Amazon Elastic Block Store 中的数据保护 - Amazon EBS

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon Elastic Block Store 中的数据保护

AWS 责任共担模式应用于 Amazon Elastic Block Store 中的数据保护。如该模式中所述,AWS 负责保护运行所有 AWS Cloud 的全球基础设施。您负责维护对托管在此基础架构上的内容的控制。您还负责您所使用的 AWS 服务 的安全配置和管理任务。有关数据隐私的更多信息,请参阅数据隐私常见问题解答有关欧洲数据保护的信息,请参阅 AWS 安全性博客上的 AWS 责任共担模式和 GDPR 博客文章。

出于数据保护目的,我们建议您保护 AWS 账户 凭证并使用 AWS IAM Identity Center 或 AWS Identity and Access Management (IAM) 设置单个用户。这样,每个用户只获得履行其工作职责所需的权限。我们还建议您通过以下方式保护数据:

  • 对每个账户使用多重身份验证 (MFA)。

  • 使用 SSL/TLS 与AWS资源进行通信。我们要求使用 TLS 1.2,建议使用 TLS 1.3。

  • 使用AWS CloudTrail设置 API 和用户活动日志记录。

  • 使用 AWS 加密解决方案以及 AWS 服务中的所有默认安全控制。

  • 使用高级托管安全服务(例如 Amazon Macie),它有助于发现和保护存储在 Amazon S3 中的敏感数据。

  • 如果在通过命令行界面或 API 访问AWS时需要经过 FIPS 140-2 验证的加密模块,请使用 FIPS 端点。有关可用的 FIPS 端点的更多信息,请参阅《美国联邦信息处理标准(FIPS)第 140-2 版》

我们强烈建议您切勿将机密信息或敏感信息(如您客户的电子邮件地址)放入标签或自由格式文本字段(如名称字段)。将控制台、API、AWS CLI 或 AWS SDK 与 Amazon EBS 或其他 AWS 服务 结合使用时,也是如此。在用于名称的标签或自由格式文本字段中输入的任何数据都可能会用于计费或诊断日志。如果您向外部服务器提供网址,强烈建议您不要在网址中包含凭证信息来验证对该服务器的请求。

Amazon EBS 数据安全

Amazon EBS 卷作为未格式化的原始块储存设备呈现。这些设备是在 EBS 基础设施上创建的逻辑设备;Amazon EBS 服务可确保在客户使用或重复使用之前,这些设备为逻辑空白(即,原始数据块被归零或包含加密伪随机数据)。

如果您有要求在使用后和/或使用前使用特定方法擦除所有数据的程序,例如 DoD 5220.22-M(美国《国家工业安全计划操作手册》)或 NIST 800-88(《存储介质清理指南》)中详细说明的程序,您可以在 Amazon EBS 上执行此操作。该数据块级活动将反映到 Amazon EBS 服务的底层存储介质中。

静态和动态加密

Amazon EBS 加密是一种加密解决方案,使您能够使用 AWS Key Management Service 加密密钥对 Amazon EBS 卷和 Amazon EBS 快照进行加密。EBS 加密操作在托管 Amazon EC2 实例的服务器上进行,用于确保静态数据的安全性,以及在实例和其挂载的卷与任何后续快照之间的传输中数据的安全性。有关更多信息,请参阅Amazon EBS 加密

KMS 密钥管理

创建加密的 Amazon EBS 卷或快照时,您可以指定 AWS Key Management Service 密钥。默认情况下,Amazon EBS 将在您的账户和区域 (aws/ebs) 中将 AWS 托管 KMS 密钥用于 Amazon EBS。不过,您可以指定自己创建和管理的客户托管的 KMS 密钥。使用客户托管的 KMS 密钥可以提高灵活性,包括提供创建、轮换和禁用 KMS 密钥的能力。

要使用客户托管的 KMS 密钥,您必须向用户授予使用 KMS 密钥的权限。有关更多信息,请参阅用户的权限

重要

Amazon EBS 仅支持对称 KMS 密钥。不能使用非对称 KMS 密钥来加密 Amazon EBS 卷和快照。要获取确定 KMS 密钥是对称还是非对称的帮助,请参阅识别非对称 KMS 密钥

对于每个卷,Amazon EBS 要求 AWS KMS 生成一个使用您指定的 KMS 密钥进行加密的唯一数据密钥。Amazon EBS 使用该卷存储加密数据密钥。然后,当您将卷附加到 Amazon EC2 实例时,Amazon EBS 会调用 AWS KMS 来解密数据密钥。Amazon EBS 使用管理程序内存中的明文数据密钥来加密卷的所有 I/O。有关更多信息,请参阅 EBS 加密的工作原理