AWS reInvent 2024：安全性、身份与合规总结

由 Marshall Jones 和 Apurva More 于 2025 年 1 月 13 日发布在公告、AWS reInvent、基础学习(100) 和安全性、身份与合规永久链接评论分享

AWS reInvent 2024 在拉斯维加斯于 12 月 26 日举行，吸引了超过 54000 名与会者参加超过 2300 场会议和实操实验室。这场会议是 AWS 为全球云计算社区主办的创新和学习中心。

在这篇博客中，我们将回顾随选会议以及在会议前后公布的主要安全性、身份与合规的公告。无论你是错过了这个活动还是想重温重点，我们都为你整理了关于 AWS 安全性、身份与合规的最新发展的关键资讯。今年的活动将零信任最佳实践、生成式 AI 驱动的安全、身份和访问管理、DevSecOps、网络和基础设施安全、数据保护及威胁检测与事件响应放在前沿。

重要公告

在身份和访问管理方面，我们推出了多项新功能，以帮助你在 AWS 组织中扩展权限管理。

功能描述资源控制政策 (RCPs)RCP 是一种新型组织政策，可用于中心化创建和执行 AWS 资源的预防控制。借助 RCPs，你可以在扩展 AWS 工作负载的同时，中心化设定 AWS 资源的最大可用权限。中心管理根访问机构现在可以中心化管理根凭据，简化凭据审计，并在使用 AWS 组织管理的 AWS 成员帐户上执行精确范围的特权操作。宣告性政策宣告性政策简化了执行耐久意图的方式，如设定你组织中 AWS 服务的基准配置。

Amazon Cognito 宣布四项新功能：

功能描述功能层Amazon Cognito 推出了两个用户池功能层：Essentials 和 Plus。Essentials 层提供全面灵活的用户身份验证和访问控制功能，帮助你实现安全、可扩展和定制的注册和登录体验。Plus 层针对有较高安全需求的客户提供针对可疑登录的威胁保护能力。针对开发者的控制台Amazon Cognito 现在提供精简的入门体验，包括快速向导和特定用例的建议，帮助你更快速和有效地设置配置，并接触到最终用户。托管登录此功能提供完全托管的登录和注册体验，可以个性化以符合公司或应用程式品牌。托管登录帮助你轻松地设计和维护如无密码身份验证和本地化等定制实施的工作。无密码身份验证使用无密码身份验证，你可以通过密钥、电子邮件和短信来保护用户对应用程序的访问。如果用户选择使用密钥登录，他们可以使用内置身份验证器，如 Apple MacBook 上的 Touch ID 和 Windows PC 上的面部识别。

为了发现环境中的安全问题，Amazon GuardDuty 推出了扩展威胁检测，这是一项可帮助你识别针对你的 AWS 帐户、工作负载和数据的复杂多阶段威胁的新功能。你可以使用涵盖多种资源和数据来源的一系列新威胁检测结果，在更长的时间内进行分析，这样你就可以减少首次分析的时间，并更专注于响应关键行业的威胁，以最小化业务影响。

Amazon OpenSearch Service 现在提供与 Amazon Security Lake 的零 ETL 集成，使你能够直接通过 OpenSearch 服务查询和分析安全数据。这种集成使你能有效地探索以前成本过高的庞大数据源，帮助你精简安全调查并获得全面的安全概览。通过选择性摄取数据的灵活性且无需管理复杂的数据管道，你现在可以专注于有效的安全操作，并潜在地降低分析成本。

AWS 安全事件响应是一项新服务，帮助你应对环境中的安全问题。这项新服务结合了自动化监控和调查的力量，加速通信和协作，并提供全天候 24/7 访问 AWS 客户事件响应团队，帮助你迅速为安全事件做好准备、响应和恢复。

在零信任领域，AWS Verified Access 和 Amazon VPC Lattice 都推出了对非 HTTPS 资源的支持。Verified Access 使你能够通过如 TCP、SSH 和 RDP 等协议提供安全的无 VPN 访问你的企业应用程序。随著 Amazon VPC Lattice 的 VPC 资源的推出，你现在可以透过 VPC Lattice 服务网络访问你的应用程序依赖项。你能够使用额外的协议，包括 TLS、HTTP、HTTPS 和现在的 TCP，连接到托管于不同 VPC、帐户和本地的应用程序依赖项。观看随选会议，了解如何通过 AWS Verified Access 启用非 HTTP(S) 协议的零信任访问。

