标签：KMS

1. 总体分层与目标目标：实现“最小权限、网络隔离、可审计、可恢复”的合规架构。先定义分层：管理层（IAM/RAM）、网络层（VPC/子网）、边界防护（SLB/WAF/Anti‑DDoS）、主机与数据库（加固与加密）、审计与监控（ActionTrail/LogService/CloudMonitor）、备份与演练。 2. 账号与权限设计（RA