本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# AWS App Studio 的安全性
的雲端安全性 AWS 是最高優先順序。身為 AWS 客戶,您可以受益於資料中心和網路架構,這些架構專為滿足最安全敏感組織的需求而建置。
安全性是 AWS 與您之間的共同責任。[共同責任模型](https://aws.amazon.com/compliance/shared-responsibility-model/) 將此描述為雲端*的*安全和雲端*內*的安全:
+ **雲端的安全性** – AWS 負責保護在 AWS Cloud 中執行 AWS 服務的基礎設施。 AWS 也為您提供可安全使用的服務。第三方稽核人員定期檢測及驗證安全的效率也是我們 [AWS 合規計劃](https://aws.amazon.com/compliance/programs/)的一部分。若要了解適用於 App Studio 的合規計劃,請參閱[AWS 合規計劃範圍內的服務](https://aws.amazon.com/compliance/services-in-scope/)。
+ **雲端的安全性** – 您的責任取決於您使用 AWS 的服務。您也必須對資料敏感度、組織要求,以及適用法律和法規等其他因素負責。
本文件將協助您了解如何在使用 App Studio 時套用共同責任模型。下列主題說明如何設定 App Studio 以符合您的安全與合規目標。您也將了解如何使用其他 AWS 服務,協助您監控和保護 App Studio 資源。
**Topics**
+ [安全考量和緩解措施](security-considerations-and-mitigations.md)
+ [AWS App Studio 中的資料保護](data-protection.md)
+ [AWS App Studio 和 AWS Identity and Access Management (IAM)](security-iam.md)
+ [AWS App Studio 的合規驗證](compliance-validation.md)
+ [AWS App Studio 中的彈性](disaster-recovery-resiliency.md)
+ [AWS App Studio 中的基礎設施安全](infrastructure-security.md)
+ [AWS App Studio 中的組態和漏洞分析](vulnerability-analysis-and-management.md)
+ [預防跨服務混淆代理人](cross-service-confused-deputy-prevention.md)
+ [AWS App Studio 中的跨區域資料傳輸](cross-region-data-transfer.md)
# 安全考量和緩解措施
## 安全考量
處理資料連接器、資料模型和已發佈的應用程式時,會出現與資料暴露、存取控制和潛在漏洞相關的幾個安全問題。下列清單包含主要安全問題。
### IAM 角色組態不當
資料連接器的 IAM 角色組態不正確可能會導致未經授權的存取和資料外洩。授予對資料連接器 IAM 角色過度寬鬆的存取權,可以允許未經授權的使用者存取和修改敏感資料。
### 使用 IAM 角色來執行資料操作
由於 App Studio 應用程式的最終使用者會擔任連接器組態中提供的 IAM 角色來執行動作,因此這些最終使用者可能會存取他們通常無法存取的資料。
### 刪除已發佈應用程式的資料連接器
刪除資料連接器時,不會自動從已使用該連接器的已發佈應用程式中移除相關聯的秘密登入資料。在此案例中,如果應用程式已使用特定連接器發佈,且其中一個連接器已從 App Studio 中刪除,則已發佈的應用程式將繼續使用先前儲存的連接器憑證。請務必注意,即使連接器刪除,已發佈的應用程式仍會保持不受影響和運作。
### 編輯已發佈應用程式上的資料連接器
編輯資料連接器時,變更不會自動反映在使用該連接器的已發佈應用程式中。如果應用程式已使用特定連接器發佈,且在 App Studio 中修改其中一個連接器,則發佈的應用程式將繼續使用先前儲存的連接器組態和登入資料。若要納入更新的連接器變更,必須重新發佈應用程式。在應用程式重新發佈之前,它將保持不正確且不運作,或不受影響和運作,但不會反映最新的連接器修改。
## 安全風險緩解建議
本節列出緩解建議,以避免先前安全考量章節中詳述的安全風險。
1. **適當的 IAM 角色組態:**確保資料連接器的 IAM 角色已正確設定最低權限原則,以防止未經授權的存取和資料外洩。
1. **受限應用程式存取:**僅與有權檢視或對應用程式資料執行動作的使用者共用您的應用程式。
1. **應用程式發佈:**確保每當連接器更新或刪除時,應用程式都會重新發佈。
# AWS App Studio 中的資料保護
AWS [共同責任模型](https://aws.amazon.com/compliance/shared-responsibility-model/)適用於 AWS App Studio 中的資料保護。如此模型所述, AWS 負責保護執行所有 的全域基礎設施 AWS 雲端。您負責維護在此基礎設施上託管內容的控制權。您也同時負責所使用 AWS 服務 的安全組態和管理任務。如需資料隱私權的詳細資訊,請參閱[資料隱私權常見問答集](https://aws.amazon.com/compliance/data-privacy-faq/)。如需有關歐洲資料保護的相關資訊,請參閱*AWS 安全性部落格*上的[AWS 共同責任模型和 GDPR](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) 部落格文章。
基於資料保護目的,我們建議您保護 AWS 帳戶 登入資料,並使用 AWS IAM Identity Center 或 AWS Identity and Access Management (IAM) 設定個別使用者。如此一來,每個使用者都只會獲得授與完成其任務所必須的許可。我們也建議您採用下列方式保護資料:
+ 每個帳戶均要使用多重要素驗證 (MFA)。
+ 使用 SSL/TLS 與 AWS 資源通訊。我們需要 TLS 1.2 並建議使用 TLS 1.3。
