本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
Amazon 的資料保護 EC2
AWS 共同責任模型
為了資料保護目的,我們建議您保護 AWS 帳戶 憑證,並使用 AWS IAM Identity Center 或 AWS Identity and Access Management () 設定個別使用者IAM。如此一來,每個使用者都只會獲得授與完成其任務所必須的許可。我們也建議您採用下列方式保護資料:
-
對每個帳戶使用多重要素驗證 (MFA)。
-
使用 SSL/TLS 與 AWS 資源通訊。我們需要 TLS 1.2 和 建議 TLS 1.3。
-
使用 設定 API和使用者活動日誌 AWS CloudTrail。如需使用 CloudTrail 線索擷取 AWS 活動的資訊,請參閱 AWS CloudTrail 使用者指南 中的使用 CloudTrail 線索。
-
使用 AWS 加密解決方案,以及 中的所有預設安全控制項 AWS 服務。
-
使用進階的受管安全服務 (例如 Amazon Macie),協助探索和保護儲存在 Amazon S3 的敏感資料。
-
如果您在 AWS 透過命令列介面或 FIPS 存取 時需要 140-3 個經過驗證的密碼編譯模組API,請使用 FIPS端點。如需可用FIPS端點的詳細資訊,請參閱聯邦資訊處理標準 (FIPS) 140-3
。
我們強烈建議您絕對不要將客戶的電子郵件地址等機密或敏感資訊,放在標籤或自由格式的文字欄位中,例如名稱欄位。這包括當您使用 Amazon EC2或其他 AWS 服務 主控台API AWS CLI、 或 時 AWS SDKs。您在標籤或自由格式文字欄位中輸入的任何資料都可能用於計費或診斷日誌。如果您將 URL提供給外部伺服器,強烈建議您在 中不要包含憑證資訊,URL以驗證您對該伺服器的請求。
Amazon EBS資料安全
Amazon EBS磁碟區會以原始、未格式化的區塊裝置呈現給您。這些裝置是在EBS基礎設施上建立的邏輯裝置,Amazon EBS服務可確保在客戶使用或重複使用裝置之前,裝置在邏輯上是空的 (即原始區塊歸零或包含密碼編譯虛擬隨機資料)。
如果您有程序要求在使用之後或之前使用特定方法清除所有資料 (或兩者),例如 DoD 5220.22-M (國家工業安全計畫操作手冊) 或 NIST 800-88 (媒體消毒準則),您可以在 Amazon 上執行此操作EBS。該區塊層級活動將向下反映至 Amazon EBS服務中的基礎儲存媒體。
靜態加密
EBS 磁碟區
Amazon EBS加密是磁碟EBS區和快照的加密解決方案。它使用 AWS KMS keys。如需詳細資訊,請參閱 Amazon 使用者指南 中的 Amazon EBS加密。 EBS
【Windows 執行個體】 您也可以使用 Microsoft EFS和 NTFS 許可進行資料夾層級和檔案層級加密。
執行個體儲存體磁碟區
NVMe 執行個體存放磁碟區上的資料會使用 XTS-AES-256 密碼加密,該密碼在執行個體上的硬體模組上實作。用於加密寫入本機連接NVMe儲存裝置的資料的金鑰是以每位客戶和每個磁碟區為單位。這些金鑰由硬體模組產生且僅駐留在其中, AWS 人員無法存取此模組。這些加密金鑰會在執行個體停止或終止時銷毀,且無法復原。您無法停用此加密,也無法提供您自己的加密金鑰。
HH1, D3 和 D3en 執行個體上HDD執行個體存放磁碟區上的資料會使用 XTS-AES-256 和一次性金鑰加密。
當您讓執行個體停止、休眠或終止時,執行個體存放區磁碟區中的所有儲存區塊都會重設。因此,資料無法透過另一個執行個體的執行個體存放區存取。
記憶體
下列執行個體會啟用記憶體加密:
-
使用 AWS Graviton 處理器的執行個體。 AWS Graviton2、 AWS Graviton3 和 AWS Graviton3E 支援永遠在線的記憶體加密。加密金鑰會在主機系統內安全地產生,不能離開主機系統,並在主機重新啟動或關閉電源時銷毀。如需詳細資訊,請參閱 AWS Graviton 處理器。
-
搭載第三代 Intel Xeon 可擴充處理器 (Ice Lake) 的執行個體 (例如 M6i 執行個體) 以及搭載第四代 Intel Xeon 可擴充處理器 (Sapphire Rapids) 的執行特體 (例如 M7i 執行個體)。這些處理器支援使用 Intel Total Memory Encryption () 的永遠在線記憶體加密TME。
-
