Amazon DevOps 大師中的數據保護 - Amazon DevOps 大師
資料加密 DevOps大師如何使用贈款 AWS KMS在 DevOps Guru 中監控您的加密金鑰建立客戶受管金鑰流量隱私權

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

Amazon DevOps 大師中的數據保護

AWS 共同責任模型適用於 Amazon DevOps Guru 中的資料保護。如此模型中所述, AWS 負責保護執行所有 AWS 雲端. 您負責維護在此基礎設施上託管內容的控制權。您也同時負責所使用 AWS 服務 的安全組態和管理任務。如需資料隱私權的詳細資訊,請參閱資料隱私權常見問答集如需有關歐洲資料保護的相關資訊,請參閱 AWS 安全性部落格上的 AWS 共同的責任模型和 GDPR 部落格文章。

基於資料保護目的,我們建議您使用 AWS IAM Identity Center 或 AWS Identity and Access Management (IAM) 保護 AWS 帳戶 登入資料並設定個別使用者。如此一來,每個使用者都只會獲得授與完成其任務所必須的許可。我們也建議您採用下列方式保護資料:

  • 每個帳戶均要使用多重要素驗證 (MFA)。

  • 使用 SSL/TLS 與 AWS 資源進行通訊。我們需要 TLS 1.2 並建議使用 TLS 1.3。

  • 使用設定 API 和使用者活動記錄 AWS CloudTrail。

  • 使用 AWS 加密解決方案以及其中的所有默認安全控制 AWS 服務。

  • 使用進階的受管安全服務 (例如 Amazon Macie),協助探索和保護儲存在 Amazon S3 的敏感資料。

  • 如果您在透過命令列介面或 API 存取時需要經 AWS 過 FIPS 140-2 驗證的加密模組,請使用 FIPS 端點。如需有關 FIPS 和 FIPS 端點的更多相關資訊,請參閱聯邦資訊處理標準 (FIPS) 140-2 概觀

我們強烈建議您絕對不要將客戶的電子郵件地址等機密或敏感資訊,放在標籤或自由格式的文字欄位中,例如名稱欄位。這包括當您 AWS 服務 使用控制台,API 或 AWS SDK 與 DevOps Guru 或其他人一起工作時。 AWS CLI您在標籤或自由格式文字欄位中輸入的任何資料都可能用於計費或診斷日誌。如果您提供外部伺服器的 URL,我們強烈建議請勿在驗證您對該伺服器請求的 URL 中包含憑證資訊。

DevOps大師中的數據加密

加密是 DevOps Guru 安全性的重要組成部分。某些加密 (例如傳輸中的資料) 是預設提供的,不需要您執行任何動作。其他加密,例如靜態資料,您可以在建立專案或建置時進行設定。

  • 輸中的資料加密:客戶與 DevOps Guru 之間以及 Guru 與其下游相依性之間 DevOps的所有通訊均使用 TLS 保護,並使用簽名版本 4 簽署程序進行驗證。所有 DevOps Guru 端點都使用由 AWS Private Certificate Authority. 如需詳細資訊,請參閱簽章版本 4 簽署程序什麼是 ACM PCA

  • 靜態資料加密:對於 DevOps Guru 分析的所有 AWS 資源,Amazon CloudWatch 指標和資料、資源 ID 和 AWS CloudTrail 事件均使用 Amazon S3、Amazon DynamoDB 和 Amazon Kinesis 存放。如果 AWS CloudFormation 堆棧用於定義分析的資源,則也會收集堆棧數據。 DevOps大師使用 Amazon S3、DynamoDB 和 Kinesis 的資料保留政策。Kinesis 中儲存的資料最多可保留一年,並視原則設定而定。存放在 Amazon S3 和 DynamoDB 中的資料會存放一年。

    存放的資料會使用 Amazon S3、DynamoDB 和 Kinesis 的 data-at-rest 加密功能進行加密。

    客戶受管金鑰: DevOpsGuru 支援加密客戶內容和敏感中繼資料,例如使用客戶管理金鑰 CloudWatch 記錄檔產生的異常狀況。此功能可讓您選擇新增自我管理的安全層,協助您符合組織的法規遵循與法規要求。如需在 DevOps Guru 設定中啟用客戶管理金鑰的相關資訊,請參閱更新中的加密設定DevOps老師

    您可以完全控制此層加密,因此能執行以下任務:

    • 建立和維護金鑰政策

    • 建立和維護 IAM 政策和授予操作

    • 啟用和停用金鑰政策

    • 輪換金鑰密碼編譯資料

    • 新增標籤

    • 建立金鑰別名

    • 安排金鑰供刪除

    如需詳細資訊,請參閱 AWS Key Management Service 開發人員指南中的客戶管理金鑰

    注意

    DevOpsGuru 使用 AWS 擁有的金鑰自動啟用靜態加密,以免費保護敏感的中繼資料。但是,使用客戶管理的金鑰需要 AWS KMS 支付費用。如需有關定價的詳細資訊,請參閱定 AWS Key Management Service 價。

