中的安全性 AWS Step Functions - AWS Step Functions
合规性验证弹性基础设施安全性

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

中的安全性 AWS Step Functions

云安全位于 AWS 是最高优先级。作为 AWS 客户,您将受益于专为满足大多数安全敏感型组织的要求而构建的数据中心和网络架构。

安全是双方的共同责任 AWS 还有你。责任共担模式将其描述为云 安全性和云 的安全性:

  • 云安全 — AWS 负责保护运行的基础架构 AWS 中的服务 AWS 云。 AWS 还为您提供可以安全使用的服务。作为安全措施的一部分,第三方审计师定期测试和验证我们安全的有效性 AWS 合规计划。了解适用于以下方面的合规计划 AWS Step Functions,请参阅 AWS 按合规计划划分的范围内的服务

  • 云端安全 — 您的责任由 AWS 您使用的服务。您还需要对其他因素负责,包括您的数据的敏感性、您公司的要求以及适用的法律法规。

本文档可帮助您了解在使用 Step Functions 时如何应用分担责任模型。以下主题向您介绍如何配置 Step Functions 以满足您的安全和合规性目标。你还会学习如何使用其他 AWS 可帮助您监控和保护您的 Step Functions 资源的服务。

Step Functi IAM ons 用来控制对其他人的访问权限 AWS 服务和资源。有关IAM工作原理的概述,请参阅IAM用户指南》中的访问管理概述。有关安全证书的概述,请参阅 AWS中的安全证书 Amazon Web Services 一般参考.

Step Functions 的合规性验证

第三方审计师评估以下各项的安全性和合规性 AWS Step Functions 作为多个的一部分 AWS 合规计划。这些包括SOC、PCIRAMPHIPAA、美联储等。

有关清单 AWS 特定合规计划范围内的服务,请参阅 AWS 按合规计划划分的范围内的服务 。有关一般信息,请参见 AWS 合规计划

您可以使用以下方式下载第三方审计报告 AWS Artifact。 有关更多信息,请参阅中的下载报告 AWS Artifact.

您在使用 Step Functions 时的合规责任取决于数据的敏感度、贵公司的合规目标以及适用的法律和法规。 AWS 提供了以下资源来帮助实现合规性:

Step Functions 中的弹性

这些区域有: AWS 全球基础设施是围绕着建立的 AWS 区域和可用区。 AWS 区域提供多个在物理上独立且隔离的可用区,这些可用区通过延迟低、吞吐量高且冗余性高的网络连接在一起。利用可用区,您可以设计和操作在可用区之间无中断地自动实现失效转移的应用程序和数据库。与传统的单个或多个数据中心基础设施相比,可用区具有更高的可用性、容错性和可扩展性。

有关 AWS 地区和可用区,请参阅 AWS 全球基础设施

除了 AWS 全球基础架构,Step Functions 提供了多种功能,可帮助支持您的数据弹性和备份需求。

Step Functions 中的基础设施安全

作为一项托管服务, AWS Step Functions 受保护 AWS 全球网络安全。有关信息 AWS 安全服务及其方式 AWS 保护基础架构,请参阅 AWS 云安全。设计你的 AWS 使用基础设施安全最佳实践的环境,请参阅安全支柱中的基础设施保护 AWS 架构精良的框架。

你用 AWS 已发布通过网络访问 Step Functions 的API调用。客户端必须支持以下内容:

  • 传输层安全 (TLS)。我们需要 TLS 1.2,建议使用 TLS 1.3。

  • 具有完美前向保密性的密码套件 (),例如(Ephemeral Diffie-HellmanPFS)或(Elliptic C DHE urve Ephemeral Diffie-Hellman)。ECDHE大多数现代系统(如 Java 7 及更高版本)都支持这些模式。

此外,必须使用访问密钥 ID 和与IAM委托人关联的私有访问密钥对请求进行签名。或者你可以使用 AWS Security Token Service (AWS STS) 生成用于签署请求的临时安全证书。

你可以打电话 AWS API从任何网络位置进行操作,但是 Step Functions 不支持基于资源的访问策略,其中可能包括基于源 IP 地址的限制。你也可以使用 Step Functions 控制特定访问权限的策略 Amazon Virtual Private Cloud (Amazon VPC) 端点或特定VPCs。实际上,这可以隔离对给定对象的网络访问 Step Functions 仅来自特定VPC内部的资源 AWS 网络。