本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
AWS Proton 中的資料保護
AWS Proton符合共享責任模型AWS共享責
基於資料保護目的,我們建議您保護AWS 帳戶憑證,並使用者帳戶,以便每個使用者都只獲得完成其任務所需的許可。AWS Identity and Access Management我們也建議您採用下列方式保護資料:
-
每個帳戶都使用多重要素驗證 (MFA)。
-
使用 SSL/TLS 與 AWS 資源通訊。建議使用 TLS 1.2 或更新版本。
-
使用 AWS CloudTrail 設定 API 和使用者活動記錄。
-
使用 AWS 加密解決方案,以及 AWS 服務 內的所有預設安全控制項。
我們強烈建議您絕對不要將客戶帳戶號碼等敏感的識別資訊,放在自由格的文字欄位。這包括當您使用 AWS Proton 或使用主控台、API、AWS CLI 或 AWS 開發套件的其他 AWS 服務。您在資源識別碼或與資源管理相關的任何AWS資料都可能選入診斷日誌中。當您提供外部伺服器的 URL 時,請勿在驗證您對該伺服器請求的 URL 中包含憑證資訊。
如需關於資料保護的詳細資訊,請參閱 AWS 安全部落格上的 AWS 共同責任模型和歐盟《一般資料保護規範》(GDPR)
伺服器端靜態加密
如果您選擇在存放範本服務包的 S3 儲存貯體中靜態加密範本服務包中的敏感資料,則必須使用 SSE-S3 或 SSE-KMS 金鑰AWS Proton來允許擷取範本服務包,以便將它們附加至已註冊的AWS Proton範本。
傳輸中加密
服務之間所有通訊在途中都使用 SSL/TLS 進行加密。
AWS Proton加密金鑰管理
在中AWS Proton,預設情況下,所有客戶資料都會使用AWS Proton擁有的金鑰加密。如果您提供客戶擁有且受管理的AWS KMS金鑰,則所有客戶資料都會使用客戶提供的金鑰加密,如以下段落所述。
建立AWS Proton範本時,您可以指定金鑰並AWS Proton使用您的認證來建立允許使AWS Proton用金鑰的授權。
如果您手動淘汰授權,或停用或刪除指定的金鑰,AWS Proton則無法讀取由指定金鑰加密的資料並擲回ValidationException。
AWS Proton 加密內容
AWS Proton支援加密內容標頭。加密內容是一組選用的金鑰值對,可以包含資料的其他相關內容資訊。如需有關加密內容的更多資訊,請參閱《AWS Key Management Service 開發人員指南》中的 AWS Key Management Service 概念 – 加密內容。
加密密密密密密密密密密密密密密密密資料。在加密密密密密密密密密密密密密密密密密密密密密密密密密密密密密密密密密密密密密密密密密密密密資料。AWS KMS若要解密資料,您必須傳遞相同的加密內容。
客戶可以使用加密密密密密密密密密密密密密金鑰的情況。它還會在日誌中以純文字顯示,例如AWS CloudTrail和 Amazon CloudWatch Logs。
AWS Proton不會接受任何客戶指定或外部指定的加密內容。
AWS Proton添加密密密密密密密密密密密
{ "aws:proton:template": "<proton-template-arn>", "aws:proton:resource": "<proton-resource-arn>" }
第一個加密內容會識別與資源相關聯的AWS Proton範本,也可做為客戶管理金鑰權限和授與的限制。
第二個加密內容會識別已加密的AWS Proton資源。
下列範例顯示AWS Proton加密內容的使用方式。
創建服務實例的開發人員。
{ "aws:proton:template": "arn:aws:proton:region_id:123456789012:service-template/my-template", "aws:proton:resource": "arn:aws:proton:region_id:123456789012:service/my-service/service-instance/my-service-instance" }
建立範本的管理員。
{ "aws:proton:template": "arn:aws:proton:region_id:123456789012:service-template/my-template", "aws:proton:resource": "arn:aws:proton:region_id:123456789012:service-template/my-template" }
