本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# AWS App Studio 中的数据保护
<a name="data-protection"></a>

 AWS [分担责任模型](https://aws.amazon.com/compliance/shared-responsibility-model/)分适用于 AWS App Studio 中的数据保护。如本模型所述 AWS ，负责保护运行所有内容的全球基础架构 AWS 云。您负责维护对托管在此基础结构上的内容的控制。您还负责您所使用的 AWS 服务 的安全配置和管理任务。有关数据隐私的更多信息，请参阅[数据隐私常见问题](https://aws.amazon.com/compliance/data-privacy-faq/)。有关欧洲数据保护的信息，请参阅 *AWS Security Blog* 上的 [AWS Shared Responsibility Model and GDPR](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) 博客文章。

出于数据保护目的，我们建议您保护 AWS 账户 凭证并使用 AWS IAM Identity Center 或 AWS Identity and Access Management (IAM) 设置个人用户。这样，每个用户只获得履行其工作职责所需的权限。还建议您通过以下方式保护数据：
+ 对每个账户使用多重身份验证（MFA）。
+ 用于 SSL/TLS 与 AWS 资源通信。我们要求使用 TLS 1.2，建议使用 TLS 1.3。
+ 使用设置 API 和用户活动日志 AWS CloudTrail。有关使用 CloudTrail 跟踪捕获 AWS 活动的信息，请参阅《*AWS CloudTrail 用户指南》*中的[使用跟 CloudTrail 踪](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html)。
+ 使用 AWS 加密解决方案以及其中的所有默认安全控件 AWS 服务。
+ 使用高级托管安全服务（例如 Amazon Macie），它有助于发现和保护存储在 Amazon S3 中的敏感数据。
+ 如果您在 AWS 通过命令行界面或 API 进行访问时需要经过 FIPS 140-3 验证的加密模块，请使用 FIPS 端点。有关可用的 FIPS 端点的更多信息，请参阅《美国联邦信息处理标准（FIPS）第 140-3 版》[https://aws.amazon.com/compliance/fips/](https://aws.amazon.com/compliance/fips/)。

强烈建议您切勿将机密信息或敏感信息（如您客户的电子邮件地址）放入标签或自由格式文本字段（如**名称**字段）。这包括您 AWS 服务 使用控制台、API 或与 AWS App Studio 或其他人合作时 AWS SDKs。 AWS CLI在用于名称的标签或自由格式文本字段中输入的任何数据都可能会用于计费或诊断日志。如果您向外部服务器提供 URL，强烈建议您不要在网址中包含凭证信息来验证对该服务器的请求。



## 数据加密
<a name="data-encryption"></a>

App Studio 通过加密静态和传输中的数据来安全地存储和传输数据。

### 静态加密
<a name="encryption-rest"></a>

静态加密是指通过对存储数据进行加密来保护您的数据免受未经授权的访问。App Studio 默认使用 AWS KMS 密钥提供静态加密，您无需对静态数据加密进行任何其他配置。

App Studio 为您的应用程序安全存储以下数据：源代码、构建构件、元数据和权限信息。

使用使用 AWS KMS 客户托管密钥 (CMK) 加密的数据源时，App Studio 资源将继续使用 AWS 托管密钥进行加密，而加密数据源中的数据则由 CMK 加密。有关在 App Studio 应用程序中使用加密数据源的更多信息，请参阅[将加密数据源与 CMKs](encrypted-data-cmk.md)。

App Studio 使用亚马逊 CloudFront 向您的用户提供您的应用程序。 CloudFront 用于边缘接入点 (POPs)，使用 SSDs 加密的 EBS 卷用于区域边缘缓存 (RECs)。Functi CloudFront ons 中的功能代码和配置始终以加密格式存储 SSDs 在边缘位置 POPs和使用的其他存储位置 CloudFront。

## 传输中加密
<a name="encryption-transit"></a>

传输中加密是指在通信终端节点之间移动数据时，保护您的数据免遭拦截。默认情况下，App Studio 为传输中的数据提供加密。客户与 App Studio 之间以及 App Studio 与其下游依赖项之间的所有通信都使用使用签名版本 4 签名流程签名的 TLS 连接进行保护。所有 App Studio 端点都使用由 AWS Certificate Manager 私有证书颁发机构管理的 SHA-256 证书。

## 密钥管理
<a name="key-management"></a>

App Studio 不支持管理加密密钥。

## 互联网络流量隐私
<a name="inter-network-traffic-privacy"></a>

在 App Studio 中创建实例时，您可以选择存储该实例的数据和资源的 AWS 区域。应用程序构建工件和元数据永远不会离开该 AWS 区域。

但是，请注意以下信息：
+ 由于 App Studio 使用亚马逊 CloudFront 为您的应用程序提供服务，并使用 Lambda @Edge 来管理应用程序的身份验证，因此可以从 CloudFront 边缘站点（可能位于不同的区域）访问有限的身份验证数据、授权数据和应用程序元数据。
+ AWS App Studio 跨 AWS 区域传输数据，以便在服务中启用某些生成式 AI 功能。有关跨区域数据传输所启用的功能、跨区域移动的数据类型以及如何选择退出的更多信息，请参阅[AWS App Studio 中的跨区域数据传输](cross-region-data-transfer.md)。