中的安全性 AWS OpsWorks 配置管理 (CM)

云安全位于 AWS 是最高优先级。作为 AWS 客户，您将受益于专为满足大多数安全敏感型组织的要求而构建的数据中心和网络架构。

安全是双方的共同责任 AWS 还有你。责任共担模式将其描述为云的安全性和云中的安全性：

云安全 — AWS 负责保护运行的基础架构 AWS 中的服务 AWS 云。 AWS 还为您提供可以安全使用的服务。作为安全措施的一部分，第三方审计师定期测试和验证我们安全的有效性 AWS 合规计划。了解适用于以下方面的合规计划 AWS OpsWorks CM，见 AWS 按合规计划划分的范围内的服务。
云端安全 — 您的责任由 AWS 您使用的服务。您还需要对其他因素负责，包括您的数据的敏感性、您公司的要求以及适用的法律法规。

本文档可帮助您了解在使用分担责任模型时如何应用分担责任模型 AWS OpsWorks 厘米。以下主题向您展示了如何配置 AWS OpsWorks CM 可满足您的安全与合规目标。您还将学习如何使用其他AWS服务来帮助您监控和保护自己的 AWS OpsWorks CM 资源。

主题

数据加密

AWS OpsWorks CM 对服务器备份和授权之间的通信进行加密 AWS 用户和他们的 AWS OpsWorks CM 服务器。但是，Amazon 的根EBS卷为 AWS OpsWorks CM 服务器未加密。

静态加密

AWS OpsWorks CM 服务器备份已加密。但是，Amazon 的根EBS卷为 AWS OpsWorks CM 服务器未加密。用户无法对其进行配置。

传输中加密

AWS OpsWorks CM HTTP 与TLS加密一起使用。 AWS OpsWorks 如果用户未提供签名证书，则 CM 默认使用自签名证书来预置和管理服务器。我们建议您使用由证书颁发机构 (CA) 签名的证书。

密钥管理

AWS Key Management Service 目前不支持客户AWS托管密钥和托管密钥 AWS OpsWorks 厘米。

互联网络流量保密性

AWS OpsWorks CM 使用的传输安全协议与通常使用的传输安全协议相同 AWS:HTTPS，或者HTTP使用TLS加密。

登录和监控 AWS OpsWorks CM

AWS OpsWorks CM 将所有API操作记录到 CloudTrail。有关更多信息，请参阅以下主题：

中的配置和漏洞分析 AWS OpsWorks CM

AWS OpsWorks CM 会定期对您上运行的操作系统执行内核和安全更新 AWS OpsWorks CM 服务器。用户可以设置一个时段，以使自动更新从当前日期起最多持续两周。 AWS OpsWorks CM 推动了 Chef 和 Puppet Enterprise 次要版本的自动更新。有关为配置更新的更多信息 AWS OpsWorks for Chef Automate，请参阅本指南中的系统维护 (Chef)。有关为 Puppet Enterprise 配置更新的 OpsWorks 更多信息，请参阅本指南中的系统维护 (Puppet)。

的安全最佳实践 AWS OpsWorks CM

AWS OpsWorks CM，像所有人一样 AWS 服务，提供安全功能，供您在制定和实施自己的安全策略时考虑。以下最佳实践是一般指导原则，并不代表完整安全解决方案。这些最佳实践可能不适合环境或不满足环境要求，请将其视为有用的考虑因素而不是惯例。

保护您的初学者工具包和下载的登录凭证。当你创建一个新的 AWS OpsWorks CM 服务器或从中下载新的入门套件和凭据 AWS OpsWorks CM 控制台，将这些物品存储在至少需要一个身份验证因素的安全位置。凭证提供对服务器的管理员级别访问权限。
保护您的配置代码。使用针对源存储库的推荐协议来保护您的 Chef 或 Puppet 配置代码（说明书和模块）。例如，您可以限制对存储库的权限 AWS CodeCommit，或者按照 GitHub 网站上的指导方针保护 GitHub存储库。
使用 CA 签名证书连接到节点。尽管在注册或引导节点时可以使用自签名证书 AWS OpsWorks 作为最佳实践，CM 服务器使用 CA 签名的证书。我们建议您使用由证书颁发机构 (CA) 签名的证书。
请勿与其他用户共享 Chef 或 Puppet 管理控制台登录凭证。管理员应为 Chef 或 Puppet 控制台网站的每个用户创建单独的用户。
- 在 Chef Automate 中管理用户
- 在 Puppet Enterprise 中管理用户
配置自动备份和系统维护更新。在您的设备上配置自动维护更新 AWS OpsWorks CM 服务器有助于确保您的服务器运行最新的安全相关操作系统更新。配置自动备份有助于在发生事故或故障时减小灾难恢复的难度并缩短恢复时间。限制对存储您的 Amazon S3 存储桶的访问权限 AWS OpsWorks CM 服务器备份；不要向所有人授予访问权限。根据需要单独向其他用户授予读取或写入权限，或者在中IAM为这些用户创建安全组，然后向该安全组分配访问权限。
- 系统维护 (Chef)
- 系统维护 (Puppet)
- 备份和恢复 AWS OpsWorks for Chef Automate 服务器
- 备份和恢复 Puppe OpsWorks t Enterprise Server
- 在@@ 中创建您的第一个IAM委托用户和群组 AWS Identity and Access Management 用户指南
- 《Amazon Simple Storage Service 开发人员指南》中的 Amazon S3 安全最佳实践

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

文档惯例

故障排除

数据保护