本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
Amazon 的資料保護 EBS
AWS 共同責任模型
為了資料保護目的,我們建議您保護 AWS 帳戶 憑證,並使用 AWS IAM Identity Center 或 AWS Identity and Access Management () 設定個別使用者IAM。如此一來,每個使用者都只會獲得授與完成其任務所必須的許可。我們也建議您採用下列方式保護資料:
-
對每個帳戶使用多重要素驗證 (MFA)。
-
使用 SSL/TLS 與 AWS 資源通訊。我們需要 TLS 1.2 和 建議 TLS 1.3。
-
使用 設定 API 和使用者活動記錄 AWS CloudTrail。如需使用 CloudTrail 線索擷取 AWS 活動的資訊,請參閱 AWS CloudTrail 使用者指南 中的使用 CloudTrail 線索。
-
使用 AWS 加密解決方案,以及 中的所有預設安全控制項 AWS 服務。
-
使用進階的受管安全服務 (例如 Amazon Macie),協助探索和保護儲存在 Amazon S3 的敏感資料。
-
如果您在 AWS 透過命令列介面或 FIPS 存取 時需要 140-3 個經過驗證的密碼編譯模組API,請使用 FIPS端點。如需可用FIPS端點的詳細資訊,請參閱聯邦資訊處理標準 (FIPS) 140-3
。
我們強烈建議您絕對不要將客戶的電子郵件地址等機密或敏感資訊,放在標籤或自由格式的文字欄位中,例如名稱欄位。這包括當您使用 Amazon EBS或其他 AWS 服務 主控台API AWS CLI、 或 時 AWS SDKs。您在標籤或自由格式文字欄位中輸入的任何資料都可能用於計費或診斷日誌。如果您將 URL提供給外部伺服器,強烈建議您在 中不要包含憑證資訊,URL以驗證您對該伺服器的請求。
Amazon EBS資料安全
Amazon EBS磁碟區會以原始、未格式化的區塊裝置呈現給您。這些裝置是在EBS基礎設施上建立的邏輯裝置,Amazon EBS服務可確保在客戶使用或重複使用裝置之前,裝置在邏輯上是空的 (即原始區塊歸零或包含密碼編譯虛擬隨機資料)。
如果您有程序要求在使用之後或之前使用特定方法清除所有資料 (或兩者),例如 DoD 5220.22-M (國家工業安全計畫操作手冊) 或 NIST 800-88 (媒體消毒準則),您可以在 Amazon 上執行此操作EBS。該區塊層級活動將向下反映至 Amazon EBS服務中的基礎儲存媒體。
靜態和傳輸中加密
Amazon EBS加密是一種加密解決方案,可讓您使用 AWS Key Management Service 密碼編譯金鑰加密 Amazon EBS磁碟區和 Amazon EBS快照。EBS 加密操作會在託管 Amazon EC2執行個體的伺服器上進行,確保執行個體data-at-rest及其連接磁碟區和任何後續快照data-in-transit之間的安全。如需詳細資訊,請參閱Amazon EBS加密。
KMS 金鑰管理
當您建立加密的 Amazon EBS磁碟區或快照時,您可以指定 AWS Key Management Service 金鑰。根據預設,Amazon EBS會在您的帳戶和區域 () EBS 中使用 Amazon 的 AWS 受管KMS金鑰aws/ebs。不過,您可以指定您建立和管理的客戶受管KMS金鑰。使用客戶受管KMS金鑰可讓您擁有更多彈性,包括建立、輪換和停用KMS金鑰的功能。
若要使用客戶受管KMS金鑰,您必須授予使用者使用KMS金鑰的許可。如需詳細資訊,請參閱 使用者的許可。
重要
Amazon 僅EBS支援對稱KMS金鑰 。您不能使用非對稱KMS金鑰來加密 Amazon EBS磁碟區和快照。如需協助判斷KMS金鑰是對稱或非對稱,請參閱識別非對稱KMS金鑰 。
對於每個磁碟區,Amazon 會EBS要求產生唯一資料金鑰 AWS KMS ,並以您指定的KMS金鑰加密。Amazon 會將加密的資料金鑰與磁碟區一起EBS存放。然後,當您將磁碟區連接至 Amazon EC2執行個體時,Amazon 會EBS呼叫 AWS KMS 來解密資料金鑰。Amazon EBS使用 Hypervisor 記憶體中的純文字資料金鑰,將所有 I/O 加密至磁碟區。如需詳細資訊,請參閱Amazon EBS加密的運作方式。