具有第 3 代AMDEPYC處理器 (米蘭) 的執行個體,例如 M6a 執行個體和第 4 代AMDEPYC處理器 (Genoa),例如 M7a 執行個體。這些處理器支援使用AMD安全記憶體加密 () 的永遠在線記憶體加密SME。具有第 3 代AMDEPYC處理器 (米蘭) 的執行個體也支援AMD安全加密虛擬化安全巢狀分頁 (SEV-SNP)。
傳輸中加密
在實體層加密
在離開 AWS 安全設施之前,透過 AWS 全域網路跨 AWS 區域傳輸的所有資料都會在實體層自動加密。之間的所有流量AZs都會加密。額外的加密層 (包括本節所列的加密層) 可能會提供額外的保護。
Amazon VPC互連和 Transit Gateway 跨區域互連提供的加密
所有使用 Amazon VPC對等和 Transit Gateway 對等的跨區域流量都會在離開區域時自動大量加密。在離開 AWS 安全設施之前,會在實體層自動為所有流量提供額外的加密層,如本節先前所述。
執行個體間的加密
AWS 在所有類型的EC2執行個體之間提供安全且私有的連線。此外,某些執行個體類型使用基礎 Nitro System 硬體的卸載功能,以自動加密執行個體之間的傳輸中流量。此加密使用已驗證的加密搭配相關資料 (AEAD) 演算法,以及 256 位元加密。這對網路效能沒有影響。若要支援執行個體之間額外的傳輸中流量加密,必須符合下列要求:
-
執行個體使用下列執行個體類型:
-
一般用途:M5dn, M5n, M5zn, M6a, M6i, M6id, M6idn, M6in, M7a, M7g, M7gd, M7i, M7i-flex, M8g
-
運算最佳化:C5a, C5ad, C5n, C6a, C6gn, C6i, C6id, C6in, C7a, C7g, C7gd, C7gn, C7i, C7i-flex, C8g
-
記憶體最佳化:R5dn, R5n, R6a, R6i, R6idn, R6in, R6id, R7a, R7g, R7gd, R7i, R7iz, R8g, U-3tb1, U-6tb1, U-9tb1, U-12tb1, U-18tb1, U-24tb1, U7i-12tb, U7in-16tb, U7in-24tb, U7in-32tb, X2idn, X2iedn, X2iezn, X8g
-
儲存最佳化:D3, D3en, I3en, I4g, I4i, Im4gn, Is4gen
-
加速運算:DL1、DL2q、G4ad, G4dn, G5, G6, G6e, Gr6, Inf1, Inf2, P3dn, P4d, P4de, P5, P5e, Trn1, Trn1n VT1
-
高效能運算:Hpc6a、Hpc6id、Hpc7a、Hpc7g
-
-
這些執行個體位於相同的區域中。
-
執行個體位於相同VPC或對等的 中VPCs,且流量不會透過虛擬網路裝置或服務,例如負載平衡器或傳輸閘道。
在離開 AWS 安全設施之前,會在實體層為所有流量自動提供一層額外的加密,如本節先前所述。
使用 AWS CLI檢視加密執行個體之間傳輸中流量的執行個體類型
使用下列 describe-instance-types 命令。
aws ec2 describe-instance-types \ --filters Name=network-info.encryption-in-transit-supported,Values=true \ --query "InstanceTypes[*].[InstanceType]" \ --output text | sort
加密往返 AWS Outposts
Outpost 會建立稱為服務連結的特殊網路連線,可連結至其 AWS 主區域,也可以選擇性地建立與您指定VPC子網路的私有連線。透過這些連線的所有流量都會完整加密。如需詳細資訊,請參閱 AWS Outposts 使用者指南中的透過服務連結連線和傳輸中加密。
遠端存取加密
SSH 和 RDP通訊協定提供安全通訊管道,以直接或透過 EC2 Instance Connect 遠端存取執行個體。使用 AWS Systems Manager Session Manager 或 Run Command 對執行個體的遠端存取會使用 TLS 1.2 加密,而建立連線的請求會使用 SigV4 簽署,並由 進行驗證和授權AWS Identity and Access Management。
您有責任使用加密通訊協定,例如 Transport Layer Security (TLS),來加密用戶端和 Amazon EC2執行個體之間傳輸中的敏感資料。
(Windows 執行個體) 請務必僅允許EC2執行個體與 AWS API端點或其他敏感遠端網路服務之間的加密連線。您可以透過傳出安全群組或 Windows 防火牆
