岗位描述
技能要求
1、AWS 权限与身份安全(必须)
熟悉 IAM 最小权限原则,能设计合理的 Policy/Role 体系
熟悉 IRSA(IAM Roles for Service Accounts),理解 OIDC 与 Pod 级别权限绑定
熟悉跨账号角色假设(Cross-Account Role Assume)
了解 AWS Organizations SCP 策略
熟悉 IAM Access Analyzer、CloudTrail 审计
2、密钥与配置安全(必须)
熟悉 AWS Secrets Manager 的密钥管理与轮换策略
了解 External Secrets Operator,能实现 K8s 与 Secrets Manager 的对接
熟悉 KMS 加密,理解 Envelope Encryption
禁止硬编码密钥,能推动密钥集中管理规范落地
3、网络安全(必须)
熟悉 VPC 安全组、NACL 的设计与最小化开放原则
了解 VPC Flow Logs 分析异常流量
熟悉 WAF 规则配置(AWS WAF 或 Cloudflare WAF)
了解 DDoS 防护(AWS Shield、Cloudflare)
熟悉 PrivateLink、VPC Endpoint 减少公网暴露面
4、容器安全(必须)
熟悉 K8s RBAC 权限体系,能设计最小权限 ServiceAccount
了解 Pod Security Standards / PodSecurityPolicy
了解镜像漏洞扫描(Trivy、ECR Image Scanning)
熟悉 Network Policy 限制 Pod 间通信
5、告警与事件响应(必须)
熟悉 PagerDuty 配置,能设计合理的 On-Call 轮值与告警升级策略
熟悉 Prometheus AlertManager 与 PagerDuty 集成
了解事件响应流程(Incident Response),能输出 RCA 报告
了解 AWS GuardDuty、Security Hub 安全事件聚合