終止支援通知：將於 2026 年 10 月 7 日 AWS 結束對 的支援 AWS Proton。2026 年 10 月 7 日之後，您將無法再存取 AWS Proton 主控台或 AWS Proton 資源。您部署的基礎設施將保持不變。如需詳細資訊，請參閱[AWS Proton 服務棄用和遷移指南](https://docs.aws.amazon.com/proton/latest/userguide/proton-end-of-support.html)。

本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 的安全最佳實務 AWS Proton
<a name="security-best-practices"></a>

AWS Proton 提供安全功能，供您在開發和實作自己的安全政策時考慮。以下最佳實務為一般準則，並不代表完整的安全解決方案。這些最佳實務可能不適用或無法滿足您的環境需求，因此請將其視為實用建議就好，而不要當作是指示。

**Topics**
+ [使用 IAM 控制存取](#use-iam-to-control-access)
+ [請勿在範本和範本套件中嵌入登入資料](#creds)
+ [使用加密來保護敏感資料](#encryption)
+ [使用 AWS CloudTrail 來檢視和記錄 API 呼叫](#cloudtrail)

## 使用 IAM 控制存取
<a name="use-iam-to-control-access"></a>

IAM 是 AWS 服務 ，可用來管理 中的使用者及其許可 AWS。您可以使用 IAM 搭配 AWS Proton 來指定管理員和開發人員可執行 AWS Proton 的動作，例如管理範本、環境或服務。您可以使用 IAM 服務角色， AWS Proton 允許 代表您呼叫其他 服務。

如需 AWS Proton 和 IAM 角色的詳細資訊，請參閱 [的 Identity and Access Management AWS Proton](security-iam.md)。

實作最低權限存取。如需詳細資訊，請參閱*AWS Identity and Access Management 《 使用者指南*[》中的 IAM 中的政策和許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html)。

## 請勿在範本和範本套件中嵌入登入資料
<a name="creds"></a>

我們建議您在堆疊範本中使用*動態參考*，而不是在 CloudFormation 範本和範本套件中內嵌敏感資訊。

動態參考提供精簡且強大的方式，讓您參考儲存在其他服務中的外部值，例如 AWS Systems Manager 參數存放區或 AWS Secrets Manager。當您使用動態參考時，在堆疊和變更集操作期間，CloudFormation 會在必要時擷取指定參考的值，並將值傳遞至適當的資源。不過，CloudFormation 絕不會存放實際參考值。如需詳細資訊，請參閱*CloudFormation 《 使用者指南*》中的[使用動態參考指定範本值](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/dynamic-references.html)。

[AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/intro.html) 可協助您安全地加密、存放與擷取資料庫及其他服務的登入資料。[AWS Systems Manager 參數存放區](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-parameter-store.html)為組態資料管理提供安全的階層式儲存。

如需定義範本參數的詳細資訊，請參閱*CloudFormation 《 使用者指南*[https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/parameters-section-structure.html](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/parameters-section-structure.html)》中的 。

## 使用加密來保護敏感資料
<a name="encryption"></a>

在其中 AWS Proton，預設會使用 AWS Proton 擁有的金鑰來加密所有客戶資料。

身為平台團隊的成員，您可以提供客戶受管金鑰給 ， AWS Proton 以加密和保護您的敏感資料。加密 S3 儲存貯體中的靜態敏感資料。如需詳細資訊，請參閱[中的資料保護 AWS Proton](data-protection.md)。

## 使用 AWS CloudTrail 來檢視和記錄 API 呼叫
<a name="cloudtrail"></a>

AWS CloudTrail 會追蹤在您的 中進行 API 呼叫的任何人 AWS 帳戶。每當任何人使用 API、主控台或 AWS Proton AWS CLI 命令時，都會記錄 AWS Proton API AWS Proton 呼叫。啟用記錄，然後指定 Amazon S3 儲存貯體來存放日誌。如此一來，如果您需要，您可以稽核在您帳戶中進行 AWS Proton 呼叫的人員。如需詳細資訊，請參閱[在 中記錄和監控 AWS Proton](security-logging-and-monitoring.md)。