+ 使用 設定 API 和使用者活動記錄 AWS CloudTrail。如需有關使用 CloudTrail 追蹤擷取 AWS 活動的資訊,請參閱*AWS CloudTrail 《 使用者指南*》中的[使用 CloudTrail 追蹤](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html)。
+ 使用 AWS 加密解決方案,以及其中的所有預設安全控制 AWS 服務。
+ 使用進階的受管安全服務 (例如 Amazon Macie),協助探索和保護儲存在 Amazon S3 的敏感資料。
+ 如果您在 AWS 透過命令列界面或 API 存取 時需要 FIPS 140-3 驗證的密碼編譯模組,請使用 FIPS 端點。如需有關 FIPS 和 FIPS 端點的更多相關資訊,請參閱[聯邦資訊處理標準 (FIPS) 140-3](https://aws.amazon.com/compliance/fips/)。
我們強烈建議您絕對不要將客戶的電子郵件地址等機密或敏感資訊,放在標籤或自由格式的文字欄位中,例如**名稱**欄位。這包括當您使用 AWS App Studio 或使用主控台、API AWS CLI或 AWS SDKs的其他 AWS 服務 時。您在標籤或自由格式文字欄位中輸入的任何資料都可能用於計費或診斷日誌。如果您提供外部伺服器的 URL,我們強烈建議請勿在驗證您對該伺服器請求的 URL 中包含憑證資訊。
## 資料加密
App Studio 透過加密靜態和傳輸中的資料,安全地存放和傳輸資料。
### 靜態加密
靜態加密是指在存放時對資料進行加密,以保護您的資料免受未經授權的存取。App Studio 預設會使用 AWS KMS 金鑰提供靜態加密,您不需要為靜態資料加密進行任何額外的組態。
App Studio 會為您的應用程式安全地存放下列資料:原始碼、建置成品、中繼資料和許可資訊。
使用以 AWS KMS 客戶受管金鑰 (CMK) 加密的資料來源時,App Studio 資源會繼續使用 AWS 受管金鑰加密,而加密資料來源中的資料則會由 CMK 加密。如需在 App Studio 應用程式中使用加密資料來源的詳細資訊,請參閱 [搭配 CMKs 使用加密的資料來源](encrypted-data-cmk.md)。
App Studio 使用 Amazon CloudFront 為您的使用者提供應用程式。CloudFront 使用了適用於節點連接點 (POP) 加密的 SSD 和區域邊緣快取 (REC) 加密的 EBS 磁碟區。CloudFront Functions 中的函數程式碼和組態始終以加密格式儲存在節點 POP 上的加密 SSD 中,以及 CloudFront 使用的其他儲存位置中。
## 傳輸中加密
傳輸中的加密指的是保護您的資料免於在通訊端點間移動時遭到攔截。App Studio 預設為傳輸中的資料提供加密。客戶與 App Studio 之間,以及 App Studio 與其下游相依性之間的所有通訊,都會使用使用 Signature 第 4 版簽署程序簽署的 TLS 連線進行保護。所有 App Studio 端點都使用由 AWS Certificate Manager 私有憑證授權單位管理的 SHA-256 憑證。
## 金鑰管理
App Studio 不支援管理加密金鑰。
## 網際網路流量隱私權
當您在 App Studio 中建立執行個體時,您可以選擇存放該執行個體 AWS 資料和資源的區域。應用程式建置成品和中繼資料永遠不會離開該 AWS 區域。
不過,請注意下列資訊:
+ 由於 App Studio 使用 Amazon CloudFront 為您的應用程式提供服務,並使用 Lambda@Edge 來管理應用程式的身分驗證,因此從 CloudFront 節點存取一組有限的身分驗證資料、授權資料、應用程式中繼資料,這些位置可能位於不同的區域。
+ AWS App Studio 跨 AWS 區域傳輸資料,以在服務中啟用特定生成式 AI 功能。如需跨區域資料傳輸啟用的功能、跨區域移動的資料類型,以及如何選擇退出的詳細資訊,請參閱 [AWS App Studio 中的跨區域資料傳輸](cross-region-data-transfer.md)。
# AWS App Studio 和 AWS Identity and Access Management (IAM)
在 AWS App Studio 中,您可以透過將 IAM Identity Center 中的群組指派給 App Studio 中的適當角色,來管理服務的存取和許可。群組成員的許可取決於指派的角色,而不是直接在 AWS Identity and Access Management (IAM) 中設定使用者、角色或許可。如需在 App Studio 中管理存取和許可的詳細資訊,請參閱 [在 App Studio 中管理存取和角色](managing-access-and-roles.md)。
App Studio 在驗證執行個體進行計費時,以及連線到 AWS 帳戶以建立和使用該 AWS 帳戶中的資源時,會與 IAM 整合。如需將 App Studio 連線至其他 AWS 服務以在應用程式中使用的資訊,請參閱 [連線至 AWS 服務](add-connector-services.md)。
當您在 App Studio 中建立執行個體時,您必須連接 AWS 帳戶做為執行個體的帳單和管理帳戶。為了啟用關鍵功能,App Studio 也會建立 [IAM 服務角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html#id_roles_terms-and-concepts),為服務提供必要的許可,以代表您執行任務。
AWS Identity and Access Management (IAM) 是 AWS 服務 ,可協助管理員安全地控制對 AWS 資源的存取。IAM 管理員可控制誰可以*進行身分驗證* (登入) 和*授權* (具有許可) 來使用 App Studio 資源。IAM 是您可以免費使用 AWS 服務 的 。
**Topics**
+ [App Studio 的身分型政策](#security_iam_service-with-iam-id-based-policies)
+ [App Studio 中的資源型政策](#security_iam_service-with-iam-resource-based-policies)
+ [App Studio 的政策動作](#security_iam_service-with-iam-id-based-policies-actions)
