Perlindungan data di Izin Terverifikasi Amazon - Izin Terverifikasi Amazon
Enkripsi data

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Perlindungan data di Izin Terverifikasi Amazon

Model tanggung jawab AWS bersama model berlaku untuk perlindungan data di Izin Terverifikasi Amazon. Sebagaimana diuraikan dalam model ini, AWS bertanggung jawab untuk melindungi infrastruktur global yang menjalankan semua AWS Cloud. Anda bertanggung jawab untuk mempertahankan kendali atas konten yang di-host pada infrastruktur ini. Konten ini mencakup konfigurasi keamanan dan tugas manajemen untuk Layanan AWS yang Anda gunakan. Lihat informasi yang lebih lengkap tentang privasi data dalam Pertanyaan Umum Privasi Data. Lihat informasi tentang perlindungan data di Eropa di pos blog Model Tanggung Jawab Bersama dan GDPR AWS di Blog Keamanan AWS .

  • Untuk tujuan perlindungan data, kami menyarankan Anda melindungi Akun AWS kredensyal dan mengatur pengguna individu dengan AWS IAM Identity Center atau AWS Identity and Access Management ()IAM. Dengan cara itu, setiap pengguna hanya diberi izin yang diperlukan untuk memenuhi tanggung jawab tugasnya.

  • Kami menyarankan Anda mengamankan data Anda dengan cara berikut:

    • Gunakan autentikasi multi-faktor (MFA) pada setiap akun.

    • Gunakan SSL/TLS untuk berkomunikasi dengan sumber daya. AWS Kami membutuhkan TLS 1.2.

    • Siapkan API dan pencatatan aktivitas pengguna dengan AWS CloudTrail.

    • Gunakan solusi AWS enkripsi, bersama dengan semua kontrol keamanan default di dalamnya Layanan AWS.

    • Gunakan layanan keamanan terkelola lanjut seperti Amazon Macie, yang membantu menemukan dan mengamankan data sensitif yang disimpan di Amazon S3.

    • Jika Anda memerlukan modul kriptografi tervalidasi FIPS 140-2 ketika mengakses AWS melalui antarmuka baris perintah atau API, gunakan titik akhir FIPS. Lihat informasi yang lebih lengkap tentang titik akhir FIPS yang tersedia di Standar Pemrosesan Informasi Federal (FIPS) 140-2.

  • Kami sangat merekomendasikan agar Anda tidak pernah memasukkan informasi identifikasi yang sensitif, seperti nomor rekening pelanggan Anda, ke dalam tanda atau bidang isian bebas seperti bidang Nama. Ini termasuk saat Anda bekerja dengan Izin Terverifikasi atau lainnya Layanan AWS menggunakan konsol, API AWS CLI, atau AWS SDKs. Data apa pun yang Anda masukkan ke dalam tanda atau bidang isian bebas yang digunakan untuk nama dapat digunakan untuk log penagihan atau log diagnostik. Saat Anda memberikan URL ke server eksternal, kami sangat menganjurkan supaya Anda tidak menyertakan informasi kredensial di dalam URL untuk memvalidasi permintaan Anda ke server itu.

  • Nama tindakan Anda tidak boleh menyertakan informasi sensitif apa pun.

  • Kami juga sangat menyarankan agar Anda selalu menggunakan pengidentifikasi unik, tidak dapat diubah, dan tidak dapat digunakan kembali untuk entitas Anda (sumber daya dan prinsipal). Di lingkungan pengujian, Anda dapat memilih untuk menggunakan pengidentifikasi entitas sederhana, seperti jane atau bob untuk nama entitas bertipeUser. Namun, dalam sistem produksi, sangat penting untuk alasan keamanan bahwa Anda menggunakan nilai unik yang tidak dapat digunakan kembali. Kami menyarankan Anda menggunakan nilai seperti pengidentifikasi unik universal ()UUIDs. Misalnya, perhatikan pengguna jane yang meninggalkan perusahaan. Kemudian, Anda membiarkan orang lain menggunakan nama itujane. Pengguna baru itu mendapatkan akses secara otomatis ke semua yang diberikan oleh kebijakan yang masih merujukUser::"jane". Izin Terverifikasi dan Cedar tidak dapat membedakan antara pengguna baru dan pengguna sebelumnya.

    Panduan ini berlaku untuk pengidentifikasi utama dan sumber daya. Selalu gunakan pengidentifikasi yang dijamin unik dan tidak pernah digunakan kembali untuk memastikan bahwa Anda tidak memberikan akses secara tidak sengaja karena adanya pengenal lama dalam kebijakan.

  • Pastikan bahwa string yang Anda berikan untuk menentukan Long dan Decimal nilai berada dalam rentang yang valid dari setiap jenis. Selain itu, pastikan bahwa penggunaan operator aritmatika tidak menghasilkan nilai di luar rentang yang valid. Jika rentang terlampaui, operasi menghasilkan pengecualian luapan. Kebijakan yang mengakibatkan kesalahan diabaikan, artinya kebijakan Izin mungkin gagal mengizinkan akses secara tak terduga, atau kebijakan Larangan mungkin gagal memblokir akses secara tak terduga.

Enkripsi data

Izin Terverifikasi Amazon secara otomatis mengenkripsi semua data pelanggan seperti kebijakan dengan Kunci yang dikelola AWS, sehingga penggunaan kunci yang dikelola pelanggan tidak diperlukan atau didukung.