然后是基础设施即代码工具（Terraform）模块。接着是用于本地开发的容器编排工具（Docker Compose）。最后是用于生产环境的网页服务器（Nginx）。

每次，你要么从上一个项目中复制粘贴（希望没出什么错），要么从头构建（深知这需要耗费多少时间）。

我对此感到厌倦。因此，我将那些我反复重建的基础设施模式打包成可复用的模板。涵盖 7 种产品的 75 多个文件。本文将深入解析每个模板背后的架构决策，并提供你可以立即使用的免费示例。

1. 无人真正遵循的安全检查清单

大多数亚马逊云科技（AWS）账户都使用默认设置。没有审计轨迹。没有多因素认证（MFA）强制要求。简单存储服务（S3）存储桶只需一次配置错误就会向公众开放。

虽然存在互联网安全中心（CIS）亚马逊云科技基础基准，但它是一份长达 300 页的 PDF 文档。没人会去读它。因此，我将其提炼为一份包含 50 个要点的检查清单，并编写了实现关键控制措施的云形成（CloudFormation）模板。

以下是完整的检查清单——免费，无陷阱：

亚马逊云科技（AWS）安全加固检查清单（50 个要点）

身份与访问管理

• [ ] 在根账户上启用多因素认证（MFA）
• [ ] 不要使用根账户执行日常任务
• [ ] 为所有具有控制台访问权限的身份与访问管理（IAM）用户启用多因素认证（MFA）
• [ ] 设置强密码策略（14 个以上字符、复杂度要求、定期轮换）
• [ ] 删除未使用的身份与访问管理（IAM）用户
• [ ] 删除未使用的身份与访问管理（IAM）凭证（访问密钥）
• [ ] 每 90 天轮换一次访问密钥
• [ ] 将策略附加到用户组，而不是直接附加到用户
• [ ] 应用程序使用身份与访问管理（IAM）角色，而非访问密钥
• [ ] 实施最小权限原则
• [ ] 使用亚马逊云科技单点登录（AWS SSO）进行多账户访问
• [ ] 审查身份与访问管理（IAM）策略中针对 * 资源的权限

日志记录与监控

• [ ] 在所有区域启用云审计（CloudTrail）
• [ ] 启用云审计（CloudTrail）日志文件验证
• [ ] 确保云审计（CloudTrail）日志已加密（使用密钥管理服务 KMS）
• [ ] 启用云审计（CloudTrail）日志投递至简单存储服务（S3）和云监控（CloudWatch）
• [ ] 在所有区域启用亚马逊云科技配置（AWS Config）
• [ ] 为所有虚拟私有云（VPC）启用流日志（VPC Flow Logs）
• [ ] 启用威胁检测（GuardDuty）
• [ ] 启用安全中心（Security Hub）
• [ ] 为以下情况设置云监控（CloudWatch）警报：根账户使用、未经授权的 API 调用、控制台登录失败
• [ ] 为关键存储桶启用简单存储服务（S3）访问日志
• [ ] 配置简单通知服务（SNS）警报以接收安全发现结果

网络

• [ ] 没有任何安全组允许 0.0.0.0/0 访问端口 22（SSH）
• [ ] 没有任何安全组允许 0.0.0.0/0 访问端口 3389（RDP）
• [ ] 默认安全组限制所有流量
• [ ] 数据库和应用服务器使用私有子网
• [ ] 使用虚拟私有云（VPC）端点访问亚马逊云科技（AWS）服务（简单存储服务 S3、动态数据库 DynamoDB、弹性容器注册表 ECR）
• [ ] 启用域名系统（DNS）查询日志
• [ ] 使用网络访问控制列表（Network ACLs）作为第二道防御层
• [ ] 私有子网中的弹性计算云（EC2）实例不分配公有 IP 地址

数据保护

• [ ] 在账户级别启用简单存储服务（S3）阻止公共访问
• [ ] 在所有存储桶上启用简单存储服务（S3）默认加密
• [ ] 在关键存储桶上启用简单存储服务（S3）版本控制
• [ ] 启用关系型数据库服务（RDS）静态加密
• [ ] 启用关系型数据库服务（RDS）自动备份
• [ ] 默认启用弹性块存储（EBS）加密
• [ ] 对敏感数据使用密钥管理服务（KMS）客户主密钥（CMK）（而非默认密钥）
• [ ] 为传输中的数据启用安全套接层/传输层安全（SSL/TLS）协议
• [ ] 强制执行要求使用安全套接层/传输层安全（SSL）的简单存储服务（S3）存储桶策略

计算

• [ ] 在所有弹性计算云（EC2）实例上使用实例元数据服务版本 2（IMDSv2）（需要 HTTP 令牌）
• [ ] 保持亚马逊机器镜像（AMI）补

  免责声明：本文内容来自互联网，该文观点不代表本站观点。本站仅提供信息存储空间服务，不拥有所有权，不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容，请到页面底部单击反馈，一经查实，本站将立刻删除。