選取您的 Cookie 偏好設定

我們使用提供自身網站和服務所需的基本 Cookie 和類似工具。我們使用效能 Cookie 收集匿名統計資料,以便了解客戶如何使用我們的網站並進行改進。基本 Cookie 無法停用,但可以按一下「自訂」或「拒絕」以拒絕效能 Cookie。

如果您同意,AWS 與經核准的第三方也會使用 Cookie 提供實用的網站功能、記住您的偏好設定,並顯示相關內容,包括相關廣告。若要接受或拒絕所有非必要 Cookie,請按一下「接受」或「拒絕」。若要進行更詳細的選擇,請按一下「自訂」。

偏好設定
聯絡我們
意見回饋
AWS Documentation
建立 AWS 帳戶

AWS 大型主機現代化應用程式測試中的資料保護

PDF
RSS
焦點模式
AWS 大型主機現代化應用程式測試中的資料保護 - AWS 大型主機現代化
AWS 大型主機現代化應用程式測試收集的資料AWS 大型主機現代化應用程式測試的靜態資料加密建立客戶受管金鑰為 AWS 大型主機現代化應用程式測試指定客戶受管金鑰AWS 大型主機現代化應用程式測試加密內容監控加密金鑰傳輸中加密

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

AWS 共同責任模型適用於 AWS 大型主機現代化應用程式測試中的資料保護。如此模型所述, AWS 負責保護執行所有 的全域基礎設施 AWS 雲端。您負責維護在此基礎設施上託管內容的控制權。您也同時負責所使用 AWS 服務 的安全組態和管理任務。如需資料隱私權的詳細資訊,請參閱資料隱私權常見問答集如需有關歐洲資料保護的相關資訊,請參閱 AWS 安全性部落格上的 AWS 共同的責任模型和 GDPR 部落格文章。

建議您使用 AWS IAM Identity Center 或 AWS Identity and Access Management (IAM) 來保護 AWS 帳戶 登入資料並設定個別使用者。因此,每個使用者只會獲得履行其任務職責所需的許可。我們也建議您採用下列方式保護資料:

  • 每個帳戶均要使用多重要素驗證 (MFA)。

  • 使用 SSL/TLS 與 AWS 資源通訊。我們需要 TLS 1.2 並建議使用 TLS 1.3。

  • 使用 設定 API 和使用者活動記錄 AWS CloudTrail。

  • 使用 AWS 加密解決方案,以及 中的所有預設安全控制 AWS 服務。

  • 使用進階的受管安全服務 (例如 Amazon Macie),協助探索和保護儲存在 Amazon S3 的敏感資料。

  • 如果您在 AWS 透過命令列界面或 API 存取 時需要 FIPS 140-2 驗證的密碼編譯模組,請使用 FIPS 端點。如需有關 FIPS 和 FIPS 端點的更多相關資訊,請參閱聯邦資訊處理標準 (FIPS) 140-2 概觀

我們建議您避免在標籤或自由格式文字欄位 (例如名稱欄位) 中使用任何機密或敏感資訊,例如客戶的電子郵件地址。這包括當您使用 AWS 大型主機現代化應用程式測試或其他 AWS 服務 使用主控台、API AWS CLI、 或 AWS SDKs 時。您輸入標籤或用於名稱的任意格式文字欄位的任何資料都可能用於計費或診斷日誌。如果您提供 URL 給外部伺服器,請避免在 URL 中使用登入資料資訊來驗證您對該伺服器的請求。

AWS 大型主機現代化應用程式測試收集的資料

AWS Mainframe Modernization Application Testing 會收集多種類型的資料:

  • Resource definition:資源定義表示當您建立或更新類型測試案例、測試套件或測試組態的資源時,傳遞給 Application Testing 的資料。

