问:一个运行在ALB后面的应用程序,如果需要启用其定制域名和传输中加密,怎么做?
答:域名要想到Route53,加密要想到SSL。因此这个做法是使用Route53对ALB创建一个Alias record,然后绑定SSL证书,SSL证书可以通过ACM获得。
问:公司如何保证S3中存放的用户数据没有PII(Personally Identifiable Information)?
答:通过Amazon Macie 来扫描S3 bucket。
问:由于Compliance的原因要求所有S3 buckets必须加密,如何保证?
答:用AWS Config来检查桶的状态,并且使用auto remediation来启用加密(如果没有启用的话)。
问:要求EC2实例必须每7天检查一次(benchmark)
答:需要安装AWS Inspector agent并且配置host assessment every 7 days。
问:如何保证在ALB后/EC2上的应用程序免收Web Exploits的攻击?
答:使用WAF。
问:如果block指定地区对应用的访问?
答:使用WAF(geographic match)。
