AWS 身份及驗(yàn)證服務(wù)（四）

IAM

概述

• 集中管理訪問AWS資源的訪問權(quán)限和用戶身份認(rèn)證
• 支持聯(lián)合訪問管理，支持LADP第三方服務(wù) （Identity Provider）
• 是非區(qū)域相關(guān)的服務(wù)，全局有效
• 創(chuàng)建用戶、組和角色以應(yīng)用策略
• 安全憑證類型包括： 電子郵件和密碼、IAM用戶名和密碼、訪問密匙、多重驗(yàn)證（MFA）、密匙對(duì)
• 密碼策略管理和KMS加密解密管理
• 建議始終使用創(chuàng)建和管理IAM賬戶來進(jìn)行操作
• IAM遵循最低特權(quán)原則，即所有權(quán)限被隱式拒絕，而顯式拒絕擁有最高優(yōu)先級(jí)
• IAM是權(quán)限與實(shí)體進(jìn)行匹配的正式語(yǔ)句
  • 策略可以應(yīng)用于任何實(shí)體，包括用戶、組和角色
  • 策略可以一對(duì)多也可以多對(duì)一

委托人

• 委托人是允許與AWS資源交互的IAM實(shí)體，可以是人或應(yīng)用程序，也可以是臨時(shí)或永久的。

• 有三種委托人身份：根用戶、IAM用戶(組)和角色

  • 根用戶
    • 第一次創(chuàng)建AWS時(shí)的登錄主體，可以完全訪問所有賬戶中的AWS資源與服務(wù)
    • 強(qiáng)烈建議不要將根賬戶用于任何的日常任務(wù)或是管理員
    • 必須安全的鎖定根用戶的用戶憑證
    • 根用戶也是Billing Account
    • 等同于Owner ，創(chuàng)建AWS賬戶的實(shí)體和Email地址
  • IAM用戶
    • 可以通過IAM服務(wù)創(chuàng)建持久性身份，可以是個(gè)人或應(yīng)用程序
    • IAM用戶可以隨時(shí)由IAM管理權(quán)限的主體創(chuàng)建
    • 需要提供與AWS交互的方法, 支持AWS控制臺(tái)用戶名密碼、CLI或者SDK等方式管理IAM用戶
    • 可以提供定制的URL用于IAM用戶訪問
    • 應(yīng)該使用最小權(quán)限原則管理IAM用戶
    • 最佳實(shí)踐：創(chuàng)建對(duì)根賬戶擁有管理特權(quán)的獨(dú)立IAM賬戶
  • IAM用戶組
    • 用戶的集合
    • 策略應(yīng)用于整組
    • 一個(gè)用戶可以屬于多個(gè)組
    • 沒有默認(rèn)組
    • 不能嵌套組

• 角色
  • 在特定時(shí)間段內(nèi)向特定角色授予特定權(quán)限
  • 這些角色通過AWS或第三方系統(tǒng)進(jìn)行身份驗(yàn)證
  • 通常會(huì)將某個(gè)用戶或組的權(quán)限關(guān)聯(lián)到角色，以簡(jiǎn)化管理防止配置錯(cuò)誤
  • 當(dāng)一個(gè)角色開始承擔(dān)任務(wù)時(shí)，AWS會(huì)提供AWS安全令牌（STS）的臨時(shí)安全令牌似的他可以使用授權(quán)的AWS服務(wù)（STS 有效時(shí)間為15分鐘-36小時(shí)）
  • IAM組無法使用角色
  • 每個(gè)賬戶只能創(chuàng)建最多1000個(gè)IAM角色
  • EC2應(yīng)用程序角色
    • 傳統(tǒng)授予應(yīng)用程序權(quán)限會(huì)非常麻煩，需要安全使用某種憑證，并且還需要考慮安全的存儲(chǔ)和訪問這些憑證，
      • 如一個(gè)應(yīng)用程序需要訪問S3時(shí)，需要該程序使用IAM用戶的密鑰，而密鑰又云需要存儲(chǔ)在一個(gè)安全的位置被應(yīng)用程序訪問，這樣會(huì)導(dǎo)致憑證輪換等存在很多問題，同時(shí)不利于敏捷開發(fā)。
      • 可以利用IAM 角色功能，當(dāng)該應(yīng)用程序的EC2啟動(dòng)時(shí)利用Config Profile分配該角色，程序利用API訪問S3時(shí)該角色會(huì)獲取一個(gè)臨時(shí)令牌，用AWS工具包將臨時(shí)令牌傳遞給API以允許訪問，這種方法不需要考慮任何密鑰管理和輪換。
    • 在實(shí)例運(yùn)行過程中可以隨時(shí)替換或分離角色
    • 每個(gè)EC2只能分配一個(gè)角色
    • 跨賬戶訪問(Cross Account )
      • 將訪問AWS資源授予其他AWS賬戶中的IAM用戶
      • 通常用于與公司關(guān)聯(lián)的第三方供應(yīng)商或客戶有限制的訪問公司資源
    • 臨時(shí)訪問管理 ( Federation)
      • 對(duì)聯(lián)合身份用戶提供臨時(shí)的訪問權(quán)限
      • 主要用于第三方服務(wù)，而組織又不希望為它提供組織內(nèi)長(zhǎng)期憑證（如API管理）

