Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Perlindungan data di Rantai Pasokan AWS
Model tanggung jawab AWS bersama model
Untuk tujuan perlindungan data, kami menyarankan Anda melindungi Akun AWS kredensil dan mengatur pengguna individu dengan AWS IAM Identity Center atau AWS Identity and Access Management ()IAM. Dengan cara itu, setiap pengguna hanya diberi izin yang diperlukan untuk memenuhi tanggung jawab tugasnya. Kami juga menyarankan supaya Anda mengamankan data dengan cara-cara berikut:
-
Gunakan otentikasi multi-faktor (MFA) dengan setiap akun.
-
GunakanSSL/TLSuntuk berkomunikasi dengan AWS sumber daya. Kami membutuhkan TLS 1.2 dan merekomendasikan TLS 1.3.
-
Siapkan API dan pencatatan aktivitas pengguna dengan AWS CloudTrail. Untuk informasi tentang penggunaan CloudTrail jejak untuk menangkap AWS aktivitas, lihat Bekerja dengan CloudTrail jejak di AWS CloudTrail Panduan Pengguna.
-
Gunakan solusi AWS enkripsi, bersama dengan semua kontrol keamanan default di dalamnya Layanan AWS.
-
Gunakan layanan keamanan terkelola lanjut seperti Amazon Macie, yang membantu menemukan dan mengamankan data sensitif yang disimpan di Amazon S3.
-
Jika Anda memerlukan FIPS 140-3 modul kriptografi yang divalidasi saat mengakses AWS melalui antarmuka baris perintah atau, gunakan titik akhir. API FIPS Untuk informasi selengkapnya tentang FIPS titik akhir yang tersedia, lihat Federal Information Processing Standard (FIPS) 140-3
.
Kami sangat merekomendasikan agar Anda tidak pernah memasukkan informasi identifikasi yang sensitif, seperti nomor rekening pelanggan Anda, ke dalam tanda atau bidang isian bebas seperti bidang Nama. Ini termasuk ketika Anda bekerja dengan Rantai Pasokan AWS atau lainnya Layanan AWS menggunakan konsol,API, AWS CLI, atau AWS SDKs. Data apa pun yang Anda masukkan ke dalam tanda atau bidang isian bebas yang digunakan untuk nama dapat digunakan untuk log penagihan atau log diagnostik. Jika Anda memberikan URL ke server eksternal, kami sangat menyarankan agar Anda tidak menyertakan informasi kredensil dalam URL untuk memvalidasi permintaan Anda ke server tersebut.
Data ditangani oleh Rantai Pasokan AWS
Untuk membatasi data yang dapat diakses oleh pengguna resmi dari instans Rantai AWS Pasokan tertentu, data yang disimpan dalam Rantai AWS Pasokan dipisahkan oleh ID AWS akun Anda dan ID instans Rantai AWS Pasokan Anda.
AWS Supply Chain menangani berbagai data rantai pasokan seperti, informasi pengguna, informasi yang diekstrak dari konektor data, dan detail inventaris.
Preferensi memilih keluar
Kami dapat menggunakan dan menyimpan Konten Anda termasuk konten yang digunakan di Amazon Q Rantai Pasokan AWS yang diproses oleh Rantai Pasokan AWS, sebagaimana tercantum dalam Ketentuan AWS Layanan
Enkripsi diam
Data kontak yang diklasifikasikan sebagaiPII, atau data yang mewakili konten pelanggan termasuk konten yang digunakan di Amazon Q dalam Rantai Pasokan AWS disimpan oleh Rantai Pasokan AWS, dienkripsi saat istirahat (yaitu, sebelum dimasukkan, disimpan, atau disimpan ke disk) dengan kunci yang terbatas waktu dan spesifik untuk instance. Rantai Pasokan AWS
Enkripsi sisi server Amazon S3 digunakan untuk mengenkripsi semua data konsol dan aplikasi web dengan kunci AWS Key Management Service data yang unik untuk setiap akun pelanggan. Untuk informasi tentang AWS KMS keys, lihat Apa itu AWS Key Management Service? di Panduan AWS Key Management Service Pengembang.
catatan
Rantai Pasokan AWS fitur Perencanaan Pasokan dan Visibilitas N-Tier tidak mendukung enkripsi data-at-rest dengan yang disediakan -. KMS CMK
Enkripsi bergerak
Data termasuk konten yang digunakan di Amazon Q yang Rantai Pasokan AWS dipertukarkan dengan Rantai AWS Pasokan dilindungi saat transit antara browser web pengguna dan Rantai AWS Pasokan menggunakan enkripsi standar industriTLS.
Manajemen kunci
Rantai Pasokan AWS sebagian mendukung KMS -CMK.
Untuk informasi tentang memperbarui AWS KMS kunci Rantai Pasokan AWS, lihatMembuat sebuah instance.
Privasi lalu lintas antar jaringan
catatan
Rantai Pasokan AWS tidak mendukung PrivateLink.
Titik akhir virtual private cloud (VPC) untuk Rantai Pasokan AWS adalah entitas logis dalam a VPC yang memungkinkan konektivitas hanya untuk Rantai Pasokan AWS. VPCRute meminta Rantai Pasokan AWS dan merutekan tanggapan kembali keVPC. Untuk informasi selengkapnya, lihat VPCTitik Akhir di Panduan VPC Pengguna.
Bagaimana Rantai Pasokan AWS menggunakan hibah di AWS KMS
Rantai Pasokan AWS membutuhkan hibah untuk menggunakan kunci yang dikelola pelanggan Anda.
Rantai Pasokan AWS membuat beberapa hibah menggunakan AWS KMS kunci yang dilewatkan selama CreateInstanceoperasi. Rantai Pasokan AWS membuat hibah atas nama Anda dengan mengirimkan CreateGrantpermintaan ke AWS KMS. Hibah AWS KMS digunakan untuk memberikan Rantai Pasokan AWS akses ke AWS KMS kunci di akun pelanggan.
catatan
Rantai Pasokan AWS menggunakan mekanisme otorisasi itu sendiri. Setelah pengguna ditambahkan Rantai Pasokan AWS, Anda tidak dapat menolak daftar pengguna yang sama menggunakan AWS KMS kebijakan.
Rantai Pasokan AWS menggunakan hibah untuk hal-hal berikut:
Untuk mengirim GenerateDataKeypermintaan AWS KMS untuk mengenkripsi data yang disimpan dalam instance Anda.
Untuk mengirim permintaan Dekripsi ke AWS KMS agar dapat membaca data terenkripsi yang terkait dengan instance.
Untuk menambahkan DescribeKey, CreateGrant, dan RetireGrantizin agar data Anda tetap aman saat mengirimnya ke AWS layanan lain seperti Amazon Forecast.
Anda dapat mencabut akses ke hibah, atau menghapus akses layanan ke kunci yang dikelola pelanggan kapan saja. Jika Anda melakukannya, Rantai Pasokan AWS tidak akan dapat mengakses data apa pun yang dienkripsi oleh kunci yang dikelola pelanggan, yang memengaruhi operasi yang bergantung pada data tersebut.
Memantau enkripsi Anda untuk Rantai Pasokan AWS
Contoh berikut adalah AWS CloudTrail peristiwa untukEncrypt,GenerateDataKey, dan Decrypt untuk memantau KMS operasi yang dipanggil oleh Rantai Pasokan AWS untuk mengakses data yang dienkripsi oleh kunci yang dikelola pelanggan Anda:
