中的資料保護 AWS Systems Manager - AWS Systems Manager
資料加密網際網路流量隱私權

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

中的資料保護 AWS Systems Manager

資料保護是指在傳輸期間保護資料 (往返傳輸時 Systems Manager) 和靜態 (存放在 AWS 資料中心時)。

AWS 共同責任模型適用於 中的資料保護 AWS Systems Manager。 如本模型所述, AWS 負責保護執行所有 的全域基礎設施 AWS 雲端。您負責維護在此基礎設施上託管內容的控制權。您也同時負責所使用 AWS 服務 的安全組態和管理任務。如需資料隱私權的詳細資訊,請參閱資料隱私權FAQ如需歐洲資料保護的相關資訊,請參閱AWS 安全部落格上的 AWS 共同責任模型和 GDPR 部落格文章。

為了資料保護目的,建議您保護 AWS 帳戶 憑證,並使用 AWS IAM Identity Center 或 AWS Identity and Access Management (IAM) 設定個別使用者。如此一來,每個使用者都只會獲得授與完成其任務所必須的許可。我們也建議您採用下列方式保護資料:

  • 對每個帳戶使用多重要素驗證 (MFA)。

  • 使用 SSL/TLS 與 AWS 資源通訊。我們需要 TLS 1.2 並建議 TLS 1.3。

  • 使用 設定 API 和使用者活動記錄 AWS CloudTrail。如需使用 CloudTrail 線索擷取 AWS 活動的資訊,請參閱 AWS CloudTrail 使用者指南中的使用 CloudTrail 線索。

  • 使用 AWS 加密解決方案,以及其中的所有預設安全控制 AWS 服務。

  • 使用進階的受管安全服務 (例如 Amazon Macie),協助探索和保護儲存在 Amazon S3 的敏感資料。

  • 如果您在 AWS 透過命令列介面或 FIPS 存取時需要 Word 140-3 驗證的密碼編譯模組API,請使用 FIPS 端點。如需可用 FIPS 端點的詳細資訊,請參閱聯邦資訊處理標準 (FIPS) 140-3

我們強烈建議您絕對不要將客戶的電子郵件地址等機密或敏感資訊,放在標籤或自由格式的文字欄位中,例如名稱欄位。這包括當您使用 時 Systems Manager 或其他 AWS 服務 使用主控台 AWS CLI、API 或 AWS SDKs。您在標籤或自由格式文字欄位中輸入的任何資料都可能用於計費或診斷日誌。如果您將 URL 提供給外部伺服器,強烈建議您在 URL 中不要包含憑證資訊,以驗證您對該伺服器的請求。

資料加密

靜態加密

Parameter Store parameters

您可以在 中建立的參數類型 Parameter Store的功能包括 AWS Systems ManagerStringStringListSecureString

若要加密SecureString參數值,Parameter Store 使用 AWS KMS key in AWS Key Management Service (AWS KMS)。 AWS KMS 使用客戶受管金鑰或 AWS 受管金鑰 來加密受 AWS 管資料庫中的參數值。

重要

請勿在 StringStringList 參數中存放敏感資料。對於所有必須保持加密的敏感資料,請僅使用 SecureString 參數類型。

如需詳細資訊,請參閱 什麼是參數?限制對 的存取 Parameter Store 使用 IAM 政策的參數

S3 儲存貯體中的內容

作為您 Systems Manager 操作,您可以選擇將資料上傳或存放在一或多個 Amazon Simple Storage Service (Amazon S3) 儲存貯體中。

如需 S3 儲存貯體加密的詳細資訊,請參閱《Amazon Simple Storage Service 使用者指南》中的使用加密保護資料Amazon Simple Storage Service (Amazon S3) 的資料保護

以下是您可以上傳或存放在 S3 儲存貯體中的資料類型,作為 Systems Manager 活動:

