AWS Resource Groups 中的資料保護 - AWS Resource Groups
資料加密網際網路流量隱私權

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

AWS Resource Groups 中的資料保護

AWS 共同的責任模型適用於 AWS Resource Groups 中的資料保護。如此模型所述,AWS 負責保護執行所有 AWS 雲端 的全球基礎設施。您必須負責維護在此基礎設施上託管之內容的控制權。您也必須負責您所使用的 AWS 服務 安全性設定和管理工作。如需有關資料隱私權的詳細資訊,請參閱資料隱私權常見問答集如需有關歐洲資料保護的相關資訊,請參閱 AWS 安全性部落格上的 AWS 共同的責任模型和 GDPR 部落格文章。

基於資料保護目的,建議您使用 AWS IAM Identity Center 或 AWS Identity and Access Management (IAM) 保護 AWS 帳戶 憑證,並設定個別使用者。如此一來,每個使用者都只會獲得授與完成其任務所必須的許可。我們也建議您採用下列方式保護資料:

  • 每個帳戶均要使用多重要素驗證 (MFA)。

  • 使用 SSL/TLS 與 AWS 資源通訊。我們需要 TLS 1.2 並建議使用 TLS 1.3。

  • 使用 AWS CloudTrail 設定 API 和使用者活動記錄。

  • 使用 AWS 加密解決方案,以及 AWS 服務 內的所有預設安全控制項。

  • 使用進階的受管安全服務 (例如 Amazon Macie),協助探索和保護儲存在 Amazon S3 的敏感資料。

  • 如果您在透過命令列介面或 API 存取 AWS 時,需要 FIPS 140-2 驗證的加密模組,請使用 FIPS 端點。如需有關 FIPS 和 FIPS 端點的詳細資訊,請參閱聯邦資訊處理標準 (FIPS) 140-2 概觀

我們強烈建議您絕對不要將客戶的電子郵件地址等機密或敏感資訊,放在標籤或自由格式的文字欄位中,例如 Name (名稱) 欄位。這包括當您使用主控台、API 或 AWS SDK AWS 服務 使用 Resource Groups 或其他資源群組時。AWS CLI您在標籤或自由格式文字欄位中輸入的任何資料都可能用於計費或診斷日誌。如果您提供外部伺服器的 URL,我們強烈建議請勿在驗證您對該伺服器請求的 URL 中包含憑證資訊。

資料加密

與其他AWS服務相比,AWS Resource Groups具有最小的攻擊面,因為它不提供更改,添加或刪除除組之外的AWS資源的方法。Resource Groups 會向您收集下列服務特定資訊。

  • 群組名稱 (未加密,非私人)

  • 群組描述 (未加密,但私密)

  • 群組中的成員資源 (這些資源儲存在未加密的記錄檔中)

靜態加密

沒有其他方法可隔離特定於 Resource Groups 的服務或網路流量。如果適用,請使用AWS特定的隔離。您可以在 VPC 中使用 Resource Groups API 和主控台來協助最大化隱私權和基礎架構安全性。

傳輸中加密

AWS Resource Groups數據在傳輸到服務的內部數據庫進行備份時被加密。這不是使用者可設定的。

金鑰管理

AWS Resource Groups目前未與整合,AWS Key Management Service且不支援AWS KMS keys。

網際網路流量隱私權

AWS Resource Groups使用 HTTPS 進行 Resource Groups 使用者與AWS之間的所有傳輸。Resource Groups 使用傳輸層安全性 (TLS) 1.2,但也支援 TLS 1.0 和 1.1。