Samboujunior/aws-security-labs

# AWS 安全实验室 我构建了这些实验室作为 AWS 安全培训的一部分。每一个都在真实的 AWS 环境中完成——这些是我在操作过程中的笔记、截图和配置。 ## 实验室 ### 实验 1 — IAM 角色与 S3 存储桶访问控制](./lab1-iam-s3-access-control/README.md 在这个实验中，我探索了 AWS IAM 如何控制对 S3 的访问。我测试了当用户没有 S3 权限时会发生什么，然后切换到具有授予访问权限的存储桶策略的 IAM 角色——成功了。这是观察基于身份的策略和基于资源的策略之间差异的好方法。 **服务：** IAM · Amazon S3 · EC2 **核心主题：** 基于身份与基于资源的策略 · IAM 角色代入 · 显式允许/拒绝 · 最小权限 ### 实验 2 — 使用安全组保护 VPC 资源](./lab2-securing-vpc-resources/README.md 在这个实验中，我在 VPC 内部设置了网络安全。我从一个完全开放的安全组开始，逐步将其锁定——首先使用 Network ACL，然后限制为特定 IP，接着使用安全组引用。我还尝试了两种进入私有 EC2 实例的方法：Bastion Host SSH 方法和 AWS Session Manager。 **服务：** VPC · EC2 · Security Groups · Network ACLs · Systems Manager · NAT Gateway **核心主题：** 有状态与无状态防火墙 · SG 引用 · Bastion host 模式 · Session Manager · 私有子网路由 ### 实验 3 — 使用 AWS KMS 加密静态数据](./lab3-encrypting-data-at-rest-kms/README.md 在这个实验中，我创建了自己的 KMS 密钥，并用它加密了一个 S3 对象。我确认公共 URL 会被阻止，然后使用预签名 URL 临时访问它。我还禁用了 KMS 密钥以查看会发生什么——EC2 实例无法启动，直到我重新启用它。那部分真正展示了 AWS 服务对 KMS 密钥的依赖程度。 **服务：** AWS KMS · Amazon S3 · EC2 · IAM **核心主题：** SSE-KMS · 客户管理的密钥 · 预签名 URL · S3 Bucket Keys · 密钥禁用的影响 ## 仓库结构 ``` aws-security-labs/ ├── README.md ├── lab1-iam-s3-access-control/ │ ├── README.md │ └── screenshots/ ├── lab2-securing-vpc-resources/ │ ├── README.md │ └── screenshots/ └── lab3-encrypting-data-at-rest-kms/ ├── README.md └── screenshots/ ``` ## 展示的技能 - 配置和排查 IAM 策略、角色和组权限 - 设计具有公有子网和私有子网的安全 VPC 架构 - 使用安全组和 Network ACL 应用纵深防御 - 使用 AWS KMS 管理加密密钥并将 SSE-KMS 应用于 S3 - 使用 AWS Session Manager 作为 SSH 的安全、无密钥替代方案 - 阅读和解释 AWS 访问被拒绝错误和 IAM 策略评估逻辑

标签：AWS KMS, AWS安全, CISA项目, DevSecOps, EC2, IaC, IAM访问控制, JSONLines, PE 加载器, S3存储桶策略, Session Manager, VPC网络安全, 上游代理, 云安全培训, 云计算, 基于身份的策略, 堡垒机, 安全实验, 安全组, 手把手实验, 数据加密, 最小权限原则, 网络ACL, 网络安全, 规则引擎, 资源策略, 身份与访问管理, 边界防护, 隐私保护, 零信任, 预签名URL