本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

AWS Panorama 中的数据保护

AWS 分担责任模型分适用于 AWS Panorama 中的数据保护。如本模型所述 AWS ，负责保护运行所有内容的全球基础架构 AWS Cloud。您负责维护对托管在此基础结构上的内容的控制。您还负责您所使用的 AWS 服务 的安全配置和管理任务。有关数据隐私的更多信息，请参阅数据隐私常见问题。有关欧洲数据保护的信息，请参阅 AWS Security Blog 上的 AWS Shared Responsibility Model and GDPR 博客文章。

出于数据保护目的，我们建议您保护 AWS 账户 凭证并使用 AWS IAM Identity Center 或 AWS Identity and Access Management (IAM) 设置个人用户。这样，每个用户只获得履行其工作职责所需的权限。还建议您通过以下方式保护数据：

强烈建议您切勿将机密信息或敏感信息（如您客户的电子邮件地址）放入标签或自由格式文本字段（如名称字段）。这包括您使用控制台、API 或 AWS 服务 使用其他方式使用 AWS Panorama 或其他网站的情况 AWS SDKs。 AWS CLI在用于名称的标签或自由格式文本字段中输入的任何数据都可能会用于计费或诊断日志。如果您向外部服务器提供网址，强烈建议您不要在网址中包含凭证信息来验证对该服务器的请求。

传输中加密

AWS Panorama API 端点仅支持基于 HTTPS 的安全连接。使用 AWS Management Console、AWS 开发工具包或 AWS Panorama API 管理 AWS Panorama 资源时，所有通信都使用传输层安全性协议（TLS）进行加密。AWS Panorama 设备和 AWS 之间的通信也使用 TLS 加密。AWS Panorama 设备与摄像头之间通过 RTSP 进行的通信未加密。

有关 API 端点的完整列表，请参阅 AWS 一般参考 中的 AWS 区域和端点。

AWS Panorama 设备

AWS Panorama 设备具有用于以太网、HDMI 视频和 USB 存储的物理端口。SD 卡插槽、Wi-Fi 和蓝牙不可用。USB 端口仅在配置期间用于将配置存档传输到设备。

配置存档的内容（包括设备的置备证书和网络配置）未加密。AWS Panorama 不存储这些文件;只有在注册设备时才能检索它们。将配置存档传输到设备后，将其从计算机和 USB 存储设备中删除。

设备的整个文件系统均已加密。此外，该设备还应用了多种系统级保护，包括所需软件更新的回滚保护、签名内核和引导加载程序以及软件完整性验证。

停止使用设备时，请执行完全重置以删除应用程序数据并重置设备软件。

应用程序

您可以控制部署到设备的代码。在部署所有应用程序代码之前，无论其来源如何，都要验证其是否存在安全问题。如果在应用程序中使用第三方库，请仔细考虑这些库的许可和支持策略。

应用程序 CPU、内存和磁盘使用率不受设备软件的限制。使用过多资源的应用程序可能会对其他应用程序和设备的运行产生负面影响。在合并或部署到生产环境之前，单独测试应用程序。

应用程序资产（代码和模型）不会与帐户、设备或构建环境中的访问隔离。AWS Panorama 应用 CLI 生成的容器映像和模型存档未加密。对生产工作负载使用单独的帐户，并且仅允许根据需要进行访问。

其他服务

为了将您的模型和应用程序容器安全地存储在 Amazon S3 中，AWS Panorama 使用具有 Amazon S3 管理的密钥的服务器端加密。有关更多信息，请参阅 Amazon Simple Storage Service 用户指南中的通过加密保护数据。

摄像机直播凭据在静态状态下被加密 AWS Secrets Manager。设备的 IAM 角色授予其检索密钥的权限，以便访问流的用户名和密码。

AWS Panorama 设备将日志数据发送到亚马逊 CloudWatch 日志。 CloudWatch 默认情况下，日志会对这些数据进行加密，并且可以将其配置为使用客户托管密钥。有关更多信息，请参阅 Amazon Lo CloudWatch gs 用户指南 AWS KMS中的使用加密 CloudWatch 日志中的日志数据。