本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
中的数据保护 AWS Supply Chain
分 AWS 担责任模型适用于中的数据保护 AWS Supply Chain。如本模型所述 AWS ,负责保护运行所有内容的全球基础架构 AWS Cloud。您负责维护对托管在此基础架构上的内容的控制。您还负责您所使用的 AWS 服务
的安全配置和管理任务。有关数据隐私的更多信息,请参阅数据隐私FAQ。 有关欧洲数据保护的信息,请参阅责任AWS 共担模型和AWS安全GDPR博客上的博客文章。
出于数据保护目的,我们建议您保护 AWS 账户
凭据并使用 AWS IAM Identity Center 或 AWS Identity and Access Management (IAM) 设置个人用户。这样,每个用户只获得履行其工作职责所需的权限。我们还建议您通过以下方式保护数据:
-
对每个账户使用多重身份验证 (MFA)。
-
使用SSL/TLS与 AWS 资源通信。我们需要 TLS 1.2,建议使用 TLS 1.3。
-
使用API进行设置和用户活动记录 AWS CloudTrail。有关使用 CloudTrail 跟踪捕获 AWS 活动的信息,请参阅《AWS CloudTrail 用户指南》中的使用跟 CloudTrail 踪。
-
使用 AWS 加密解决方案以及其中的所有默认安全控件 AWS 服务。
-
使用高级托管安全服务(例如 Amazon Macie),它有助于发现和保护存储在 Amazon S3 中的敏感数据。
-
如果您在 AWS 通过命令行界面或访问时需要 FIPS 140-3 经过验证的加密模块API,请使用端点。FIPS有关可用FIPS端点的更多信息,请参阅联邦信息处理标准 (FIPS) 140-3。
我们强烈建议您切勿将机密信息或敏感信息(如您客户的电子邮件地址)放入标签或自由格式文本字段(如名称字段)。这包括您使用 AWS Supply Chain 或以其他 AWS 服务 方式使用控制台时API、 AWS CLI、或 AWS SDKs。在用于名称的标签或自由格式文本字段中输入的任何数据都可能会用于计费或诊断日志。如果您URL向外部服务器提供,我们强烈建议您不要在中包含凭据信息,URL以验证您对该服务器的请求。
AWS Supply Chain处理的数据
为了限制特定 AWS 供应链实例的授权用户可以访问的数据,供应链中保存的数据按您的 AWS 账户 ID 和 AWS AWS 供应链实例 ID 进行隔离。
AWS Supply Chain 处理各种供应链数据,例如用户信息、从数据连接器中提取的信息以及库存详情。
选择退出偏好
如AWS服务条款所述,我们可能会使用和存储由 AWS Supply Chain处理的您的内容。如果您想选择退出使用或存储您的内容 AWS Supply Chain ,可以在 Organizations 中创建选择退出政策。AWS有关创建选择退出策略的更多信息,请参阅 AI 服务选择退出策略语法和示例。
静态加密
分类为PII的联系人数据或代表客户内容的数据(包括存储在 Amazon Q 中 AWS Supply Chain 使用的内容)会使用有时间限制且特定于 AWS Supply Chain 实例的密钥进行静态加密(也就是说,在将其放置、存储或保存到磁盘之前)。 AWS Supply Chain
Amazon S3 服务器端加密用于使用每个客户账户独有的 AWS Key Management Service 数据密钥对所有控制台和 Web 应用程序数据进行加密。有关的信息 AWS KMS keys,请参阅什么是 AWS Key Management Service? 在《 AWS Key Management Service 开发人员指南》中。
AWS Supply Chain 功能供应计划和 N 层可见性不支持使用提供的KMS进行加密 data-at-rest-。CMK
传输中加密
包括在 Amazon Q 中与 AWS 供应链 AWS Supply Chain 交换的内容在内的数据在用户的网络浏览器和 AWS 供应链之间传输时均使用行业标准TLS加密进行保护。
密钥管理
AWS Supply Chain 部分支持 KMS-CMK。
有关更新中的AWSKMS密钥的信息 AWS Supply Chain,请参阅创建实例。
互联网络流量隐私
AWS Supply Chain 不支持 PrivateLink。
的虚拟私有云 (VPC) 端点 AWS Supply Chain 是中的一个逻辑实体VPC,仅允许连接到 AWS Supply Chain。将请求VPC路由到, AWS Supply Chain 并将响应路由回VPC。有关更多信息,请参阅《VPC用户指南》中的VPC终端节点。
如何在中 AWS Supply Chain 使用补助金 AWS KMS
AWS Supply Chain 需要获得授权才能使用您的客户托管密钥。
AWS Supply Chain 使用CreateInstance操作期间传递的 AWS KMS 密钥创建多个授权。 AWS Supply Chain 通过向发送CreateGrant请求来代表您创建授权 AWS KMS。中的授权 AWS KMS 用于授予对客户账户中 AWS KMS 密钥的 AWS Supply Chain 访问权限。
AWS Supply Chain 使用它自己的授权机制。将用户添加到后 AWS Supply Chain,您就无法使用该 AWS KMS 策略拒绝列出同一个用户。
AWS Supply Chain 将补助金用于以下用途:
向发送GenerateDataKey请求 AWS KMS 以加密存储在您的实例中的数据。
向发送 Decrypt 请求 AWS KMS 以读取与实例关联的加密数据。
添加DescribeKeyCreateGrant、和RetireGrant权限,以便在将数据发送到 Amazon Forecast 等其他 AWS 服务时确保您的数据安全。
您可以随时撤销授予访问权限,或删除服务对客户托管密钥的访问权限。如果这样做,将 AWS Supply Chain 无法访问由客户托管密钥加密的任何数据,这会影响依赖该数据的操作。
监控您的加密情况 AWS Supply Chain
以下示例是EncryptGenerateDataKey、和监控Decrypt为访问由 AWS Supply Chain 您的客户托管密钥加密的数据而调用的KMS操作 AWS CloudTrail 的事件:
- Encrypt
-
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AWSService",