+ [App Studio 的政策資源](#security_iam_service-with-iam-id-based-policies-resources)
+ [App Studio 的政策條件索引鍵](#security_iam_service-with-iam-id-based-policies-conditionkeys)
+ [App Studio ACLs](#security_iam_service-with-iam-acls)
+ [ABAC 搭配 App Studio](#security_iam_service-with-iam-tags)
+ [搭配 App Studio 使用臨時登入資料](#security_iam_service-with-iam-roles-tempcreds)
+ [App Studio 的跨服務主體許可](#security_iam_service-with-iam-principal-permissions)
+ [App Studio 的服務角色](#security_iam_service-with-iam-roles-service)
+ [App Studio 的服務連結角色](#security_iam_service-with-iam-roles-service-linked)
+ [AWS AWS App Studio 的 受管政策](security-iam-awsmanpol.md)
+ [App Studio 的服務連結角色](appstudio-service-linked-roles.md)
+ [AWS App Studio 的身分型政策範例](security_iam_id-based-policy-examples.md)
在您使用 IAM 管理 App Studio 的存取權之前,請先了解哪些 IAM 功能可與 App Studio 搭配使用。
**您可以搭配 AWS App Studio 使用的 IAM 功能**
| IAM 功能 | App Studio 支援 |
| --- | --- |
| [身分型政策](#security_iam_service-with-iam-id-based-policies) | 是 |
| [資源型政策](#security_iam_service-with-iam-resource-based-policies) | 否 |
| [政策動作](#security_iam_service-with-iam-id-based-policies-actions) | 是 |
| [政策資源](#security_iam_service-with-iam-id-based-policies-resources) | 是 |
| [政策條件索引鍵](#security_iam_service-with-iam-id-based-policies-conditionkeys) | 否 |
| [ACL](#security_iam_service-with-iam-acls) | 否 |
| [ABAC(政策中的標籤)](#security_iam_service-with-iam-tags) | 否 |
| [臨時憑證](#security_iam_service-with-iam-roles-tempcreds) | 是 |
| [主體許可](#security_iam_service-with-iam-principal-permissions) | 是 |
| [服務角色](#security_iam_service-with-iam-roles-service) | 是 |
| [服務連結角色](#security_iam_service-with-iam-roles-service-linked) | 是 |
若要全面了解 App Studio 和其他 AWS 服務如何與大多數 IAM 功能搭配使用,請參閱《[AWS IAM 使用者指南》中的與 IAM 搭配使用的 服務](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)。 **
## App Studio 的身分型政策
**支援身分型政策:**是
身分型政策是可以附加到身分 (例如 IAM 使用者、使用者群組或角色) 的 JSON 許可政策文件。這些政策可控制身分在何種條件下能對哪些資源執行哪些動作。如需了解如何建立身分型政策,請參閱《*IAM 使用者指南*》中的[透過客戶管理政策定義自訂 IAM 許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html)。
使用 IAM 身分型政策,您可以指定允許或拒絕的動作和資源,以及在何種條件下允許或拒絕動作。如要了解您在 JSON 政策中使用的所有元素,請參閱《*IAM 使用者指南*》中的 [IAM JSON 政策元素參考](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html)。
### App Studio 的身分型政策範例
若要檢視 App Studio 身分型政策的範例,請參閱 [AWS App Studio 的身分型政策範例](security_iam_id-based-policy-examples.md)。
## App Studio 中的資源型政策
**支援資源型政策:**否
資源型政策是附加到資源的 JSON 政策文件。資源型政策的最常見範例是 IAM *角色信任政策*和 Amazon S3 *儲存貯體政策*。在支援資源型政策的服務中,服務管理員可以使用它們來控制對特定資源的存取權限。對於附加政策的資源,政策會定義指定的主體可以對該資源執行的動作以及在何種條件下執行的動作。您必須在資源型政策中[指定主體](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html)。委託人可以包含帳戶、使用者、角色、聯合身分使用者或 AWS 服務。
如需啟用跨帳戶存取權,您可以在其他帳戶內指定所有帳戶或 IAM 實體作為資源型政策的主體。如需詳細資訊,請參閱《*IAM 使用者指南*》中的 [IAM 中的快帳戶資源存取](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html)。