認(rèn)證

用戶名/密碼

• 人員登錄Console的設(shè)置，可以設(shè)置密碼策略執(zhí)行復(fù)雜性要求和過期
• 最大支持128個(gè)字符
• 建議設(shè)置密碼策略以確保使用強(qiáng)密碼且經(jīng)常更改
• IAM賬戶登錄還必須提供賬戶ID或別名（URL包含）

訪問密鑰

• 密鑰ID AKI（20字符）和訪問密鑰 SAK（40字符）的組合
• 通過API時(shí)使用密鑰對(duì)REST調(diào)用，且SAK必須簽署所有的API請(qǐng)求
• 簽名有助于保護(hù)消息完整性，防止在傳輸過程中被篡改，以及防止重播 attack
• 支持Signature v4， 使用SAK派生進(jìn)行簽名
• 訪問密鑰需要放在安全的地方而不是嵌入代碼中
• 每個(gè)IAM用戶最多同時(shí)擁有2個(gè)激活的密鑰
• 只在區(qū)域內(nèi)有效

• 密鑰對(duì)

  • 支持RSA 2048 SSH密鑰
  • 首次訪問時(shí)實(shí)例使用顯式的私鑰授予訪問權(quán)限，公鑰放入實(shí)例中，是登錄EC2的首選方式
  • 密鑰對(duì)還可用于CloudFront 為私人內(nèi)容創(chuàng)建簽名URL實(shí)現(xiàn)私有分發(fā)
  • 若密鑰對(duì)丟失，不能被重新生成，但是可以進(jìn)行替換
• 訪問密鑰+會(huì)話令牌 （STS）
  • 在服務(wù)被假定角色使用時(shí)，使用的臨時(shí)令牌用于驗(yàn)證訪問密鑰，包括臨時(shí)訪問密鑰對(duì)本身和一個(gè)會(huì)話令牌。
    • 訪問ID
    • 訪問密鑰
    • 安全令牌
    • 超時(shí)時(shí)間
• 不用為訪問創(chuàng)建專門的IAM賬號(hào)
• 臨時(shí)認(rèn)證無需進(jìn)行密鑰rotation
• 配置超時(shí) 15min -36hr ，默認(rèn)12小時(shí)

X.509

• 可用于簽署基于SOAP的請(qǐng)求
• AWS賬戶可以創(chuàng)建X.509, IAM必須使用第三方軟件才能創(chuàng)建X.509
• 可作為SSL/TLS服務(wù)器證書， 提交密鑰到CA進(jìn)行證書簽名請(qǐng)求CSR
• 利用X.509為EC2創(chuàng)建定制的Linux AMI

多因素認(rèn)證

• MFA是在密碼/密鑰之外為基礎(chǔ)架構(gòu)添加的額外安全層，通常需要從外部設(shè)備輸入一次性密碼OTP
• 支持硬件和軟件的MFA認(rèn)證
• 支持為API實(shí)施MFA認(rèn)證
• MFA可以分配個(gè)任何IAM用戶，尤其建議為根用戶啟用MFA
• 每個(gè)用戶只能與一個(gè)MFA綁定

