本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
AWS Panorama 中的数据保护
AWS 责任共担模式
出于数据保护目的,我们建议您保护 AWS 账户凭证并使用 AWS IAM Identity Center 或 AWS Identity and Access Management(IAM)设置单个用户。这样,每个用户只获得履行其工作职责所需的权限。我们还建议您通过以下方式保护数据:
-
对每个账户使用多重身份验证 (MFA)。
-
使用 SSL/TLS 与 AWS 资源进行通信。我们要求使用 TLS 1.2,建议使用 TLS 1.3。
-
使用 AWS CloudTrail 设置 API 和用户活动日志记录。
-
使用 AWS 加密解决方案以及 AWS 服务 中的所有默认安全控制。
-
使用高级托管安全服务(例如 Amazon Macie),它有助于发现和保护存储在 Amazon S3 中的敏感数据。
-
如果您在通过命令行界面或 API 访问 AWS 时需要经过 FIPS 140-2 验证的加密模块,请使用 FIPS 端点。有关可用的 FIPS 端点的更多信息,请参阅《美国联邦信息处理标准(FIPS)第 140-2 版》
。
我们强烈建议您切勿将机密信息或敏感信息(如您客户的电子邮件地址)放入标签或自由格式文本字段(如名称字段)。这包括使用控制台、API、AWS CLI 或 AWS SDK 处理 AWS Panorama 或其他 AWS 服务 时。在用于名称的标签或自由格式文本字段中输入的任何数据都可能会用于计费或诊断日志。如果您向外部服务器提供网址,我们强烈建议您不要在网址中包含凭证信息来验证对该服务器的请求。
传输中加密
AWS Panorama API 端点仅支持基于 HTTPS 的安全连接。使用 AWS Management Console、AWS 开发工具包或 AWS Panorama API 管理 AWS Panorama 资源时,所有通信都使用传输层安全性协议(TLS)进行加密。AWS Panorama 设备和 AWS 之间的通信也使用 TLS 加密。AWS Panorama 设备与摄像头之间通过 RTSP 进行的通信未加密。
有关 API 端点的完整列表,请参阅 AWS 一般参考 中的 AWS 区域和端点。
AWS Panorama 设备
AWS Panorama 设备具有用于以太网、HDMI 视频和 USB 存储的物理端口。SD 卡插槽、Wi-Fi 和蓝牙不可用。USB 端口仅在配置期间用于将配置存档传输到设备。
配置存档的内容(包括设备的置备证书和网络配置)未加密。AWS Panorama 不存储这些文件;只有在注册设备时才能检索它们。将配置存档传输到设备后,将其从计算机和 USB 存储设备中删除。
设备的整个文件系统均已加密。此外,该设备还应用了多种系统级保护,包括所需软件更新的回滚保护、签名内核和引导加载程序以及软件完整性验证。
停止使用设备时,请执行完全重置以删除应用程序数据并重置设备软件。
应用程序
您可以控制部署到设备的代码。在部署所有应用程序代码之前,无论其来源如何,都要验证其是否存在安全问题。如果在应用程序中使用第三方库,请仔细考虑这些库的许可和支持策略。
应用程序 CPU、内存和磁盘使用率不受设备软件的限制。使用过多资源的应用程序可能会对其他应用程序和设备的运行产生负面影响。在合并或部署到生产环境之前,单独测试应用程序。
应用程序资产(代码和模型)不会与帐户、设备或构建环境中的访问隔离。AWS Panorama 应用 CLI 生成的容器映像和模型存档未加密。对生产工作负载使用单独的帐户,并且仅允许根据需要进行访问。
其他服务
为了将您的模型和应用程序容器安全地存储在 Amazon S3 中,AWS Panorama 使用具有 Amazon S3 管理的密钥的服务器端加密。有关更多信息,请参阅 Amazon Simple Storage Service 用户指南中的通过加密保护数据。
摄像头流式传输凭证在 AWS Secrets Manager 中静态加密。设备的 IAM 角色授予其检索密钥的权限,以便访问流的用户名和密码。
AWS Panorama 设备将日志数据发送到亚马逊 CloudWatch 日志。 CloudWatch 默认情况下,日志会对这些数据进行加密,并且可以将其配置为使用客户托管密钥。有关更多信息,请参阅 Amazon CloudWatch 日志用户指南AWS KMS中的使用加密 CloudWatch 日志中的日志数据。