## App Studio 的政策動作
**支援政策動作:**是
管理員可以使用 AWS JSON 政策來指定誰可以存取內容。也就是說,哪個**主體**在什麼**條件**下可以對什麼**資源**執行哪些**動作**。
JSON 政策的 `Action` 元素描述您可以用來允許或拒絕政策中存取的動作。政策會使用動作來授予執行相關聯動作的許可。
若要查看 App Studio 動作清單,請參閱*服務授權參考*中的 [AWS App Studio 定義的動作](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awsappstudio.html#awsappstudio-actions-as-permissions)。
App Studio 中的政策動作在動作之前使用以下字首:
```
appstudio
```
若要在單一陳述式中指定多個動作,請用逗號分隔。
```
"Action": [
"appstudio:action1",
"appstudio:action2"
]
```
下列陳述式列出 App Studio 中的所有動作:
## App Studio 的政策資源
**支援政策資源:**是
App Studio 許可僅支援政策 `Resource`元素中的萬用字元 (`*`)。
## App Studio 的政策條件索引鍵
**支援服務特定政策條件金鑰:**否
App Studio 不支援政策條件索引鍵。
## App Studio ACLs
**支援 ACL:**否
存取控制清單 (ACL) 可控制哪些主體 (帳戶成員、使用者或角色) 擁有存取某資源的許可。ACL 類似於資源型政策,但它們不使用 JSON 政策文件格式。
## ABAC 搭配 App Studio
**支援 ABAC (政策中的標籤):**否
App Studio 不支援屬性型存取控制 (ABAC)。
## 搭配 App Studio 使用臨時登入資料
**支援臨時憑證:**是
臨時登入資料提供對 AWS 資源的短期存取,並在您使用聯合或切換角色時自動建立。 AWS 建議您動態產生臨時登入資料,而不是使用長期存取金鑰。如需詳細資訊,請參閱《*IAM 使用者指南*》中的 [IAM 中的臨時安全憑證](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html)與[可與 IAM 搭配運作的AWS 服務](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)。
## App Studio 的跨服務主體許可
**支援轉寄存取工作階段 (FAS):**是
轉送存取工作階段 (FAS) 使用呼叫 的委託人許可 AWS 服務,並結合 AWS 服務 請求向下游服務提出請求。如需提出 FAS 請求時的政策詳細資訊,請參閱[轉發存取工作階段](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html)。
## App Studio 的服務角色
**支援服務角色:**是
服務角色是服務擔任的 [IAM 角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html),可代您執行動作。IAM 管理員可以從 IAM 內建立、修改和刪除服務角色。如需詳細資訊,請參閱《*IAM 使用者指南*》中的[建立角色以委派許可給 AWS 服務](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html)。
AWS App Studio 對某些功能使用 [IAM 服務角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html#id_roles_terms-and-concepts),以授予 App Studio 代表您執行任務的許可。當您設定 App Studio 時,主控台會自動為支援的功能建立服務角色。
**警告**
變更服務角色的許可可能會中斷 App Studio 功能。只有在 App Studio 提供指引時,才能編輯服務角色。
## App Studio 的服務連結角色
**支援服務連結角色:**是
服務連結角色是連結至 的一種服務角色 AWS 服務。服務可以擔任代表您執行動作的角色。服務連結角色會出現在您的 中 AWS 帳戶 ,並由服務擁有。IAM 管理員可以檢視,但不能編輯服務連結角色的許可。
如需建立或管理服務連結角色的詳細資訊,請參閱[可搭配 IAM 運作的AWS 服務](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)。在資料表中尋找服務,其中包含**服務連結角色**欄中的 `Yes`。選擇**是**連結,以檢視該服務的服務連結角色文件。
# AWS AWS App Studio 的 受管政策
若要新增許可給使用者、群組和角色,使用 AWS 受管政策比自行撰寫政策更容易。建立 [IAM 客戶受管政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html)需要時間和專業知識,而受管政策可為您的團隊提供其所需的許可。若要快速開始使用,您可以使用我們的 AWS 受管政策。這些政策涵蓋常見的使用案例,並可在您的 AWS 帳戶中使用。如需 AWS 受管政策的詳細資訊,請參閱《*IAM 使用者指南*》中的 [AWS 受管政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)。
AWS 服務會維護和更新 AWS 受管政策。您無法變更 AWS 受管政策中的許可。服務偶爾會在 AWS 受管政策中新增其他許可以支援新功能。此類型的更新會影響已連接政策的所有身分識別 (使用者、群組和角色)。當新功能啟動或新操作可用時,服務很可能會更新 AWS 受管政策。服務不會從 AWS 受管政策中移除許可,因此政策更新不會破壞您現有的許可。
此外, AWS 支援跨多個 服務之任務函數的受管政策。例如,**ReadOnlyAccess** AWS 受管政策提供所有 AWS 服務和資源的唯讀存取權。當服務啟動新功能時, 會為新操作和資源 AWS 新增唯讀許可。如需任務職能政策的清單和說明,請參閱 *IAM 使用者指南*中[有關任務職能的AWS 受管政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html)。