"invokedBy": "scn.amazonaws.com"
},
"eventTime": "2024-03-06T22:39:32Z",
"eventSource": "kms.amazonaws.com",
"eventName": "Encrypt",
"awsRegion": "us-east-1",
"sourceIPAddress": "172.12.34.56"
"userAgent": "Example/Desktop/1.0 (V1; OS)",
"requestParameters": {
"encryptionAlgorithm": "SYMMETRIC_DEFAULT",
"keyId": "arn:aws:kms:us-east-1:123456789:key/1234abcd-11ab-22bc-33ef-123456sample"
},
"responseElements": null,
"requestID": "12a345n4-78a4-8888-0000-a000-6q000yy666rr",
"eventID": "12a345n4-78a4-8888-0000-a000-6q000yy666rr",
"readOnly": true,
"resources": [
{
"accountId": account ID,
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-east-1:123456789:key/1234abcd-11ab-22bc-33ef-123456sample"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "112233445566",
"sharedEventID": "fdf9ee0f-e43f-4e43-beac-df69067edb8b",
"eventCategory": "Management"
}
- GenerateDataKey
-
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AWSService",
"invokedBy": "scn.amazonaws.com"
},
"eventTime": "2024-03-06T22:39:32Z",
"eventSource": "kms.amazonaws.com",
"eventName": "GenerateDataKey",
"awsRegion": "us-east-1",
"sourceIPAddress": "172.12.34.56"
"userAgent": "Example/Desktop/1.0 (V1; OS)",
"requestParameters": {
"encryptionContext": {
"aws:s3:arn": "arn:aws:s3:::test/rawEvent/bf6666c1-111-48aaca-b6b0-dsadsadsa3432423/noFlowName/scn.data.inboundorder/20240306_223934_536"
},
"keyId": "arn:aws:kms:us-east-1:123456789:key/1234abcd-11ab-22bc-33ef-123456sample",
"keySpec": "AES_222"
},
"responseElements": null,
"requestID": "12a345n4-78a4-8888-0000-a000-6q000yy666rr",
"eventID": "12a345n4-78a4-8888-0000-a000-6q000yy666rr",
"readOnly": true,
"resources": [
{
"accountId": account ID,
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-east-1:123456789:key/1234abcd-11ab-22bc-33ef-123456sample"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "112233445566",
"sharedEventID": "fdf9ee0f-e43f-4e43-beac-df69067edb8b",
"eventCategory": "Management"
}
- Decrypt
-
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AWSService",
"invokedBy": "scn.amazonaws.com"
},
"eventTime": "2024-03-06T22:39:32Z",
"eventSource": "kms.amazonaws.com",
"eventName": "Decrypt",
"awsRegion": "us-east-1",
"sourceIPAddress": "172.12.34.56"
"userAgent": "Example/Desktop/1.0 (V1; OS)",
"requestParameters": {
"keyId": "arn:aws:kms:us-east-1:123456789:key/1234abcd-11ab-22bc-33ef-123456sample",
"encryptionAlgorithm": "SYMMETRIC_DEFAULT"
},
"responseElements": null,
"requestID": "12a345n4-78a4-8888-0000-a000-6q000yy666rr",
"eventID": "12a345n4-78a4-8888-0000-a000-6q000yy666rr",
"readOnly": true,
"resources": [
{
"accountId": account ID,
"type": "AWS::KMS::Key",
"ARN": "arn:aws:kms:us-east-1:123456789:key/1234abcd-11ab-22bc-33ef-123456sample"
}
],
"eventType": "AwsApiCall",
"managementEvent": true,
"recipientAccountId": "112233445566",
"sharedEventID": "fdf9ee0f-e43f-4e43-beac-df69067edb8b",
"eventCategory": "Management"
}