聯(lián)合認(rèn)證 （Identity Federation）

• IAM身份供應(yīng)商IdP可以將IAM和外部身份聯(lián)合起來由外部進(jìn)行認(rèn)證， 并將權(quán)限分配給IAM外進(jìn)行認(rèn)證的用戶。
• IAM會(huì)返回與角色關(guān)聯(lián)的臨時(shí)令牌進(jìn)行工作，以便驗(yàn)證用與調(diào)用AWS API的身份
  • 公共IdP
    • 采用 OIDC （OpenID Connect）集成
    • 主要是授權(quán)給主要的網(wǎng)絡(luò)IdP認(rèn)證用戶，如Google，F(xiàn)acebook，Amazon等，稱為Web Federation
  • 企業(yè)內(nèi)部身份驗(yàn)證
    • 如企業(yè)自有的AD或LADP身份驗(yàn)證服務(wù)，支持SAML 2.0
• 注意： 默認(rèn)創(chuàng)建IAM用戶是不包含任何密碼和密鑰對(duì)，管理員需要手工指定

授權(quán)

• 指定委托人可以執(zhí)行和不能執(zhí)行操作的權(quán)限 ，通過策略定義。
• 策略是一個(gè)JSON文件，充分定義了一組權(quán)限的訪問和操作AWS資源
  • Version： 可選項(xiàng)，以日期為格式
  • Effect - 允許或拒絕
  • Resource - 適用于特定權(quán)限的AWS基礎(chǔ)架構(gòu)的資源、數(shù)據(jù)主體，利用ARN來唯一指定資源
    • Amazon 資源名稱 = Amazon Resource Name （ARN）
    • 一個(gè)AWS資源的唯一標(biāo)識(shí)，當(dāng)在全局環(huán)境中調(diào)用時(shí)指向唯一的一項(xiàng)資源
      • arn:<partition>:<service>:<region>:<account-id>:<resourcetype>:<resource>
      • 例如 arn:aws:rds:eu-west-1:1234567:db:mysql-db
  • Service - 適用的服務(wù)名稱
  • Action - 指定服務(wù)的操作子集
  • Condition - 可選項(xiàng)定義一個(gè)或者多個(gè)限制權(quán)限允許操作的附加條件。

• 將策略和委托人聯(lián)系
  • 用戶策略
    • 顯式聲明的策略
    • 策略僅僅存在于所聯(lián)系的用戶中
  • 托管策略
    • 預(yù)置的策略
    • 獨(dú)立于用戶而存在的，策略可以與許多用戶或用戶組關(guān)聯(lián)。
    • 建議使用預(yù)定義的托管策略保證在添加新功能時(shí)用戶依舊保持正確的訪問權(quán)限。
  • 最佳實(shí)踐： 組策略
    • 通過將托管策略關(guān)聯(lián)到一個(gè)用戶組可以大大簡(jiǎn)化對(duì)多用戶的策略管理。同樣也為用戶組策略和用戶組托管管理策略。
• 用戶權(quán)限
  • 無權(quán)限 - 新用戶創(chuàng)建時(shí)的默認(rèn)權(quán)限
  • 授權(quán)用戶權(quán)限 - 根據(jù)需求對(duì)用戶進(jìn)行授權(quán)
  • 特權(quán)（Power）權(quán)限 - 可以訪問所有AWS 服務(wù)，但是無法管理用戶和組
  • 管理員權(quán)限 - 根用戶權(quán)限

其他主要特點(diǎn)

密鑰輪換

• 任何憑證的安全風(fēng)險(xiǎn)都會(huì)隨著憑證使用時(shí)長(zhǎng)而增加，所以定期對(duì)密鑰進(jìn)行更換非常必要。
  • 創(chuàng)建新的訪問密鑰
  • 重新配置所有應(yīng)用程序使用新密鑰
  • 禁用老密鑰
  • 驗(yàn)證新密鑰的所有應(yīng)用程序操作
  • 刪除老密鑰

多權(quán)限問題

• 為了解決委托人在執(zhí)行某個(gè)操作時(shí)，可能適用于已經(jīng)配置的多個(gè)權(quán)限。
  • 請(qǐng)求默認(rèn)被拒絕
  • 當(dāng)所有政策中有明確的拒絕，則拒絕
  • 當(dāng)所有政策中有明確的允許而沒有明確的拒絕，則允許
  • 若沒有明確拒絕或允許，則保留默認(rèn)拒絕
  • 策略無法覆蓋角色所默認(rèn)拒絕的任何權(quán)限