## AWS 受管政策:AppStudioServiceRolePolicy
您不得將 `AppStudioServiceRolePolicy` 連接到 IAM 實體。此政策會連接到服務連結角色,允許 App Studio 代表您執行動作。如需詳細資訊,請參閱[App Studio 的服務連結角色](appstudio-service-linked-roles.md)。
此政策會授予許可,允許服務連結角色管理 AWS 資源。
### 許可詳細資訊
此政策包含執行以下動作的許可:
+ `logs` - 建立 CloudWatch 日誌群組和日誌串流。也提供在這些日誌群組和串流中建立日誌事件的許可。
+ `secretsmanager` - 建立、讀取、更新和刪除由 App Studio 管理的受管秘密。
+ `sso` - 擷取應用程式執行個體。
+ `sso-directory` - 擷取使用者的相關資訊,並擷取群組中的成員清單。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AppStudioResourcePermissionsForCloudWatch",
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:PutLogEvents"
],
"Resource": [
"arn:aws:logs:*:*:log-group:/aws/appstudio/*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "AppStudioResourcePermissionsForSecretsManager",
"Effect": "Allow",
"Action": [
"secretsmanager:CreateSecret",
"secretsmanager:DeleteSecret",
"secretsmanager:DescribeSecret",
"secretsmanager:GetSecretValue",
"secretsmanager:PutSecretValue",
"secretsmanager:UpdateSecret",
"secretsmanager:TagResource"
],
"Resource": "arn:aws:secretsmanager:*:*:secret:appstudio-*",
"Condition": {
"ForAllValues:StringEquals": {
"aws:TagKeys": [
"IsAppStudioSecret"
]
},
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}",
"aws:ResourceTag/IsAppStudioSecret": "true"
}
}
},
{
"Sid": "AppStudioResourcePermissionsForManagedSecrets",
"Effect": "Allow",
"Action": [
"secretsmanager:DeleteSecret",
"secretsmanager:DescribeSecret",
"secretsmanager:GetSecretValue",
"secretsmanager:PutSecretValue",
"secretsmanager:UpdateSecret"
],
"Resource": "arn:aws:secretsmanager:*:*:secret:appstudio!*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}",
"secretsmanager:ResourceTag/aws:secretsmanager:owningService": "appstudio"
}
}
},
{
"Sid": "AppStudioResourceWritePermissionsForManagedSecrets",
"Effect": "Allow",
"Action": [
"secretsmanager:CreateSecret"
],
"Resource": "arn:aws:secretsmanager:*:*:secret:appstudio!*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "AppStudioResourcePermissionsForSSO",
"Effect": "Allow",
"Action": [
"sso:GetManagedApplicationInstance",
"sso-directory:DescribeUsers",
"sso-directory:ListMembersInGroup"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
}
]
}
```
------
## AWS 受管政策的 App Studio 更新
檢視自此服務開始追蹤這些變更以來,App Studio AWS 受管政策更新的詳細資訊。
| 變更 | 描述 | Date |
| --- | --- | --- |
| [AppStudioServiceRolePolicy](#security-iam-awsmanpol-appstudioservicerolepolicy) – 更新至現有政策 | App Studio 新增了允許管理 App Studio 受管秘密的許可 AWS Secrets Manager。 | 2025 年 3 月 14 日 |
| App Studio 開始追蹤變更 | App Studio 開始追蹤其 AWS 受管政策的變更。 | 2024 年 6 月 28 日 |
# App Studio 的服務連結角色
App Studio 使用 [AWS Identity and Access Management (IAM) 服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html)。服務連結角色是直接連結至 App Studio 的唯一 IAM 角色類型。服務連結角色由 App Studio 預先定義,並包含該服務代表您呼叫其他 AWS 服務所需的所有許可。