  • Scripts for replay:這些是針對您的 AWS 大型主機現代化應用程式傳遞至 Application Testing 的指令碼。

  • Data for comparison:這些是傳送至 Application Testing 進行比較的資料集或資料庫變更資料擷取 (CDC) 檔案。

AWS Mainframe Modernization Application Testing 會以原生方式存放此資料 AWS。我們從您收集的資料會存放在 AWS 大型主機現代化應用程式測試管理的 Amazon S3 儲存貯體中。當您刪除資源時,相關聯的資料會從 Amazon S3 儲存貯體中移除。

當您開始執行測試以執行重播以測試互動式工作負載時, AWS 大型主機現代化應用程式測試會將指令碼下載到暫時性儲存體後端 Amazon ECS 受管 Fargate 容器以執行重播。一旦重播完成,且指令碼產生的輸出檔案存放在您帳戶中的 Application Testing 受管 Amazon S3 儲存貯體中,便會刪除指令碼檔案。當您刪除測試執行時,重播輸出檔案會從 Amazon S3 儲存貯體中刪除。

同樣地,當您啟動測試執行來比較檔案 (資料集或資料庫變更) 時, AWS 大型主機現代化應用程式測試會將檔案下載到暫時性儲存後端 Amazon ECS 受管 Fargate 容器,以執行比較。下載的檔案會在比較操作完成後立即刪除。比較輸出資料會儲存在您帳戶中由 Application Testing 管理的 Amazon S3 儲存貯體中。當您刪除測試執行時,輸出資料會從 S3 儲存貯體中刪除。

當您將資料放入 AWS 大型主機現代化應用程式測試用於比較檔案的 Amazon S3 儲存貯體時,您可以使用所有可用的 Amazon S3 Amazon S3加密選項來保護資料。

AWS 大型主機現代化應用程式測試的靜態資料加密

AWS Mainframe Modernization Application Testing 與 AWS Key Management Service (KMS) 整合,可在永久存放資料的所有相依資源上提供透明的伺服器端加密 (SSE)。資源範例包括 Amazon Simple Storage Service、Amazon DynamoDB 和 Amazon Elastic Block Store。 AWS 大型主機現代化應用程式測試會建立和管理 中的對稱加密 AWS KMS 金鑰 AWS KMS。

依預設加密靜態資料,有助於降低保護敏感資料所涉及的營運開銷和複雜性。同時,它可讓您測試需要嚴格加密合規和法規要求的應用程式。

您無法在建立測試案例、測試套件或測試組態時停用此加密層,或選取替代加密類型。

您可以使用自己的客戶受管金鑰進行比較檔案和 AWS CloudFormation 範本,以加密 Amazon S3。您可以使用此金鑰來加密在 Application Testing 中為測試執行建立的所有資源。

注意

DynamoDB 資源一律使用 Application Testing 服務帳戶中 AWS 受管金鑰 的 加密。您無法使用客戶受管金鑰加密 DynamoDB 資源。

AWS Mainframe Modernization Application Testing 會將您的客戶受管金鑰用於下列任務:

  • 將資料集從 Application Testing 匯出到 Amazon S3。

  • 將比較輸出檔案上傳至 Amazon S3。

如需更多資訊,請參閱 AWS Key Management Service 開發人員指南中的客戶受管金鑰

建立客戶受管金鑰

您可以使用 AWS Management Console 或 AWS KMS APIs 來建立對稱客戶受管金鑰。

建立對稱客戶受管金鑰

請依照《AWS Key Management Service 開發人員指南》建立對稱客戶受管金鑰的步驟進行。

金鑰政策

金鑰政策會控制客戶受管金鑰的存取權限。每個客戶受管金鑰都必須只有一個金鑰政策,其中包含決定誰可以使用金鑰及其使用方式的陳述式。在建立客戶受管金鑰時,可以指定金鑰政策。

以下是使用 ViaService 縮小存取範圍的金鑰政策範例,允許 Application Testing 在您的帳戶中寫入重播和比較產生的資料。當您叫用 StartTestRun API 時,您應該將此政策連接至 IAM 角色。