Amazon Route 53 Resolver DNS 防火墙新推出了高级防火墙规则，拥有一套新的功能，使你能够监控和阻止与进阶 DNS 威胁相关的可疑 DNS 流量。

AWS reInvent 2024：安全、身份与合规总结安全博客

Amazon 虚拟私人云推出了封锁公众访问，这是一个管理员可以中心化实现的单击声明控制，负责权威性地阻止每个 VPC 的互联网流量。

随著越来越多的客户将生成式 AI 工作负载部署到生产中，拥有适当的安全控制变得至关重要。Amazon Bedrock 推出了两个新功能来帮助满足这一需求：

功能描述自动推理检查自动推理检查有助于检测幻觉，并提供一个可验证的证明，证明大型语言模型的回应是准确的。通过自动推理检查，专家可以更简单地建立名为自动推理政策的规范，封装他们在操作工作流程和人力资源政策等领域的知识。Amazon Bedrock Guardrails 的用户可以将生成的内容与自动推理政策进行验证，以识别不准确性和未陈述的假设并解释为什么声明是准确的。多模态毒性检测预览Amazon Bedrock Guardrails 现在支持图像内容的多模态毒性检测，允许组织对图像应用内容过滤器。这一功能现在为公众预览，消除了构建自身保障的艰巨工作或花费精力进行容易出错且繁琐的人工评估。

AWS 一直在与合作伙伴密切合作，以推动客户成功。在 AWS reInvent 上推出了三个新的合作伙伴计划：

计划描述AI 安全类别AWS 安全能力中的 AI 安全类别帮助你识别在 AI 环境安全及抵御先进威胁方面具有丰富经验的 AWS 伙伴。此类别中的伙伴在防止敏感数据泄漏、防止注入威胁、安全姿态管理和实现负责任的 AI 过滤方面经过验证。AWS 安全事件响应特殊化如今，AWS 客户依赖各种第三方工具和服务来支持他们的内部安全事件响应能力。为了更好地帮助客户和合作伙伴，AWS 推出了 AWS 安全事件响应，这是一项帮助你为安全事件做好准备、响应和恢复的新服务。这一服务与经过授权的 AWS 合作伙伴一起，监控、调查并升级来自Amazon GuardDuty和其他威胁检测工具的安全发现。Amazon Security Lake Ready 特殊化此专业化认可已技术验证其软件解决方案与 Amazon Security Lake 集成并成功部署客户的 AWS 伙伴。这些解决方案已由 AWS 伙伴解决方案架构师进行技术验证，确保其有效架构和客户成功。

随选内容体验

如果你无法亲自参加或者想再次观看某个会议，可以查看可用的随选会议。观看 CEO 主题演讲了解 AWS 如何重新定义基础构建模组以及开发全新的体验，帮助 AWS 客户和合作伙伴获得所需，以建设更美好的未来。你还可以回顾其他 reInvent 2024 主题演讲。

观看安全创新谈话，听取 AWS 首席信息安全官 Chris Betz 的介绍，了解最新的 AWS 创新如何帮助客户快速行动并保持安全。了解 AWS 如何赋能组织自信地将安全融入其产品、服务和流程，以便安全团队能够集中时间在为业务带来最高价值的工作上。Chris 也分享了 AWS 如何通过扩展安全创新和投资安全社区来使互联网变得更加安全。

随时流式播放任何 AWS 安全、身份和合规的会议和新推出的讲话随选，学习以下关键主题等内容：

AWS 如何扩展主动防御建立坚韧有效的安全文化如何在 AWS 上维持和自动化合规性AWS 如何保障生成式 AI 的安全生成式 AI 在现实世界中的安全应用数字主权：克服复杂性并实现未来准备

考虑保存日期，参加更多现场安全学习机会，敬请期待 AWS reInforce 2025，该活动将于 2025 年 6 月 1618 日在宾夕法尼亚州费城举行。我们期待于那时见到你！

如果你想讨论这些新公告如何帮助你的组织改善其安全态势，AWS 随时为你提供帮助。联系你的 AWS 帐户团队。

如果你对这篇文章有意见，请在评论部分提交反馈。如果你有关于本文的问题，请在 AWS 安全、身份与合规 rePost 开启新的讨论或联系 AWS 支持。