服務連結角色可讓您更輕鬆地設定 App Studio,因為您不必手動新增必要的許可。App Studio 定義其服務連結角色的許可,除非另有定義,否則只有 App Studio 可以擔任其角色。定義的許可包括信任政策和許可政策,且該許可政策無法附加至其他 IAM 實體。
您必須先刪除服務連結角色的相關資源,才能將其刪除。這可保護您的 App Studio 資源,因為您不會不小心移除存取資源的許可。
**Topics**
+ [App Studio 的服務連結角色許可](#slr-permissions)
+ [為 App Studio 建立服務連結角色](#create-slr)
+ [編輯 App Studio 的服務連結角色](#edit-slr)
+ [刪除 App Studio 的服務連結角色](#delete-slr)
## App Studio 的服務連結角色許可
App Studio 使用名為 的服務連結角色`AWSServiceRoleForAppStudio`。這是 App Studio 持續管理 AWS 服務以維護應用程式建置體驗所需的服務連結角色。
`AWSServiceRoleForAppStudio` 服務連結角色使用以下僅信任`appstudio-service.amazonaws.com`服務的信任政策:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "appstudio-service.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
針對許可,`AWSServiceRoleForAppStudio`服務連結角色會提供下列服務的許可:
+ Amazon CloudWatch:傳送 App Studio 用量的日誌和指標。
+ AWS Secrets Manager:管理 App Studio 中連接器的登入資料,用於將應用程式連線至其他 服務。
+ IAM Identity Center:唯讀存取以管理使用者存取。
具體而言,透過 授予的許可`AWSServiceRoleForAppStudio`是由連接的 `AppStudioServiceRolePolicy` 受管政策所定義。如需 受管政策的詳細資訊,包括其包含的許可,請參閱 [AWS 受管政策:AppStudioServiceRolePolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-appstudioservicerolepolicy)。
## 為 App Studio 建立服務連結角色
您不需要手動建立服務連結角色,當您建立 App Studio 執行個體時,App Studio 會為您建立服務連結角色。
如果您刪除此服務連結角色,建議您建立 App Studio 執行個體,以便為您自動建立另一個執行個體。
雖然不是不必要的,但您也可以使用 IAM 主控台 AWS CLI 或建立服務連結角色,方法是使用`appstudio-service.amazonaws.com`服務名稱建立服務連結角色,如先前顯示的信任政策程式碼片段所示。如需詳細資訊,請參閱《IAM 使用者指南》**中的「[建立服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create-service-linked-role.html)」。
## 編輯 App Studio 的服務連結角色
App Studio 不允許您編輯`AWSServiceRoleForAppStudio`服務連結角色。因為可能有各種實體會參考服務連結角色,所以您無法在建立角色之後變更其名稱。然而,您可使用 IAM 來編輯角色描述。如需詳細資訊,請參閱《*IAM 使用者指南*》中的[編輯服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)。
## 刪除 App Studio 的服務連結角色
您不需要刪除`AWSServiceRoleForAppStudio`角色。當您刪除 App Studio 執行個體時,App Studio 會清除資源,並自動刪除服務連結角色。
雖然不建議,但您可以使用 IAM 主控台或 AWS CLI 來刪除服務連結角色。若要這樣做,您必須先清除服務連結角色的資源,然後才能將其刪除。
**注意**
如果 App Studio 在您嘗試刪除資源時使用角色,則刪除可能會失敗。若此情況發生,請等待數分鐘後並再次嘗試操作。
**使用 IAM 手動刪除服務連結角色**
1. 從 App Studio 執行個體刪除應用程式和連接器。
1. 使用 IAM 主控台、IAM CLI 或 IAM API 刪除 `AWSServiceRoleForAppStudio` 服務連結角色。如需詳細資訊,請參閱《*IAM 使用者指南*》中的[刪除服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)。
# AWS App Studio 的身分型政策範例
根據預設,使用者和角色沒有建立或修改 App Studio 資源的許可。若要授予使用者對其所需資源執行動作的許可,IAM 管理員可以建立 IAM 政策。
如需了解如何使用這些範例 JSON 政策文件建立 IAM 身分型政策,請參閱《*IAM 使用者指南*》中的[建立 IAM 政策 (主控台)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html)。
如需 App Studio 定義的動作和資源類型的詳細資訊,包括每種資源類型的 ARNs 格式,請參閱*服務授權參考*中的 [AWS App Studio 的動作、資源和條件金鑰](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awsappstudio.html)。
**Topics**
+ [政策最佳實務](#security_iam_service-with-iam-policy-best-practices)
+ [使用 App Studio 主控台](#security_iam_id-based-policy-examples-console)
+ [允許使用者檢視他們自己的許可](#security_iam_id-based-policy-examples-view-own-permissions)
+ [範例 1:允許使用者設定 App Studio 執行個體](#security_iam_id-based-policy-examples-set-up-appstudio-instance)