AWS Directory Service

AD概念

• AD包含組織信息、用戶、組、計(jì)算機(jī)和其它資源

MS AD Service

• 將MS AD作為托管服務(wù)運(yùn)行
• 在Win2012R2上運(yùn)行
• AD是跨2個(gè)可用區(qū)部署的高可用域控制器
• 支持?jǐn)?shù)據(jù)復(fù)制和自動(dòng)每日快照
• 無需安裝軟件，AWS處理所有的bug和update
• 不能將現(xiàn)有AD遷移進(jìn)來，只能新建
• 適用于超過5000人的場(chǎng)景

AD Connector

• 可以使用AD Connector 連接現(xiàn)有本地AD
• 通過VPC VirtualPN或者Direct Connect 連接企業(yè)數(shù)據(jù)中心
• 使用現(xiàn)有憑證訪問AWS 應(yīng)用程序
• 基于RADIUS 現(xiàn)有 MFA解決方案集成
• 適用于混合云場(chǎng)景

Simple AD 服務(wù)

• 使用Samba 4服務(wù)器提供AD服務(wù)
• 支持常用AD功能，如用戶賬號(hào)和組身份
• 支持Linux 和 Windows EC2加入域
• 基于Kerberos的單一登錄（SSO）和組策略
• 也提供了每日快照和基于時(shí)間點(diǎn)恢復(fù)
• 提供日志和審計(jì)功能
• 不支持與MS AD建立信任關(guān)系，不支持MFA、DNS動(dòng)態(tài)更新、LDAP等高級(jí)功能
• 適用于不超過5000人的簡(jiǎn)單場(chǎng)景

AWS Security Token Service

概念

• 輕量級(jí)Web服務(wù)，獲取臨時(shí)、有限權(quán)限的憑證
• 身份代理認(rèn)證
  • 利用身份代理服務(wù)創(chuàng)建臨時(shí)憑證，用戶獲得一個(gè)臨時(shí)URL訪問AWS管理控制臺(tái)（單點(diǎn)登錄） ，支持
    • 跨AWS賬戶的IAM用戶組
    • 當(dāng)前賬戶中的IAM用戶
    • 第三方請(qǐng)求
• 身份代理主要用于：
  • 查詢STS
  • 確定Web請(qǐng)求的用戶
  • 使用AWS憑證向AWS進(jìn)行身份驗(yàn)證
  • 通過AWS STS API頒發(fā)臨時(shí)憑證
• STS 返回
  • STS返回臨時(shí)安全憑證給應(yīng)用程序，其中包括了：
    • AccessKeyId
    • SecretAccessKey
    • SessionToken和時(shí)限（1到36小時(shí)）

常見場(chǎng)景

• 基于SAML的SSO聯(lián)合認(rèn)證
  • STS支持SAML 2.0的開放標(biāo)準(zhǔn)更快更容易實(shí)現(xiàn)聯(lián)合，利用現(xiàn)有身份管理軟件管理AWS的訪問，無需編碼
  • 身份供應(yīng)商idP通過SAML2.0 使用HTTP-POST綁定啟動(dòng)Web SSO，通過新的URL簡(jiǎn)化SSO
  • 需要IAM創(chuàng)建SAML idP作為IAM信任策略的委托人
  • 步驟
    • 用戶在應(yīng)用程序內(nèi)輸入賬號(hào)密碼，應(yīng)用程序?qū)⑵浒l(fā)送給Identity Provider (Identity Broker)
    • Identity Provider (IdP)將用戶名和密碼發(fā)送到企業(yè)的LDAP目錄進(jìn)行驗(yàn)證
    • 驗(yàn)證成功后IdP發(fā)送一個(gè)SAML認(rèn)證響應(yīng)給應(yīng)用程序
    • 應(yīng)用程序使用AssumeRoleWithSAMLRequest API發(fā)送SMAL請(qǐng)求給STS
    • 應(yīng)用程序使用臨時(shí)憑證訪問S3存儲(chǔ)桶

• 基于Web的聯(lián)合身份認(rèn)證
  • 使用STS API AssumeRoleWIthWebIdentity
  • 支持Amazon、Google、Facebook的身份認(rèn)證

