本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # 將資料與您自己的運算子隔離 AWS Nitro 系統具有[零操作員存取](https://docs.aws.amazon.com/whitepapers/latest/security-design-of-aws-nitro-system/no-aws-operator-access.html)。任何 AWS 系統或人員都無法登入 Amazon EC2 Nitro 主機、存取 EC2 執行個體的記憶體,或存取存放在本機加密執行個體儲存體或遠端加密 Amazon EBS 磁碟區上的任何客戶資料。 若要處理高度敏感資料,您可能會考慮甚至阻止您自己的操作員存取 EC2 執行個體,藉此來限制該資料的存取權。 您可建立自訂可驗證的 AMI,且設定為提供隔離式運算環境。AMI 組態視乎工作負載及應用程式需求而定。在建置您的 AMI 以建立隔離式運算環境時,考慮這些最佳實務。 + **移除全部互動式存取權**,以便阻止操作員或使用者存取執行個體。 + 確認 AMI 中**僅包括可信軟體與程式碼**。 + 在執行個體內**設定網路防火牆**以封鎖存取權。 + 確認所有儲存體與檔案系統的**唯讀與不可變狀態**。 + **限制執行個體存取**為經驗證、授權及記錄的 API 呼叫。