本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
中的安全性 AWS Step Functions
的雲端安全性 AWS 是最高優先順序。身為 AWS 客戶,您可以從資料中心和網路架構中受益,該架構旨在滿足最安全敏感組織的需求。
安全性是 AWS 和 之間的共同責任。共同責任模型
-
雲端的安全性 – AWS 負責保護在 AWS Cloud 中執行 AWS 服務的基礎設施。 AWS 也為您提供可安全使用的服務。在 AWS 合規計畫
中,第三方稽核員會定期測試並驗證我們的安全功效。若要了解適用於 的合規計劃 AWS Step Functions,請參閱AWS 合規計劃範圍內的服務 。 -
雲端內部的安全 – 您的責任取決於所使用的 AWS 服務。您也必須對其他因素負責,包括資料的機密性、您公司的要求和適用法律和法規。
本文件可協助您了解如何在使用 Step Functions 時套用共同責任模型。下列主題說明如何設定 Step Functions 以符合您的安全和合規目標。您也會了解如何使用其他 AWS 服務來協助您監控和保護 Step Functions 資源。
Step Functions 使用 IAM 來控制對其他 AWS 服務和資源的存取。如需 IAM 運作方式的概觀,請參閱《IAM 使用者指南》中的存取管理概觀。如需安全憑證的概觀,請參閱《Amazon Web Services 一般參考》中的 AWS 安全憑證。
Step Functions 的合規驗證
第三方稽核人員 AWS Step Functions 會在多個合規計畫中評估 的安全性和 AWS 合規性。這些計劃包括 SOC、PCI、FedRAMP、HIPAA 等等。
如需特定合規計劃範圍內 AWS 的服務清單,請參閱AWS 合規計劃範圍內的服務
您可以使用 下載第三方稽核報告 AWS Artifact。如需詳細資訊,請參閱在 中下載報告 AWS Artifact。
使用 Step Functions 時的合規責任取決於資料的敏感度、公司的合規目標,以及適用的法律和法規。 AWS 提供下列資源來協助合規:
-
安全與合規快速入門指南
– 這些部署指南討論架構考量,並提供部署以安全與合規為中心之基準環境的步驟 AWS。 -
Amazon Web Services 上的 HIPAA 安全與合規架構 – 此白皮書說明公司如何使用 AWS 來建立符合 HIPAA 規範的應用程式。
-
AWS 合規資源
– 此工作手冊和指南的集合可能適用於您的產業和位置。 -
AWS Config 開發人員指南中的使用規則評估資源 – AWS Config 服務會評估資源組態符合內部實務、產業準則和法規的程度。
-
AWS Security Hub – AWS 此服務提供 內安全狀態的全面檢視 AWS ,可協助您檢查是否符合安全產業標準和最佳實務。
Step Functions 中的復原能力
AWS 全域基礎設施是以 AWS 區域和可用區域為基礎。 AWS 區域提供多個實體分隔和隔離的可用區域,這些區域與低延遲、高輸送量和高備援聯網連接。透過可用區域,您可以設計與操作的應用程式和資料庫,在可用區域之間自動容錯移轉而不會發生中斷。可用區域的可用性、容錯能力和擴展能力,均較單一或多個資料中心的傳統基礎設施還高。
如需 AWS 區域和可用區域的詳細資訊,請參閱AWS 全球基礎設施
除了 AWS 全球基礎設施之外,Step Functions 還提供數種功能,以協助支援您的資料彈性和備份需求。
Step Functions 中的基礎設施安全性
作為受管服務, AWS Step Functions 受到 AWS 全球網路安全的保護。如需 AWS 安全服務以及如何 AWS 保護基礎設施的相關資訊,請參閱AWS 雲端安全
您可以使用 AWS 已發佈的 API 呼叫,透過網路存取 Step Functions。使用者端必須支援下列專案:
-
Transport Layer Security (TLS)。我們需要 TLS 1.2 並建議使用 TLS 1.3。
-
具備完美轉送私密(PFS)的密碼套件,例如 DHE (Ephemeral Diffie-Hellman)或 ECDHE (Elliptic Curve Ephemeral Diffie-Hellman)。現代系統(如 Java 7 和更新版本)大多會支援這些模式。
此外,請求必須使用存取金鑰 ID 和與 IAM 主體相關聯的私密存取金鑰來簽署。或者,您可以透過 AWS Security Token Service (AWS STS) 來產生暫時安全憑證來簽署請求。
您可以從任何網路位置呼叫 AWS API 操作,但Step Functions不支援以資源為基礎的存取政策,其中可能包含根據來源 IP 地址的限制。您也可以使用 Step Functions 政策,從特定 Amazon Virtual Private Cloud (Amazon VPC) 端點或特定 VPC 控制存取。實際上,這只會隔離網路中特定 VPC 對指定Step Functions資源 AWS 的網路存取。