# 将数据与您自己的操作员隔离
<a name="isolate-data-operators"></a>

AWS Nitro System 有[零操作员访问权限](https://docs.aws.amazon.com/whitepapers/latest/security-design-of-aws-nitro-system/no-aws-operator-access.html)。任何 AWS 系统或人员都无法登录 Amazon EC2 Nitro 主机、访问 EC2 实例的内存，或访问存储在本地加密实例存储或远程加密 Amazon EBS 卷上的任何客户数据。

处理高度敏感数据时，您可以考虑限制对这些数据的访问，甚至阻止自己的操作员访问 EC2 实例。

您可以创建自定义可证明的 AMI，并将其配置为提供隔离的计算环境。AMI 配置取决于您的工作负载和应用程序要求。在构建 AMI 以创建隔离计算环境时，请考虑以下最佳实践。
+ **移除所有交互式访问权限**，以阻止您的操作员或用户访问该实例。
+ **确保 AMI 中仅包含可信软件和代码**。
+ 在实例内**配置网络防火墙**以阻止访问。
+ **确保所有存储和文件系统为只读和不可变状态**。
+ 将**实例访问限制**为经过身份验证、已授权和已记录的 API 调用。

# 更新没有交互访问权限的可证明的 AMI
<a name="working-with-isolated-amis"></a>

使用隔离计算环境 AMI 启动实例后，任何用户或操作员都无法连接到该实例。这意味着启动后无法在该实例上安装或更新任何软件。

如果需要新软件或软件更新，则必须创建一个新的可证明的 AMI，其中包含所需软件或软件更新。然后，使用该 AMI 启动新实例，或在原始实例上执行根卷替换。对 AMI 所做的任何软件更改都将导致生成新的哈希值。

以下操作将导致 NitroTPM 认证文档中的参考测量值发生变化：
+ 停止和启动使用可证明的 AMI 启动的实例
+ 使用其他 AMI 执行根卷替换

如果您执行上述任何操作，则必须使用新的参考测量值更新您的认证服务。例如，如果您使用 AWS KMS 进行认证，则必须将 KMS 密钥策略更新为新的参考测量值。

实例在整个实例生命周期中都会保留其 NitroTPM 密钥材料，并在停止/启动和根卷替换操作中保持不变。