安全 / 访问控制 / 合规 / 运维与可靠性

IAM 与资源策略

• SigV4 请求签名
• 域/集合资源策略（细化到路径）

用户身份提供

• Cognito / SAML / OIDC / IAM Identity Center
• 单点登录（Dashboards）

细粒度访问控制（FGAC）

• 索引级 / 字段级 / 文档级
• 审计：索引/查询事件

网络隔离

• VPC、子网、Security Groups、NACL
• 私有访问 / VPC 端点 / 公网受控

加密

• 静态：KMS（域/集合）
• 传输：TLS 1.2+、节点间加密

审计与日志

• 审计日志 -> CloudWatch Logs
• API 调用 -> CloudTrail

高可用与弹性

• 多可用区（分片/副本）
• 自动故障转移 / 蓝绿部署
• ISM 生命周期（热→温→冷）

监控与告警

• CloudWatch 指标/日志/报警
• Dashboards 可视化 / Observability

备份与恢复

• 自动/手动快照 -> S3
• 跨区域恢复

优化与资源

• Auto-Tune（集群参数调优）
• 节点/OCU 自动扩缩（Serverless）