选择您的 Cookie 首选项

我们使用必要 Cookie 和类似工具提供我们的网站和服务。我们使用性能 Cookie 收集匿名统计数据,以便我们可以了解客户如何使用我们的网站并进行改进。必要 Cookie 无法停用,但您可以单击“自定义”或“拒绝”来拒绝性能 Cookie。

如果您同意,AWS 和经批准的第三方还将使用 Cookie 提供有用的网站功能、记住您的首选项并显示相关内容,包括相关广告。要接受或拒绝所有非必要 Cookie,请单击“接受”或“拒绝”。要做出更详细的选择,请单击“自定义”。

首选项
联系我们
反馈
AWS Documentation
创建 AWS 账户

AWS 大型机现代化应用程序测试中的数据保护

PDF
RSS
聚焦模式
AWS 大型机现代化应用程序测试中的数据保护 - AWS 大型机现代化
AWS 大型机现代化应用程序测试收集的数据AWS Mainframe Modernization 应用程序测试功能的静态数据加密创建客户托管密钥为 AWS Mainframe Modernization 应用程序测试功能指定客户托管密钥AWS 大型机现代化应用程序测试加密上下文监控您的加密密钥传输中加密

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

分 AWS 担责任模型适用于 AWS 大型机现代化应用程序测试中的数据保护。如本模型所述 AWS ,负责保护运行所有内容的全球基础架构 AWS Cloud。您负责维护对托管在此基础结构上的内容的控制。您还负责您所使用的 AWS 服务 的安全配置和管理任务。有关数据隐私的更多信息,请参阅数据隐私常见问题有关欧洲数据保护的信息,请参阅 AWS Security Blog 上的 AWS Shared Responsibility Model and GDPR 博客文章。

我们建议您保护 AWS 账户 凭证并使用 AWS IAM Identity Center 或 AWS Identity and Access Management (IAM) 设置个人用户。这样,每个用户就只会获得履行其工作职责所需的权限。还建议您通过以下方式保护数据:

  • 对每个账户使用多重身份验证(MFA)。

  • 使用 SSL/TLS 与资源通信。 AWS 我们要求使用 TLS 1.2,建议使用 TLS 1.3。

  • 使用设置 API 和用户活动日志 AWS CloudTrail。

  • 使用 AWS 加密解决方案以及其中的所有默认安全控件 AWS 服务。

  • 使用高级托管安全服务(例如 Amazon Macie),它有助于发现和保护存储在 Amazon S3 中的敏感数据。

  • 如果您在 AWS 通过命令行界面或 API 进行访问时需要经过 FIPS 140-2 验证的加密模块,请使用 FIPS 端点。有关可用的 FIPS 端点的更多信息,请参阅《美国联邦信息处理标准(FIPS)第 140-2 版》

建议您避免将任何机密信息或敏感信息(如客户的电子邮件地址)放入标签或自由格式文本字段(例如,“名称”字段)中。这包括您 AWS 服务 使用控制台、API 或进行 AWS 大型机现代化应用程序测试或其他操作时。 AWS CLI AWS SDKs在用于名称的标签或自由格式文本字段中输入的任何数据都可能会用于计费或诊断日志。如果您向外部服务器提供网址,请避免在网址中包含凭证信息来验证您对该服务器的请求。

AWS 大型机现代化应用程序测试收集的数据

AWS 大型机现代化应用程序测试会从您那里收集几种类型的数据:

  • Resource definition:资源定义指示在您创建或更新测试用例、测试套件或测试配置类型的资源时传递给应用程序测试功能的数据。

  • Scripts for replay:这些是传递给针对您的 AWS 大型机现代化应用程序进行应用程序测试的脚本。

  • Data for comparison:这些是传递给应用程序测试功能来进行比较的数据集或数据库更改数据捕获(CDC)文件。

AWS 大型机现代化应用程序测试以本地方式存储这些数据。 AWS我们从您那里收集的数据存储在 AWS 大型机现代化应用程序测试托管的 Amazon S3 存储桶中。当您删除资源时,关联的数据将从 Amazon S3 存储桶中删除。

当您启动测试运行以执行重放来测试交互式工作负载时, AWS Mainframe Modernization 应用程序测试功能会将脚本下载到由临时存储支持的 Fargate 容器(由 Amazon ECS 托管)中来执行重放。重放完成后,脚本文件即被删除,由脚本生成的输出文件将存储在您账户中由应用程序测试功能托管的 Amazon S3 存储桶中。当您删除测试运行时,重放的输出文件将从 Amazon S3 存储桶中删除。

同样,当您启动测试运行来比较文件(数据集或数据库更改)时, AWS Mainframe Modernization 应用程序测试功能会将文件下载到由 Amazon ECS 托管的 Fargate 容器支持的临时存储空间中,以便执行比较。一旦比较操作完成,下载的文件就将删除。比较输出数据存储在您账户中由应用程序测试功能托管的 Amazon S3 存储桶中。当您删除测试运行时,输出文件会从该 S3 存储桶中删除。

当您将数据放入 AWS 大型机现代化应用程序测试用于比较文件的 Amazon S3 存储桶时,您可以使用所有可用的 Amazon S3 加密选项来保护数据。

AWS Mainframe Modernization 应用程序测试功能的静态数据加密

AWS 大型机现代化应用程序测试与 AWS Key Management Service (KMS) 集成,可为永久存储数据的所有依赖资源提供透明的服务器端加密 (SSE)。资源示例包括亚马逊简单存储服务、亚马逊 DynamoDB 和亚马逊 Elastic Block Store。 AWS 大型机现代化应用程序测试在中为您创建和管理对称加密 AWS KMS 密钥。 AWS KMS

