AWS 数据传输终端中的数据保护
AWS 责任共担模式
出于数据保护目的,建议您保护 AWS 账户 凭证并使用 AWS IAM Identity Center 或 AWS Identity and Access Management(IAM)设置单个用户。这样,每个用户只获得履行其工作职责所需的权限。还建议您通过以下方式保护数据:
-
对每个账户使用多重身份验证(MFA)。
-
使用 SSL/TLS 与 AWS 资源进行通信。我们要求使用 TLS 1.2,建议使用 TLS 1.3。
-
使用 AWS CloudTrail 设置 API 和用户活动日记账记录。有关使用 CloudTrail 跟踪来捕获 AWS 活动的信息,请参阅《AWS CloudTrail 用户指南》中的使用 CloudTrail 跟踪。
-
使用 AWS 加密解决方案以及 AWS 服务中的所有默认安全控制。
-
使用高级托管安全服务(例如 Amazon Macie),它有助于发现和保护存储在 Amazon S3 中的敏感数据。
-
如果在通过命令行界面或 API 访问 AWS 时需要经过 FIPS 140-3 验证的加密模块,请使用 FIPS 端点。有关可用的 FIPS 端点的更多信息,请参阅《美国联邦信息处理标准(FIPS)第 140-3 版》
。
强烈建议您切勿将机密信息或敏感信息(如您客户的电子邮件地址)放入标签或自由格式文本字段(如名称字段)。这包括当您通过控制台、API、AWS CLI、或 AWS SDK 使用数据传输终端或其他 AWS 服务时。在用于名称的标签或自由格式文本字段中输入的任何数据都可能会用于计费或诊断日志。如果您向外部服务器提供网址,强烈建议您不要在网址中包含凭证信息来验证对该服务器的请求。
数据加密
AWS 数据传输终端为您提供高速网络连接访问,以在自管理存储系统与 AWS 存储服务之间安全传输数据。存储数据在传输过程中如何加密部分取决于设备上启用的策略以及数据传输到的服务。数据管理和传输中的加密由使用数据传输终端的个人负责。
静态加密
AWS 数据传输终端会加密所有静态数据。
数据传输终端仅捕获预留所需的数据,包括指定参加和安排预留的个人的姓名和电子邮件地址。收集这些数据的目的是确认预留详细信息,并确保能够进入房间进行数据传输。这些事务信息的备份时间不超过 35 天,但 AWS 账户信息将保留 10 年。
传输中加密
AWS 数据传输终端不加密传输中数据。当您与数据传输终端 API 端点交互以在控制台中设置传输团队、添加人员和安排预留时,数据将在传输过程中加密。作为 AWS 责任共担模式的一部分,您可以选择通过数据传输终端连接到 AWS 服务的方式。强烈建议您选择使用强传输加密(例如 TLS 1.2 和 1.3)连接到 AWS 服务。
例如,通过在 Amazon S3 存储桶策略中使用 aws:SecureTransport 条件,仅使用通过 HTTPS(TLS)的加密连接,如下面的存储桶策略中所示。
{ "Version": "2012-10-17", "Statement": [{ "Sid": "RestrictToTLSRequestsOnly", "Action": "s3:", "Effect": "Deny", "Resource": [ "arn:aws:s3:::amzn-s3-demo-bucket", "arn:aws:s3:::amzn-s3-demo-bucket/" ], "Condition": { "Bool": { "aws:SecureTransport": "false" } }, "Principal": "*" }] }
要了解有关使用其他 AWS 服务(如 Amazon S3)进行传输中数据加密的更多信息,请参阅《Amazon S3 用户指南》中的使用服务器端加密保护数据。
密钥管理
AWS 数据传输终端不直接支持客户自主管理型密钥。请使用您在数据传输终端预留期间连接的 AWS 服务提供的客户自主管理型密钥。在《AWS Key Management Service Developer Guide》https://docs.aws.amazon.com/kms/latest/developerguide/overview.html#customer-cmk#IMUpdateThresholdFromMap的 AWS KMS keys 章节中,了解有关客户自主管理型密钥以及如何加密静态数据的更多信息。
互联网络流量隐私
通过已发布的服务 API 访问数据传输终端控制台。数据传输终端资源独立于虚拟私有云(VPC)。