• 跨賬戶訪問
  • 跨賬號(hào)訪問權(quán)限（Cross Account Access），可以在AWS管理控制臺(tái)上輕松地進(jìn)行賬號(hào)（角色）的切換，讓用戶在不同的開發(fā)賬號(hào)（角色）、測(cè)試賬號(hào)（角色）、生產(chǎn)賬號(hào)（角色）中進(jìn)行快捷的切換。
  • 示例 ： 讓開發(fā)賬號(hào)擁有一定的訪問權(quán)限，讓其訪問生產(chǎn)賬號(hào)中的S3資源。
    • 生產(chǎn)賬號(hào)中的管理員需要在IAM中創(chuàng)建一個(gè)新的角色UpdateAPP，在角色中定義了策略（Policy），策略具體定義了允許特定的AWS賬號(hào)ID訪問名為productionapp的S3存儲(chǔ)桶
    • 在開發(fā)賬戶中，管理員向開發(fā)人員組的成員授權(quán)切換角色的權(quán)限。向開發(fā)人員組授予針對(duì)UpdateApp角色調(diào)用AWS Security Token Service (AWS STS) AssumeRole API 的權(quán)限。
    • 用戶請(qǐng)求切換角色
    • 可以在AWS控制臺(tái)使用Switch Role的按鈕切換到生產(chǎn)賬號(hào)
    • 或者使用AWS API/CLI，使用AssumeRole函數(shù)獲取UpdateAPP角色的憑證
    • AWS STS返回臨時(shí)憑證
    • 臨時(shí)憑證允許訪問AWS資源，這樣切換后的角色就可以訪問productionapp的存儲(chǔ)桶里的內(nèi)容了。

AWS KMS （Key Management Service）

概述

• 托管型加密服務(wù)
• 采用雙層密鑰結(jié)構(gòu)，通過主密鑰對(duì)不同的數(shù)據(jù)密鑰進(jìn)行加密，數(shù)據(jù)密鑰對(duì)應(yīng)用程序進(jìn)行加密
• 數(shù)據(jù)密鑰是唯一的， 主密鑰不能脫離KMS系統(tǒng)
• 僅支持對(duì)稱加密。

CMK

• KMS使用客戶主密鑰（CMK）來加密和解密數(shù)據(jù)。CMK可以是客戶托管的密鑰也可以使AWS托管的密鑰
• CMK不能以未加密的狀態(tài)脫離AWS KMS，但是數(shù)據(jù)密鑰可以。
• 默認(rèn)情況下，啟用KMS集成后，每個(gè)賬戶都會(huì)生成一個(gè)AWS托管的默認(rèn)密鑰，如果沒有特別指定CMK，這個(gè)默認(rèn)密鑰就會(huì)作為CMK對(duì)資源進(jìn)行加密。
• CMK密鑰長(zhǎng)度為256位，數(shù)據(jù)密鑰為128位或256位
• CMK的創(chuàng)建需要有相應(yīng)的權(quán)限，并定義IAM中哪些用戶和角色可以管理和使用密鑰，也可以允許其他AWS賬戶使用該密鑰。
• CMK支持對(duì)最大4KB數(shù)據(jù)的加密和解密
• AWS可以選擇自動(dòng)進(jìn)行每年的CMK輪換
• CMK刪除可以設(shè)置7-30天的等待期，以確保沒有任何影響
• 每個(gè)區(qū)域的每個(gè)賬戶最多可以創(chuàng)建1000個(gè)CMK

• 信封加密

  • CMK加密數(shù)據(jù)密鑰加密后，會(huì)返回明文和加密版本
  • 明文版本用于對(duì)數(shù)據(jù)加密，完成后應(yīng)立即從內(nèi)存中刪除
  • 加密版本可與加密數(shù)據(jù)一起存放
  • 加密上下文
    • 所有加密操作都支持附加上下文信息的可選Key/value對(duì)
    • 加密和解密操作必須先確定上下文相同，否則無法解密
    • 上下文可用細(xì)粒度授權(quán)和額外審計(jì)

安全實(shí)踐

• 為密鑰創(chuàng)建唯一的別名和描述
• 定義哪些IAM用戶和角色可以管理密鑰
• 選擇讓KMS每年輪換密鑰
• 臨時(shí)禁用和啟用密鑰
• 檢查和審核CloudTrail日志中密鑰的使用情況
• KMS只能在生成的區(qū)域使用，無法傳輸?shù)搅硪粎^(qū)域

KMS+HSA

• AWS KMS提供簡(jiǎn)單的Web接口RESTful API，用戶訪問彈性、多租戶的強(qiáng)化安全設(shè)備（HSA）
• 使用CMK構(gòu)建基于HSA的加密上下文，僅可在HSA上訪問，用于常駐HSA的加密操作
• KMS是一項(xiàng)分級(jí)服務(wù)，由面向Web的KMS主機(jī)和一個(gè)HSA梯隊(duì)組成
• 客戶對(duì)KMS所有請(qǐng)求通過SSL發(fā)出，在KMS主機(jī)上中止
• KMS主機(jī)使用協(xié)議和程序通過HSA完成相關(guān)的加密解密操作。