+ [範例 2:拒絕使用者設定 App Studio 執行個體](#security_iam_id-based-policy-examples-deny-set-up-appstudio-instance)
## 政策最佳實務
身分型政策會判斷您帳戶中的某個人員是否可以建立、存取或刪除 App Studio 資源。這些動作可能會讓您的 AWS 帳戶產生費用。當您建立或編輯身分型政策時,請遵循下列準則及建議事項:
+ **開始使用 AWS 受管政策並邁向最低權限許可** – 若要開始將許可授予您的使用者和工作負載,請使用將許可授予許多常見使用案例的 *AWS 受管政策*。它們可在您的 中使用 AWS 帳戶。我們建議您定義特定於使用案例 AWS 的客戶受管政策,以進一步減少許可。如需更多資訊,請參閱《*IAM 使用者指南*》中的 [AWS 受管政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)或[任務職能的AWS 受管政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html)。
+ **套用最低權限許可** – 設定 IAM 政策的許可時,請僅授予執行任務所需的許可。為實現此目的,您可以定義在特定條件下可以對特定資源採取的動作,這也稱為*最低權限許可*。如需使用 IAM 套用許可的更多相關資訊,請參閱《*IAM 使用者指南*》中的 [IAM 中的政策和許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html)。
+ **使用 IAM 政策中的條件進一步限制存取權** – 您可以將條件新增至政策,以限制動作和資源的存取。例如,您可以撰寫政策條件,指定必須使用 SSL 傳送所有請求。如果透過特定 例如 使用服務動作 AWS 服務,您也可以使用條件來授予其存取權 CloudFormation。如需詳細資訊,請參閱《*IAM 使用者指南*》中的 [IAM JSON 政策元素:條件](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)。
+ **使用 IAM Access Analyzer 驗證 IAM 政策,確保許可安全且可正常運作** – IAM Access Analyzer 驗證新政策和現有政策,確保這些政策遵從 IAM 政策語言 (JSON) 和 IAM 最佳實務。IAM Access Analyzer 提供 100 多項政策檢查及切實可行的建議,可協助您撰寫安全且實用的政策。如需詳細資訊,請參閱《*IAM 使用者指南*》中的[使用 IAM Access Analyzer 驗證政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html)。
+ **需要多重要素驗證 (MFA)** – 如果您的案例需要 IAM 使用者或 中的根使用者 AWS 帳戶,請開啟 MFA 以提高安全性。如需在呼叫 API 操作時請求 MFA,請將 MFA 條件新增至您的政策。如需詳細資訊,請參閱《*IAM 使用者指南*》中的[透過 MFA 的安全 API 存取](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html)。
如需 IAM 中最佳實務的相關資訊,請參閱《*IAM 使用者指南*》中的 [IAM 安全最佳實務](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)。
## 使用 App Studio 主控台
若要存取 AWS App Studio 主控台,您必須擁有一組最低許可。這些許可必須允許您列出和檢視 中 App Studio 資源的詳細資訊 AWS 帳戶。如果您建立比最基本必要許可更嚴格的身分型政策,則對於具有該政策的實體 (使用者或角色) 而言,主控台就無法如預期運作。
對於僅呼叫 AWS CLI 或 AWS API 的使用者,您不需要允許最低主控台許可。反之,只需允許存取符合他們嘗試執行之 API 操作的動作就可以了。
為了確保使用者和角色仍然可以使用 App Studio 主控台,請將 App Studio `ConsoleAccess`或 `ReadOnly` AWS 受管政策連接到實體。如需詳細資訊,請參閱《*IAM 使用者指南*》中的[新增許可到使用者](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console)。
## 允許使用者檢視他們自己的許可
此範例會示範如何建立政策,允許 IAM 使用者檢視附加到他們使用者身分的內嵌及受管政策。此政策包含在主控台或使用 或 AWS CLI AWS API 以程式設計方式完成此動作的許可。
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
## 範例 1:允許使用者設定 App Studio 執行個體
下列範例顯示以身分為基礎的政策,以允許角色設定 App Studio 執行個體。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": [
"appstudio:GetAccountStatus",
"appstudio:GetEnablementJobStatus",
"appstudio:StartEnablementJob",
"appstudio:StartRollbackEnablementJob",
"appstudio:StartTeamDeployment"
],
"Resource": "*"
}]
}
```
------
## 範例 2:拒絕使用者設定 App Studio 執行個體
下列範例顯示身分型政策,以拒絕角色設定 App Studio 執行個體。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Deny",
"Action": [
"appstudio:*"
],
"Resource": "*"
}]
}
```
------
