View a markdown version of this page

中的数据保护AWS应用程序工作室 - AWS应用程序工作室

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

中的数据保护AWS应用程序工作室

责任AWS共担模式分适用于 AWS App Studio 中的数据保护。如本模型所述AWS,负责保护运行所有内容的全球基础架构AWS Cloud。您负责维护对托管在此基础结构上的内容的控制。您还负责您所使用的 AWS 服务 的安全配置和管理任务。有关数据隐私的更多信息,请参阅数据隐私常见问题解答AWS条款。 有关欧洲数据保护的信息,请参阅通用数据保护条例(GDPR)中心

出于数据保护目的,我们建议您保护AWS 账户凭证并使用AWS IAM Identity Center或 AWS Identity and Access Management (IAM) 设置个人用户。这样,每个用户只获得履行其工作职责所需的权限。还建议您通过以下方式保护数据:

  • 对每个账户使用多重身份验证(MFA)。

  • 用于 SSL/TLS 与AWS资源通信。我们要求使用 TLS 1.2,建议使用 TLS 1.3。

  • 使用设置 API 和用户活动日志AWS CloudTrail。有关使用 CloudTrail 跟踪捕获AWS活动的信息,请参阅《AWS CloudTrail用户指南》中的使用跟 CloudTrail 踪

  • 使用AWS加密解决方案以及其中的所有默认安全控件AWS 服务。

  • 使用高级托管安全服务(例如 Amazon Macie),它有助于发现和保护存储在 Amazon S3 中的敏感数据。

  • 如果您在AWS通过命令行界面或 API 进行访问时需要经过 FIPS 140-3 验证的加密模块,请使用 FIPS 端点。有关可用的 FIPS 端点的更多信息,请参阅《美国联邦信息处理标准(FIPS)第 140-3 版》https://aws.amazon.com/compliance/fips/

强烈建议您切勿将机密信息或敏感信息(如您客户的电子邮件地址)放入标签或自由格式文本字段(如名称字段)。这包括您AWS 服务使用控制台、API 或 SDK 与 AWS App Stu AWS dio 或其他人合作的情况。AWS CLI在用于名称的标签或自由格式文本字段中输入的任何数据都可能会用于计费或诊断日志。如果您向外部服务器提供 URL,强烈建议您不要在网址中包含凭证信息来验证对该服务器的请求。

数据加密

App Studio 通过加密静态和传输中的数据来安全地存储和传输数据。

静态加密

静态加密是指通过对存储数据进行加密来保护您的数据免受未经授权的访问。App Studio 默认使用AWS KMS密钥提供静态加密,您无需对静态数据加密进行任何其他配置。

App Studio 为您的应用程序安全存储以下数据:源代码、构建构件、元数据和权限信息。

使用使用AWS KMS客户托管密钥 (CMK) 加密的数据源时,App Studio 资源将继续使用AWS托管密钥进行加密,而加密数据源中的数据则由 CMK 加密。有关在 App Studio 应用程序中使用加密数据源的更多信息,请参阅将加密数据源与 CMK 配合使用

App Studio 使用亚马逊 CloudFront 向您的用户提供您的应用程序。 CloudFront 使用针对边缘接入点 (POP) 加密的固态硬盘,为区域边缘缓存 (REC) 使用加密的 EBS 卷。Functions 中的 CloudFront 功能代码和配置始终以加密格式存储在边缘站点 PoP 上的加密 SSD 上以及使用的 CloudFront其他存储位置。

传输中加密

传输中加密是指在通信终端节点之间移动数据时,保护您的数据免遭拦截。默认情况下,App Studio 为传输中的数据提供加密。客户与 App Studio 之间以及 App Studio 与其下游依赖项之间的所有通信都使用使用签名版本 4 签名流程签名的 TLS 连接进行保护。所有 App Studio 端点都使用SHA-256 由AWS Certificate Manager私有证书颁发机构管理的证书。

密钥管理

App Studio 不支持管理加密密钥。

Inter-network 交通隐私

在 App Studio 中创建实例时,您可以选择存储该实例的数据和资源的AWS区域。应用程序构建工件和元数据永远不会离开该AWS区域。

但是,请注意以下信息:

  • 由于 App Studio 使用亚马逊 CloudFront 为您的应用程序提供服务,并使用 Lambda @Edge 来管理应用程序的身份验证,因此可以从 CloudFront 边缘站点(可能位于不同的区域)访问有限的身份验证数据、授权数据和应用程序元数据。

  • AWSApp Studio 跨AWS区域传输数据,以便在服务中启用某些生成式 AI 功能。有关跨区域数据传输所启用的功能、跨区域移动的数据类型以及如何选择退出的更多信息,请参阅Cross-Region 数据传入AWS应用程序工作室