如何关闭 AWS root 账号的 MFA 认证

2025-06-20

半小时学会 Amazon Transit Gateway 跨 VPC 网络互联配置

Amazon Transit Gateway (TGW) 是一个强大的网络连接服务，用于在不同的 VPC（虚拟私有云）之间实现高效互联。本文将指导您如何创建和配置 TGW，以便实现跨账户和跨区域的 VPC 互联。 VPC Peering 的局限性点对点连接：VPC Peering 是一个点对点的连接，每次只能连接两个 VPC。如果需要连接多个 VPC，需要为每对 VPC 单独设置 Peering 连接，也就是我们常说的不能进行路由的传递，需要打通的 VPC 很多的时候会非常的麻烦。 手动路由配置：每个 VPC Peering 连接都需要手动配置路由表，这在大规模环境下非常繁琐。 TGW 的优势集中式管理：TGW 作为一个中央枢纽，允许多个 VPC 和本地网络通过单个网关相互连接，简化了网络架构和管理。 自动路由传播：TGW 支持自动路由传播，简化了路由配置，减少了人为错误的风险。 跨账户和跨区域支持：TGW 支持跨多个亚马逊云科技账户和跨区域的连接，提供更大的灵活性和扩展性。 总结下来说，TGW 就是是一个中转网关，使用时候需要在需要打通的 VPC 内创建一个挂载点，TGW ...

2025-06-20

基于 AWS IAM Identity Center 的 SAML 配置，实现单点登录阿里云

在企业多云环境日益普及的今天，很多组织不仅使用 AWS（亚马逊云科技） 作为主要的计算与存储平台，同时也会使用 阿里云 来满足本地合规、地域性需求或价格优势。如何在多个云平台之间实现 统一身份认证，避免用户维护多个账号与密码，已经成为企业安全与运维中的核心问题。 AWS IAM Identity Center（身份中心，原 AWS SSO）作为 AWS 官方提供的集中式身份认证与访问管理服务，可以作为企业的 主身份提供商（IdP）。通过 SAML 2.0 协议，它能够将认证结果传递给其他云服务商（如阿里云），让用户在 AWS 完成一次身份验证后，直接进入阿里云控制台，而无需再次登录。这就是所谓的 跨云单点登录（Single Sign-On, SSO）。 本文将结合详细步骤与截图，完整演示如何配置 AWS IAM Identity Center 与阿里云 RAM 的 SAML 对接。 在 AWS IAM Identity Center 新建用户在正式配置 SAML 对接之前，我们需要先在 AWS IAM Identity Center 中创建用户。 登录 AWS 控制台，进入...

2023-12-08

Filebeat 输出日志到 Opensearch

原文链接，当时一起折腾的，抄个作业。 https://liarlee.site/2023/12/08/Other/Opensearch_Filebeat%20%E8%BE%93%E5%87%BA%E6%97%A5%E5%BF%97%E5%88%B0%20Opensearch/?highlight=opensearch 这个最后基本上可以确认是一个兼容性问题，测试完成发现， 开启兼容模式的 Opensearch+filebeat 的组合， filebeat 还是会不定期重启。 背景需求是，使用 ES + filebeat 模式在收集日志。使用 Supervisor 作为容器的主进程管理工具，启动后分别运行 应用（这里用 nginx 代替） + filebeat 现在想要用 ECS Fargate， 然后依旧还是这个模式， 尽可能新的变动之前的架构， ES 替换成 OpenSearch。 按照这个路数测试。 创建 Opensearch版本：OpenSearch 2.11 (latest)OpenSearch_2_11_R20231113-P1 (latest)Availabil...

2026-04-02

让 OpenSearch 支持单点登录：从密码登录到 OpenID Connect

之前我们用 Helm 在 Kubernetes 上部署了 OpenSearch 集群，使用默认的数据库密码进行登录。今天来介绍如何接入 Amazon Cognito 作为 OpenID Connect（OIDC）身份提供商，让Dashboard 实现企业级 SSO 单点登录，同时让 OpenSearch API 也支持 JWT Token 认证。 OpenID Connect 的提供商我选择了 Amazon 的 Cognito，然后对应的Dashboards（前端跳转）和 OpenSearch Security（后端验证）都要单独来做集成。 OIDC 是通用协议，Cognito 只是本文选的提供商，换 Keycloak、Okta、Auth0 都一样 第一步：创建 Cognito App Client在 Cognito 控制台创建一个 App Client,因为我做了端口映射，所以回调和注销的URL都是localhost： 勾选”生成客户端密钥”（Generate client secret） 认证流程勾选：授权码授权（Authorization code grant）、U...

2025-06-20

组队参加 Amazon Q Idea 1000，我们的作品上了 AWS 峰会

最近生成式 AI 的比赛很多，也报名了 AWS Idea1000 的比赛，作品登录上了 AWS 的峰会。 我们的产品名称是“拍立懂”，团队名称是 “凌晨三点的夜”。主要是拍照识别商品成分、品牌资质，分析价格合理性，为老年人提供购买决策建议；通过实时语音聊天交互，亲人语音陪伴老年人购物，满足空巢老人的情感空缺。 我们的项目团队汇聚了文化创意创业者、资深互联网产品经理、互联网技术博主与 AI 前端工程师等多元背景，形成从商业策略到产品落地的完整闭环。团队成员对创新技术和用户价值怀有共同的热情，彼此协作、优势互补，致力于在商业模式和技术实现上持续突破，为项目注入持久动力。 说人话版本: “拍立懂”首页：先定位、再拍照、还可语音，一站式搞定逛超市！进入小程序，系统会自动识别你所在的门店，保证每一次推荐都“本地有货”。 对准商品“拍一拍”，AI 秒识品牌与规格，为你生成成分/营养解析； 打开语音助手，直接问“这款油健康吗？”，即时语音作答； 想逛逛热卖？下拉切换「日用食品 / 零食饮料 / 时令食材」，AI 列出今日在售优质清单。拍照 + 语音 + 实...

2025-06-20

Amazon OpenSearch Service 现在支持 JSON Web Token（JWT）身份验证和授权

最近，Amazon OpenSearch 推出了一个新功能，支持 JWT 认证和授权。虽然这个功能在开源的 OpenSearch 中早已存在，但在托管的 Amazon OpenSearch 中的实现一直不够理想。 此前的授权方式控制台登录 内部数据库：使用基本的用户名和密码进行 HTTP 验证。如果切换到其他认证方式（如 IAM 或 SAML），此验证方式将被禁用。 IAM 主用户：实际上是通过 Cognito 进行验证。由于中国区没有用户池，设置为 IAM 作为主用户故无法使用。 SAML 单点登录：与 SAML 身份提供商（如 Azure AD、Auth0）集成。SAML 身份验证仅能在浏览器中访问 OpenSearch Dashboard，开启 SAML 后会禁用基本的 HTTP 验证。 编程方式对于 SDK 而言，可以通过在 HTTP 请求中携带用户名和密码，或使用 SignV4 携带 IAM 身份信息进行认证。 常见的解决方案包括： 控制台和 SDK 都使用内部数据库的主用户进行基本 HTTP 验证。 控制台使用内部数据库或 SAML 凭证登录 OpenSear...