# AWS App Studio 的合規驗證
若要了解 是否 AWS 服務 在特定合規計劃範圍內,請參閱[AWS 服務 合規計劃範圍內](https://aws.amazon.com/compliance/services-in-scope/)然後選擇您感興趣的合規計劃。如需一般資訊,請參閱[AWS 合規計劃](https://aws.amazon.com/compliance/programs/)。
您可以使用 下載第三方稽核報告 AWS Artifact。如需詳細資訊,請參閱[下載報告下載 AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html)。
您使用 時的合規責任 AWS 服務 取決於資料的機密性、您公司的合規目標,以及適用的法律和法規。如需使用 時合規責任的詳細資訊 AWS 服務,請參閱 [AWS 安全文件](https://docs.aws.amazon.com/security/)。
# AWS App Studio 中的彈性
AWS 全球基礎設施是以 AWS 區域 和 可用區域為基礎建置。 AWS 區域 提供多個實體分隔和隔離的可用區域,這些可用區域與低延遲、高輸送量和高備援聯網連接。透過可用區域,您可以設計與操作的應用程式和資料庫,在可用區域之間自動容錯移轉而不會發生中斷。可用區域的可用性、容錯能力和擴展能力,均較單一或多個資料中心的傳統基礎設施還高。
如需 AWS 區域 和可用區域的詳細資訊,請參閱 [AWS 全球基礎設施](https://aws.amazon.com/about-aws/global-infrastructure/)。
除了 AWS 全球基礎設施之外, AWS App Studio 還提供數種功能,以協助支援您的資料彈性和備份需求。
# AWS App Studio 中的基礎設施安全
作為受管服務, AWS App Studio 受到 [Amazon Web Services:安全程序概觀](https://d0.awsstatic.com/whitepapers/Security/AWS_Security_Whitepaper.pdf)白皮書中所述的 AWS 全球網路安全程序的保護。
您可以使用 AWS 發佈的 API 呼叫,透過網路存取 App Studio。用戶端必須至少支援 Transport Layer Security (TLS) 1.2,但建議使用 TLS 1.3。用戶端也必須支援具備完美轉送私密 (PFS) 的密碼套件,例如臨時 Diffie-Hellman (DHE) 或橢圓曲線臨時 Diffie-Hellman (ECDHE)。現代系統(如 Java 7 和更新版本)大多會支援這些模式。
此外,請求必須使用存取金鑰 ID 和與 IAM 主體相關聯的私密存取金鑰來簽署。或者,您可以透過 [AWS Security Token Service](https://docs.aws.amazon.com/STS/latest/APIReference/Welcome.html) (AWS STS) 來產生暫時安全憑證來簽署請求。
# AWS App Studio 中的組態和漏洞分析
組態和 IT 控制是客戶 AWS 與您之間的共同責任。如需詳細資訊,請參閱 AWS [共同的責任模型](https://aws.amazon.com/compliance/shared-responsibility-model/)。
# 預防跨服務混淆代理人
混淆代理人問題屬於安全性問題,其中沒有執行動作許可的實體可以強制具有更多許可的實體執行該動作。在 中 AWS,跨服務模擬可能會導致混淆代理人問題。在某個服務 (*呼叫服務*) 呼叫另一個服務 (*被呼叫服務*) 時,可能會發生跨服務模擬。可以操縱呼叫服務來使用其許可,以其不應有存取許可的方式對其他客戶的資源採取動作。為了預防這種情況, AWS 提供的工具可協助您保護所有服務的資料,而這些服務主體已獲得您帳戶中資源的存取權。
我們建議在資源政策中使用 [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn)和 [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount)全域條件內容索引鍵,以限制將另一個 服務提供給資源的許可。如果您想要僅允許一個資源與跨服務存取相關聯,則請使用 `aws:SourceArn`。如果您想要允許該帳戶中的任何資源與跨服務使用相關聯,請使用 `aws:SourceAccount`。
防範混淆代理人問題的最有效方法是使用 `aws:SourceArn` 全域條件內容索引鍵,以及資源的完整 ARN。如果不知道資源的完整 ARN,或者如果您指定了多個資源,請使用 `aws:SourceArn` 全域內容條件索引鍵搭配萬用字元 (`*`) 來表示 ARN 的未知部分。例如 `arn:aws:servicename:*:123456789012:*`。
如果 `aws:SourceArn` 值不包含帳戶 ID (例如 Amazon S3 儲存貯體 ARN),您必須使用這兩個全域條件內容索引鍵來限制許可。
`aws:SourceArn` 的值必須是 ResourceDescription。
下列範例示範如何在 中使用 `aws:SourceArn`和 `aws:SourceAccount`全域條件內容索引鍵,以防止混淆代理人問題。
# AWS App Studio 中的跨區域資料傳輸
AWS App Studio 跨 AWS 區域傳輸資料,以在服務中啟用特定生成式 AI 功能。本主題包含跨區域資料傳輸啟用的功能、跨區域移動的資料類型,以及如何選擇退出的相關資訊。
下列功能由跨區域資料傳輸啟用,如果您選擇退出,則無法在執行個體中存取:
1. 使用 AI 建立應用程式,透過自然語言描述您的應用程式並為您建立資源,來開始應用程式建置。
1. 應用程式工作室中的 AI 聊天,用於詢問有關應用程式建置、發佈和共用的問題。
下列資料會跨區域傳輸:
1. 來自上述功能的提示或使用者輸入。
若要選擇退出跨區域資料傳輸及其啟用的功能,請使用下列程序從主控台填寫選擇退出申請表:
1. 在 https://[https://console.aws.amazon.com/appstudio/](https://console.aws.amazon.com/appstudio/) 開啟 App Studio 主控台。
1. 選擇**選擇退出資料傳輸**。
1. 輸入 AWS 您的帳戶 ID,並提供您的電子郵件地址。
1. 選擇**提交**。
1. 提交後,系統會處理您選擇退出跨區域資料傳輸的請求,最多可能需要 60 天。