以下方面的安全最佳实践 AWS Proton

AWS Proton 提供安全功能，供您在制定和实施自己的安全策略时考虑。以下最佳实践是一般指导原则，并不代表完整安全解决方案。这些最佳实践可能不适合环境或不满足环境要求，请将其视为有用的考虑因素而不是惯例。

使用 IAM 控制访问

您可以使用 AWS 服务 IAM 来管理用户及其在中的权限 AWS。您可以将 IAM 与配合使用 AWS Proton 来指定管理员和开发人员可以执行的操作，例如管理模板、环境或服务。 AWS Proton 您可以使用 IAM 服务角色 AWS Proton 来允许代表您调用其他服务。

有关 AWS Proton 和 IAM 角色的更多信息，请参阅Identity and Access Management AWS Proton。

实施最低权限访问。有关更多信息，请参阅《AWS Identity and Access Management 用户指南》中的 IAM 中的策略和权限。

不要将凭证嵌入到您的模板和模板捆绑包中

我们建议您在堆栈 AWS CloudFormation 模板中使用动态引用，而不是在模板和模板包中嵌入敏感信息。

动态引用为您提供了一种紧凑而强大的方式来引用存储在其他服务（例如 P AWS Systems Manager arameter Store 或）中存储和管理的外部值 AWS Secrets Manager。使用动态引用时，在堆栈和更改集操作期间必要时 CloudFormation 检索指定引用的值，并将该值传递给相应的资源。但是， CloudFormation 从不存储实际参考值。有关更多信息，请参阅《AWS CloudFormation 用户指南》中的使用动态引用以指定模板值。

AWS Secrets Manager 帮助您安全地加密、存储和检索数据库和其他服务的凭证。AWS Systems Manager Parameter Store 提供安全的分层存储以管理配置数据。

有关定义模板参数的更多信息，请参阅《AWS CloudFormation 用户指南》中的 https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/parameters-section-structure.html。

使用加密以保护敏感数据

默认情况下 AWS Proton，所有客户数据均使用 AWS Proton 自有密钥进行加密。

作为平台团队的一员，您可以为其提供客户管理的密钥 AWS Proton ，以加密和保护您的敏感数据。静态加密 S3 存储桶中的敏感数据。有关更多信息，请参阅 中的数据保护 AWS Proton。

用于 AWS CloudTrail 查看和记录 API 调用

AWS CloudTrail 跟踪任何在你的 API 中调用 API 的人 AWS 账户。每当有人使用 API、 AWS Proton 控制台或 AWS Proton AWS CLI 命令时，都会记录 AWS Proton API 调用。启用日志记录并指定用于存储日志的 Amazon S3 存储桶。这样，如果你需要，你可以审计谁在你的账户中 AWS Proton 打了什么电话。有关更多信息，请参阅 登录和监控 AWS Proton。