KMS加密EBS卷

AWS CloudHSM

• 在AWS云中部署專用的硬件安全模塊，使用SafeNet Inc 的 Luna SA7000 HSM設(shè)備
• 提供防篡改的硬件模塊內(nèi)的安全密鑰加密和存儲(chǔ)，且不會(huì)將其暴露在設(shè)備的加密邊界外

• CloudHSM主要針對(duì)專用的VPC中，為單租戶提供HSM服務(wù)，支持對(duì)稱和非對(duì)稱加密

  • 使用 AWS CloudHSM 服務(wù)時(shí)，您需要?jiǎng)?chuàng)建 CloudHSM 集群。
  • 集群可以包含多個(gè) HSM 實(shí)例，這些實(shí)例分布在一個(gè)區(qū)域的多個(gè)可用區(qū)中。
  • 集群中的 HSM 實(shí)例會(huì)自動(dòng)同步并進(jìn)行負(fù)載均衡。
  • 您可獲得對(duì)集群中每個(gè) HSM 實(shí)例的專用單租戶訪問權(quán)限。
  • 每個(gè) HSM 實(shí)例在 Amazon Virtual Private Cloud (VPC) 中都顯示為網(wǎng)絡(luò)資源。向集群中添加 HSM 或?qū)⑵鋸闹袆h除只需調(diào)用 AWS CloudHSM API（或在命令行上使用 AWS CLI）即可完成。
  • 創(chuàng)建和初始化 CloudHSM 集群后，您可以在 EC2 實(shí)例上配置一個(gè)客戶端，以允許您的應(yīng)用程序通過經(jīng)過身份驗(yàn)證的安全網(wǎng)絡(luò)連接使用該集群。
  • Amazon 管理員可監(jiān)控 HSM 的運(yùn)行狀況，但無權(quán)配置、管理和使用它們。
  • 您的應(yīng)用程序?qū)?biāo)準(zhǔn)的加密 API 與應(yīng)用程序?qū)嵗习惭b的 HSM 客戶端軟件配合使用，以向 HSM 發(fā)送加密請(qǐng)求?？蛻舳塑浖删S護(hù)通向集群中所有 HSM 的安全通道，并在此通道上發(fā)送請(qǐng)求，而 HSM 執(zhí)行相關(guān)操作并通過該安全通道返回結(jié)果。然后，客戶端通過加密 API 將結(jié)果返回到應(yīng)用程序。
• 建議配置高可用的HSM服務(wù)

Amazon Cognito 服務(wù)

• Cognito為移動(dòng)和基于Web應(yīng)用的程序提供身份和同步服務(wù)
• 與公共的IdP合作，如Google、Facebook和Amazon
  • 利用SDK訪問IdP，并利用它進(jìn)行身份識(shí)別和授權(quán)
  • IdP認(rèn)證成功后會(huì)回傳一個(gè)OAuth或OpenID Connect給Cognito，Cognito會(huì)給用戶返回一個(gè)新的Cognito ID以及一組臨時(shí)AWS憑證
  • Cognito 作為代理，需要?jiǎng)?chuàng)建一個(gè)身份池，用于AWS賬戶中特定的用戶信息存儲(chǔ)，即角色和權(quán)限
  • Cognito會(huì)有限的創(chuàng)建新角色對(duì)AWS資源進(jìn)行訪問，而最終用戶實(shí)際只能訪問到Cognito Sync服務(wù)和Mobile Analytics服務(wù)
• Cognito利用客戶端SDK管理本地的SQLite存儲(chǔ)作為讀寫緩存，并異步同步到云端，
  • 用戶即使處于脫機(jī)狀態(tài)依舊可以繼續(xù)進(jìn)行數(shù)據(jù)交互，但數(shù)據(jù)可能過時(shí)
  • 但多賬戶同步時(shí)必須得到Cognito的驗(yàn)證
  • Cognito身份只會(huì)同步和存儲(chǔ)角色授權(quán)的自己的數(shù)據(jù)，且數(shù)據(jù)傳輸使用HTTPS加密

歡迎大家掃碼關(guān)注，獲取更多信息