本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Amazon EBS 中的数据保护
责任共担模式 AWS 分担责任模型
出于数据保护目的,我们建议您保护 AWS 账户 凭证并使用 AWS IAM Identity Center 或 AWS Identity and Access Management (IAM) 设置个人用户。这样,每个用户只获得履行其工作职责所需的权限。还建议您通过以下方式保护数据:
-
对每个账户使用多重身份验证(MFA)。
-
使用 SSL/TLS 与资源通信。 AWS 我们要求使用 TLS 1.2,建议使用 TLS 1.3。
-
使用设置 API 和用户活动日志 AWS CloudTrail。有关使用 CloudTrail 跟踪捕获 AWS 活动的信息,请参阅《AWS CloudTrail 用户指南》中的使用跟 CloudTrail 踪。
-
使用 AWS 加密解决方案以及其中的所有默认安全控件 AWS 服务。
-
使用高级托管安全服务(例如 Amazon Macie),它有助于发现和保护存储在 Amazon S3 中的敏感数据。
-
如果您在 AWS 通过命令行界面或 API 进行访问时需要经过 FIPS 140-3 验证的加密模块,请使用 FIPS 端点。有关可用的 FIPS 端点的更多信息,请参阅《美国联邦信息处理标准(FIPS)第 140-3 版》
。
强烈建议您切勿将机密信息或敏感信息(如您客户的电子邮件地址)放入标签或自由格式文本字段(如名称字段)。这包括您 AWS 服务 使用控制台、API 或与 Amazon EBS 或其他机构 AWS CLI合作时。 AWS SDKs在用于名称的标签或自由格式文本字段中输入的任何数据都可能会用于计费或诊断日志。如果您向外部服务器提供网址,强烈建议您不要在网址中包含凭证信息来验证对该服务器的请求。
Amazon EBS 数据安全
Amazon EBS 卷作为未格式化的原始块储存设备呈现。这些设备是在 EBS 基础设施上创建的逻辑设备;Amazon EBS 服务可确保在客户使用或重复使用之前,这些设备为逻辑空白(即,原始数据块被归零或包含加密伪随机数据)。
如果您有要求在使用后和/或使用前使用特定方法擦除所有数据的程序,例如 DoD 5220.22-M(美国《国家工业安全计划操作手册》)或 NIST 800-88(《存储介质清理指南》)中详细说明的程序,您可以在 Amazon EBS 上执行此操作。该数据块级活动将反映到 Amazon EBS 服务的底层存储介质中。
静态和动态加密
Amazon EBS 加密是一种加密解决方案,使您能够使用 AWS Key Management Service 加密密钥对亚马逊 EBS 卷和亚马逊 EBS 快照进行加密。EBS 加密操作发生在托管 Amazon EC2 实例的服务器上,从而确保两者的安全,data-at-rest以及实例及其附加卷与任何后续快照data-in-transit之间的安全。有关更多信息,请参阅 Amazon EBS 加密。
KMS 密钥管理
创建加密的 Amazon EBS 卷或快照时,需要指定 AWS Key Management Service 密钥。默认情况下,亚马逊 EBS 在您的账户和区域()aws/ebs中使用亚马逊 EBS 的 AWS 托管 KMS 密钥。不过,您可以指定自己创建和管理的客户托管的 KMS 密钥。使用客户托管的 KMS 密钥可以提高灵活性,包括提供创建、轮换和禁用 KMS 密钥的能力。
要使用客户托管的 KMS 密钥,您必须向用户授予使用 KMS 密钥的权限。有关更多信息,请参阅 用户的权限。
重要
Amazon EBS 仅支持对称 KMS 密钥。不能使用非对称 KMS 密钥来加密 Amazon EBS 卷和快照。要帮助确定 KMS 密钥是对称密钥还是非对称密钥,请参阅识别非对称 KMS 密钥。
对于每个卷,Amazon EBS 会要求 AWS KMS 生成一个使用您指定的 KMS 密钥加密的唯一数据密钥。Amazon EBS 使用该卷存储加密数据密钥。然后,当您将卷连接到 Amazon EC2 实例时,Amazon EBS 会调 AWS KMS 用解密数据密钥。Amazon EBS 使用管理程序内存中的明文数据密钥来加密卷的所有 I/O。有关更多信息,请参阅 Amazon EBS 加密的工作原理。