  • 中的命令輸出 Run Command, 的功能 AWS Systems Manager

  • 中的套件 Distributor, 的功能 AWS Systems Manager

  • 在 中修補操作日誌 Patch Manager, 的功能 AWS Systems Manager

  • Patch Manager 修補程式覆寫清單

  • 指令碼或 Ansible 要在 Automation 中的 Runbook 工作流程中執行的 Playbook,其功能為 AWS Systems Manager

  • Chef InSpec 設定檔,可在 Compliance 中使用掃描, AWS Systems Manager

  • AWS CloudTrail 日誌

  • 中的工作階段歷史記錄日誌 Session Manager, 的功能 AWS Systems Manager

  • 來自 的報告 Explorer, 的功能 AWS Systems Manager

  • 來自 的OpsData OpsCenter, 的功能 AWS Systems Manager

  • AWS CloudFormation 與 Automation 工作流程搭配使用的範本

  • 來自資源資料同步掃描的合規資料

  • 輸出要在 中建立或編輯關聯的請求 State Manager受管節點 AWS Systems Manager上的 功能

  • 您可以使用 AWS 受管 SSM 文件執行的自訂 Systems Manager 文件 (SSM 文件) AWS-RunDocument

CloudWatch Logs 日誌群組

作為您 Systems Manager 操作,您可以選擇將資料串流至一或多個 Amazon CloudWatch Logs 日誌群組。

如需有關 CloudWatch Logs 日誌群組加密的資訊,請參閱 AmazonWord Logs 使用者指南中的使用 加密 CloudWatch AWS Key Management Service Logs 中的日誌資料。 CloudWatch

以下是您可能已串流至 a CloudWatch Logs 日誌群組的資料類型,作為 的一部分 Systems Manager 活動:

  • 的輸出 Run Command commands

  • 使用 Automation Runbook 中的 aws:executeScript 動作執行指令碼輸出

  • Session Manager 工作階段歷史記錄日誌

  • 來自 的日誌 SSM Agent 受管節點上的

傳輸中加密

我們建議您使用 Transport Layer Security (TLS) 等加密通訊協定,來加密用戶端和節點之間傳輸的敏感資料。

Systems Manager 為傳輸中的資料提供下列加密支援。

與 的連線 Systems Manager API 端點

Systems Manager API 端點僅支援透過 HTTPS 的安全連線。當您管理 Systems Manager 具有 AWS Management Console、 AWS SDK 或 的資源 Systems Manager API,所有通訊都會使用 Transport Layer Security (TLS) 加密。如需 API 端點的完整清單,請參閱 中的AWS 服務 端點Amazon Web Services 一般參考

受管執行個體

AWS 在 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體之間提供安全且私有的連線。此外,我們使用具有 256 位元加密的 AEAD 演算法,自動加密相同虛擬私有雲端 (VPC) 或對等 VPCs 中受支援執行個體之間的傳輸中流量。此加密功能使用基礎硬體的卸載能力,不影響網路效能。受支援執行個體包括:C5n、G4、I3en、M5dn、M5n、P3dn、R5dn 和 R5n。

Session Manager 工作階段

根據預設,Session Manager 使用 TLS 1.3 加密您帳戶中使用者的本機機器與 EC2 執行個體之間傳輸的工作階段資料。您也可以選擇使用已在 中建立 AWS KMS key 的 進一步加密傳輸中的資料 AWS KMS。 AWS KMS 加密適用於 Standard_StreamInteractiveCommandsNonInteractiveCommands工作階段類型。

Run Command 存取

根據預設,使用 遠端存取您的節點 Run Command 會使用 TLS 1.3 加密,並使用 SigV4 簽署建立連線的請求。

網際網路流量隱私權

您可以使用 Amazon Virtual Private Cloud (Amazon VPC) 在受管節點中的資源之間建立界限,並控制它們之間的流量、內部部署網路和網際網路。如需詳細資訊,請參閱使用 Systems Manager 的 Word 端點來改善 VPC EC2執行個體的安全性

如需 Amazon Virtual Private Cloud 安全性的詳細資訊,請參閱 Amazon VPC 使用者指南中的 Amazon Word 中的網際網路流量隱私權 VPC