{
    "Sid": "TestRunKmsPolicy",
    "Action": ["kms:Decrypt", "kms:GenerateDataKey"],
    "Effect": "Allow",
    "Principal": {
        "AWS": "arn:aws:iam::111122223333:role/TestRunRole"
    },
    "Resource": "*",
    "Condition": {
        "StringEquals": {
            "kms:ViaService": ["s3.amazonaws.com"]
        },
        "ForAnyValue:StringEquals": {
            "kms:EncryptionContextKeys": "aws:apptest:testrun"
        }
    }
}

如需詳細資訊,請參閱《AWS Key Management Service 開發人員指南》中的管理客戶受管金鑰的存取

如需有關故障診斷金鑰存取的詳細資訊,請參閱《AWS Key Management Service 開發人員指南》

為 AWS 大型主機現代化應用程式測試指定客戶受管金鑰

建立測試組態時,您可以輸入 KEY ID 來指定客戶受管金鑰。應用程式測試使用 來加密測試執行期間上傳至 Amazon S3 儲存貯體的資料。

若要在使用 建立測試組態時新增客戶受管金鑰 AWS CLI,請指定 kmsKeyId 參數,如下所示:

create-test-configuration --name test \
--resources '[{
    "name": "TestApplication",
    "type": {
        "m2ManagedApplication": {
            "applicationId": "wqju4m2dcz3rhny5fpdozrsdd4",
            "runtime": "MicroFocus"
        }
    }
}]' \
--service-settings '{
    "kmsKeyId": "arn:aws:kms:us-west-2:111122223333:key/05d467z6-c42d-40ad-b4b7-274e68b14013"
}'

AWS 大型主機現代化應用程式測試加密內容

加密內容是一組選用的金鑰值對,包含資料的其他相關內容資訊。

AWS KMS 使用加密內容做為額外的已驗證資料,以支援已驗證的加密。當您在加密資料的請求中包含加密內容時, 會將加密內容 AWS KMS 繫結至加密的資料。若要解密資料,您必須在請求中包含相同的加密內容。

AWS 大型主機現代化應用程式測試加密內容

AWS Mainframe Modernization Application Testing 會在與測試執行相關的所有 AWS KMS 密碼編譯操作中使用相同的加密內容,其中 金鑰為 ,aws:apptest:testrun而 值為測試執行的唯一識別符。

"encryptionContext": {
        "aws:apptest:testrun": "u3qd7uhdandgdkhhi44qv77iwq"
}

使用加密內容進行監控

當您使用對稱客戶受管金鑰來加密測試執行時,您也可以使用稽核記錄和日誌中的加密內容,來識別上傳資料至 Amazon S3 時如何使用客戶受管金鑰。

監控 AWS 大型主機現代化應用程式測試的加密金鑰

當您搭配 AWS 大型主機現代化應用程式測試資源使用 AWS KMS 客戶受管金鑰時,您可以使用 AWS CloudTrail 來追蹤 AWS 大型主機現代化應用程式測試在上傳物件時傳送到 Amazon S3 的請求。

傳輸中加密

對於定義測試交易工作負載步驟的測試案例,執行硒指令碼的 Application Testing 受管終端機模擬器與 AWS Mainframe Modernization 應用程式端點之間的資料交換不會在傳輸中加密。 AWS Mainframe Modernization Application Testing 會使用 AWS PrivateLink 連線到您的應用程式端點來私下交換資料,而不會透過公有網際網路公開流量。

AWS Mainframe Modernization Application Testing 使用 HTTPS 加密服務 APIs。 AWS Mainframe Modernization Application Testing 中的所有其他通訊都受到服務 VPC 或安全群組以及 HTTPS 的保護。

根據預設,傳輸中的基本加密是設定,但不適用於以TN3270通訊協定為基礎的互動式工作負載測試。

在本頁面

隱私權網站條款Cookie 偏好設定
© 2025, Amazon Web Services, Inc.或其附屬公司。保留所有權利。