Organizations für Multi-Account-Umgebungen

AWS Organizations及其组织策略用于集中安全地管理多个AWS账户。如果不想让云环境落入攻击者之手，必须了解并避免较少见的入侵向量。

Risiken begrenzen durch Delegieren

仅保护单个账户的云管理员常常忽略了通过AWS Organizations进行集中管理带来的机会。

Angriffsflächen weiter einschränken

危险常常潜伏在管理员经常忽视的地方。他们轻率地使用不可信的VM镜像，或者通过普通计算机而非安全的管理工作站来管理云环境。

Phishing und ein sicherer Arbeitsplatz

通过普通工作计算机而非特权访问工作站（PAW）来不安全地管理云环境是不良实践。

Externe Identitätsanbieter und Customer IAM

外部身份提供商和客户IAM的相关考虑。

Fragen der Netzwerksicherheit

网络安全相关问题。

Einbruchserkennung mit cloudspezifischen Tools

预防为检测创造了空间：内置的入侵检测服务GuardDuty和欺骗技术（Deception）——即设置蜜罐，有助于检测威胁。

Täuschung ist die beste Verteidigung

积极使用GuardDuty等工具追捕攻击者，并特意设置蜜罐作为绊网，能更可靠、更快速地发现正在进行的攻击。

Maturität und Methodologien

成熟度和方法论。

Fazit

仅保护云中明显的入侵点（如配置错误的S3存储桶或丢失的API密钥）会让一些后门保持开放。本文展示了防御者如何超越基础层面来强化其AWS环境。