DevOps大師如何使用贈款 AWS KMS

DevOpsGuru 需要授權才能使用您的客戶管理密鑰。

當您選擇使用客戶管理的金鑰啟用加密時, DevOpsGuru 會將 CreateGrant 要求傳送至,以代表您建立授權 AWS KMS。中的贈款 AWS KMS 用於授予 DevOps Guru 對客戶帳戶中 AWS KMS 密鑰的訪問權限。

DevOpsGuru 需要授權,才能使用您的客戶管理密鑰進行以下內部操作:

  • 傳送 DescribeKey AWS KMS 要求,以確認建立追蹤器或地理圍欄集合時所輸入的對稱客戶受管 KMS 金鑰 ID 是否有效。

  • 傳送 GenerateDataKey 要求 AWS KMS 以產生由客戶管理金鑰加密的資料金鑰。

  • 發送解密請求 AWS KMS 以解密加密的數據密鑰,以便將其用於加密您的數據。

您可以隨時撤銷授予的存取權,或移除服務對客戶受管金鑰的存取權。如果您這樣做, DevOpsGuru 將無法存取客戶管理金鑰加密的任何資料,這會影響依賴該資料的作業。例如,如果您嘗試取得 DevOps Guru 無法存取的加密記錄異常資訊,則作業會傳回錯 AccessDeniedException 誤。

在 DevOps Guru 中監控您的加密金鑰

當您將 AWS KMS 客戶受管金鑰與 DevOps Guru 資源搭配使用時,您可以使用 AWS CloudTrail 或 CloudWatch Logs 來追蹤 DevOps Guru 傳送的要求 AWS KMS。

建立客戶受管金鑰

您可以使用 AWS Management Console 或 AWS KMS API 建立對稱的客戶管理金鑰。

若要建立對稱的客戶受管金鑰,請參閱建立對稱加密 KMS 金鑰。

金鑰政策

金鑰政策會控制客戶受管金鑰的存取權限。每個客戶受管金鑰都必須只有一個金鑰政策,其中包含決定誰可以使用金鑰及其使用方式的陳述式。在建立客戶受管金鑰時,可以指定金鑰政策。如需詳細資訊,請參閱 AWS Key Management Service 開發人員指南 AWS KMS中的驗證和存取控制

若要將您的客戶管理金鑰與 DevOps Guru 資源搭配使用,必須在金鑰政策中允許下列 API 作業:

  • kms:CreateGrant:新增客戶受管金鑰的授權。授予對指定 AWS KMS 金鑰的控制權限,允許存取權授與 DevOps Guru 所需的作業。如需使用授權的詳細資訊,請參閱開 AWS Key Management Service 發人員指南。

這允許 DevOps Guru 執行以下操作:

  • 呼叫生成 GenerateDataKey 加密的數據密鑰並將其存儲,因為數據密鑰不會立即用於加密。

  • 呼叫解密以使用已儲存的加密資料金鑰存取加密資料。

  • 設定退休本金以允許服務。 RetireGrant

  • 使用 kms:DescribeKey 提供客戶管理的金鑰詳細資料,以允許 DevOps Guru 驗證金鑰。

下列陳述式包含您可以為 DevOps Guru 新增的政策陳述式範例:

  "Statement" : [ 
    {
      "Sid" : "Allow access to principals authorized to use DevOps Guru",
      "Effect" : "Allow",
      "Principal" : {
        "AWS" : "*"
      },
      "Action" : [ 
        "kms:DescribeKey", 
        "kms:CreateGrant"
      ],
      "Resource" : "*",
      "Condition" : {
        "StringEquals" : {
          "kms:ViaService" : "devops-guru.Region.amazonaws.com",
          "kms:CallerAccount" : "111122223333"
        }
    },
    {
      "Sid": "Allow access for key administrators",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::111122223333:root"
       },
      "Action" : [ 
        "kms:*"
       ],
      "Resource": "arn:aws:kms:region:111122223333:key/key_ID"
    },
    {
      "Sid" : "Allow read-only access to key metadata to the account",
      "Effect" : "Allow",
      "Principal" : {
        "AWS" : "arn:aws:iam::111122223333:root"
      },
      "Action" : [ 
        "kms:Describe*",
        "kms:Get*",
        "kms:List*"
      ],
      "Resource" : "*"
    }
  ]

流量隱私權

您可以將 DevOps Guru 設定為使用介面 VPC 端點,以改善資源分析和洞察產生的安全性。若要執行此動作,您不需要網際網路閘道、NAT 裝置或虛擬私有閘道。它也不需要配置 PrivateLink,雖然這是建議的。如需詳細資訊,請參閱 DevOps大師和介面 VPC 端點 ()AWS PrivateLink。如需PrivateLink 和 VPC 端點的詳細資訊,請參閱AWS PrivateLink透過 PrivateLink存取 AWS 服務