默认情况下,静态数据加密有助于降低保护敏感数据的操作开销和复杂性。同时,它还支持测试需要满足严格加密合规性和监管要求的应用程序。

在创建测试用例、测试套件或测试配置时,无法禁用此加密层或选择其他加密类型。

您可以使用自己的客户托管密钥作为比较文件和 AWS CloudFormation 模板来加密 Amazon S3。您可以使用此密钥加密为应用程序测试功能中的测试运行创建的所有资源。

注意

DynamoDB 资源始终使用应用程序测试服务 AWS 托管式密钥 账户进行加密。您无法使用客户托管密钥加密 DynamoDB 资源。

AWS 大型机现代化应用程序测试使用您的客户托管密钥执行以下任务:

  • 将数据集从应用程序测试功能导出到 Amazon S3。

  • 将比较输出文件上传到 Amazon S3。

有关更多信息,请参阅《AWS Key Management Service 开发人员指南》中的客户托管密钥

创建客户托管密钥

您可以使用 AWS Management Console 或创建对称的客户托管密钥。 AWS KMS APIs

创建对称的客户托管密钥

按照《AWS Key Management Service 开发人员指南》中创建对称的客户托管密钥的步骤进行操作。

密钥策略

密钥策略控制对客户自主管理型密钥的访问。每个客户托管式密钥必须只有一个密钥策略,其中包含确定谁可以使用密钥以及如何使用密钥的声明。创建客户托管式密钥时,可以指定密钥策略。

以下是限制访问权限的密钥策略示例 ViaService ,该策略允许应用程序测试在您的账户中写入重播和比较生成的数据。调用 StartTestRun API 时,应将此策略附加到 IAM 角色。

{
    "Sid": "TestRunKmsPolicy",
    "Action": ["kms:Decrypt", "kms:GenerateDataKey"],
    "Effect": "Allow",
    "Principal": {
        "AWS": "arn:aws:iam::111122223333:role/TestRunRole"
    },
    "Resource": "*",
    "Condition": {
        "StringEquals": {
            "kms:ViaService": ["s3.amazonaws.com"]
        },
        "ForAnyValue:StringEquals": {
            "kms:EncryptionContextKeys": "aws:apptest:testrun"
        }
    }
}

有关更多信息,请参阅《AWS Key Management Service 开发人员指南》中的管理对客户托管密钥的访问

有关密钥访问故障排除的信更多息,请参阅《AWS Key Management Service 开发人员指南》。

为 AWS Mainframe Modernization 应用程序测试功能指定客户托管密钥

创建测试配置时,可以通过输入密钥 ID 来指定客户托管密钥。应用程序测试功能用于对测试运行期间上传到 Amazon S3 存储桶的数据进行加密。

  • 密钥 ID:客户托管密钥的密钥标识符。输入密钥 ID、密钥 ARN、别名名称或别名 ARN。

要在使用创建测试配置时添加客户托管密钥 AWS CLI,请按如下方式指定kmsKeyId参数:

create-test-configuration --name test \
--resources '[{
    "name": "TestApplication",
    "type": {
        "m2ManagedApplication": {
            "applicationId": "wqju4m2dcz3rhny5fpdozrsdd4",
            "runtime": "MicroFocus"
        }
    }
}]' \
--service-settings '{
    "kmsKeyId": "arn:aws:kms:us-west-2:111122223333:key/05d467z6-c42d-40ad-b4b7-274e68b14013"
}'

AWS 大型机现代化应用程序测试加密上下文

加密上下文是一组可选的键值对,包含有关数据的其他上下文信息。

AWS KMS 使用加密上下文作为其他经过身份验证的数据来支持经过身份验证的加密。当您在加密数据的请求中包含加密上下文时,会将加密上下文 AWS KMS 绑定到加密数据。要解密数据,您必须在请求中包含相同的加密上下文。

AWS 大型机现代化应用程序测试加密上下文

AWS 大型机现代化应用程序测试在与测试运行相关的所有 AWS KMS 加密操作中使用相同的加密上下文,其中密钥是aws:apptest:testrun,值是测试运行的唯一标识符。

"encryptionContext": {
        "aws:apptest:testrun": "u3qd7uhdandgdkhhi44qv77iwq"
}

使用加密上下文进行监控

使用对称的客户托管密钥加密测试运行时,还可以使用审计记录和日志中的加密上下文来识别客户托管密钥在将数据上传到 Amazon S3 时的使用方式。

监控用于 AWS Mainframe Modernization 应用程序测试功能的加密密钥

当您在 AWS 大型机现代化应用程序测试资源中使用 AWS KMS 客户托管密钥时,您可以使用AWS CloudTrail来跟踪 AWS 大型机现代化应用程序测试在上传对象时向 Amazon S3 发送的请求。

传输中加密

对于定义测试事务性工作负载步骤的测试用例,运行 selenium 脚本的应用程序测试托管终端仿真器与 AWS 大型机现代化应用程序端点之间的数据交换在传输过程中未加密。 AWS 大型机现代化应用程序测试用于 AWS PrivateLink 连接到您的应用程序端点以私下交换数据,而不会将流量暴露在公共互联网上。

AWS 大型机现代化应用程序测试使用 HTTPS 来加密服务 APIs。 AWS 大型机现代化应用程序测试中的所有其他通信均受服务 VPC 或安全组以及 HTTPS 保护。

默认情况下,配置了传输中基本加密,但不适用于基于 TN3270 协议的交互式工作负载测试。

本页内容

隐私网站条款Cookie 首选项
© 2025, Amazon Web Services, Inc. 或其附属公司。保留所有权利。