数据保护

AWS 责任共担模式应用于 AFT 中的数据保护。出于数据保护目的，我们建议您遵循安全性方面的以下最佳实践。

• 遵守 AWS Control Tower 提供的数据保护指南。有关更多信息，请参阅 AWS Control Tower 中的数据保护。

• 保留 AFT 部署时生成的 Terraform 状态配置。有关更多信息，请参阅 部署 AWS Control Tower Account Factory for Terraform（AFT）。

• 按照组织的安全策略的指示，定期轮换敏感凭证。机密信息的示例包括有 Terraform 令牌、git 令牌等。

静态加密

AFT 创建使用密钥管理服务密钥进行静态加密的 Amazon S3 存储桶、亚马逊 SNS 主题、亚马逊 SQS 队列和亚马逊 DynamoDB 数据库。 AWS 默认情况下，AFT 创建的 KMS 密钥已启用每年轮换功能。如果你选择 Terraform 的 Terraform Cloud 或 Terraform Enterprise 发行版，AFT 会包含一个 Systems Manager SecureString 参数来存储 AWS 敏感的 Terraform 令牌值。

AFT 使用中组件服务描述的默认静态加密的 AWS 服务。有关详细信息，请参阅 AFT 每个组件 AWS 服务的 AWS 文档，并了解每项服务所遵循的数据保护实践。

传输中加密

默认情况下，AFT 依赖于组件服务中描述的在传输中使用加密的 AWS 服务。有关详细信息，请参阅 AFT 每个组件 AWS 服务的 AWS 文档，并了解每项服务所遵循的数据保护实践。

对于 Terraform Cloud 或 Terraform Enterprise 发行版，AFT 会调用 HTTPS 端点 API 来访问您的 Terraform 组织。如果您选择 AWS CodeStar 连接支持的第三方 VCS 提供商，AFT 会调用 HTTPS 端点 API 来访问您的 VCS 提供商组织。