书籍摘要

核心定位

《AWS Security》是一本面向软件工程师、DevOps 工程师和安全工程师的 AWS 安全实践书。它不试图覆盖所有通用应用安全知识，而是专注于“运行在 AWS 上时，哪些安全责任属于你、AWS 提供了哪些原生工具、你该如何配置和运营这些工具”。全书以 shared responsibility model 为起点，逐步展开 IAM、account management、VPC、数据保护、日志审计、持续监控与事件响应。

内容主线

本书的主线是把 AWS 安全从零散服务清单整理成一套可执行的防护体系：先理解 AWS 负责 security of the cloud、用户负责 security in the cloud；再用 IAM、Organizations、VPC、安全组、WAF、Shield、KMS、CloudTrail、Config、CloudWatch、GuardDuty 等服务建立访问控制、网络隔离、数据保护、审计和检测响应能力。最后用一个真实应用场景串联前面的知识，帮助读者把原则落到架构与配置上。

章节内容

第一章 介绍 AWS security 的基本观念，包括 shared responsibility model、IAM 与 VPC 等 cloud-native security tools，以及云上开发速度和责任边界变化带来的安全挑战。

第二章~第四章 深入 identity and access management。第二章讲 IAM users、policies、resource policies、groups、roles 和 ABAC；第三章讨论多账号访问、cross-account roles、AWS Organizations，以及与 Active Directory、SAML、OpenID Connect 的集成；第四章聚焦 MFA、least privilege、credential rotation、IAM permission review 等访问治理实践。

第五章~第七章 转向网络与数据保护。第五章讲 VPC、subnets、route tables、security groups、network ACLs 和网络隔离；第六章扩展到 VPC endpoints、PrivateLink、AWS WAF、AWS Shield 与第三方防火墙；第七章覆盖 encryption at rest、secure transport、S3/CloudTrail/VPC Flow Logs、Amazon Macie 和数据分类。

第八章~第十章 进入安全运营。第八章讲 CloudTrail、AWS Config、CloudWatch Logs 和网络流量记录；第九章讲配置扫描、合规基准、主机漏洞扫描和日志威胁检测；第十章讨论安全事件追踪、playbooks、自动化响应和 remediation。

第十一章 用一个 sample application 做综合演练，进行 threat modeling，并围绕 strong authentication、access controls、data protection、WAF、Cognito 与 API Gateway 等主题展示端到端加固思路。

适用读者

适合已经在 AWS 上构建或运维应用、但希望系统补齐安全能力的工程师；也适合熟悉安全但刚进入 AWS 生态的人。它尤其适合需要理解 IAM 权限、网络隔离、日志审计和事件响应闭环的团队成员。若你尚未使用 AWS，或只想学习通用 Web 安全漏洞原理，这本书的针对性会显得过强。

总评

这本书的优势在于范围清晰：它不是泛泛而谈“云安全”，而是围绕 AWS 原生服务和实际责任边界展开，能帮助读者判断自己的账号、网络、数据和监控体系是否有明显短板。若你的工作与 AWS 应用交付、DevOps 或云上安全治理有关，本书值得投入时间；若你已经是资深 AWS 安全架构师，它更适合作为结构化复盘和查漏补缺材料。