本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
Amazon 的數據保護 EC2
AWS 共同責任模型
基於資料保護目的,我們建議您使用 AWS IAM Identity Center 或 AWS Identity and Access Management (IAM) 保護 AWS 帳戶 認證並設定個別使用者。如此一來,每個使用者都只會獲得授與完成其任務所必須的許可。我們也建議您採用下列方式保護資料:
-
對每個帳戶使用多重要素驗證 (MFA)。
-
使用SSL/TLS與 AWS 資源溝通。我們需要 TLS 1.2 並推薦 TLS 1.3。
-
使用設定API和使用者活動記錄 AWS CloudTrail。
-
使用 AWS 加密解決方案以及其中的所有默認安全控制 AWS 服務。
-
使用進階的受管安全服務 (例如 Amazon Macie),協助探索和保護儲存在 Amazon S3 的敏感資料。
-
如果 AWS 透過命令列介面或存取時需要 FIPS 140-3 驗證的密碼編譯模組API,請使用端點。FIPS如需有關可用FIPS端點的詳細資訊,請參閱聯邦資訊處理標準 (FIPS) 140-3
。
我們強烈建議您絕對不要將客戶的電子郵件地址等機密或敏感資訊,放在標籤或自由格式的文字欄位中,例如名稱欄位。這包括當您 AWS 服務 使用控制台、、EC2或與 Amazon 或其他API人 AWS CLI合作時 AWS SDKs。您在標籤或自由格式文字欄位中輸入的任何資料都可能用於計費或診斷日誌。如果您提供URL給外部伺服器,我們強烈建議您不要在中包含認證資訊,URL以驗證您對該伺服器的要求。
Amazon EBS 數據安全
Amazon EBS 磁碟區會以原始、未格式化的區塊裝置呈現給您。這些裝置是在EBS基礎設施上建立的邏輯裝置,Amazon EBS 服務可確保在客戶使用或重複使用之前,裝置邏輯上是空的 (也就是說,原始區塊歸零或包含加密虛擬隨機資料)。
如果您有需要在使用之後或之前(或兩者)使用特定方法(或兩者)擦除所有數據的程序,例如 DoD 5220.22-M(國家工業安全計劃操作手冊)或 NIST800-88(媒體清理指南)中詳述的程序,則可以在 Amazon 上執行此操作。EBS該區塊層級活動將反映到 Amazon EBS 服務中的基礎儲存媒體。
靜態加密
EBS磁碟區
Amazon EBS 加密是適用於EBS磁碟區和快照的加密解決方案。它使用 AWS KMS keys。如需詳細資訊,請參閱 Amazon EBS使用者指南中的 Amazon EBS 加密。
[Windows 執行個體] 您也可以使用 Microsoft EFS 和NTFS權限進行資料夾層級和檔案層級加密。
執行個體儲存體磁碟區
NVMe執行個體儲存磁碟區上的資料會使用 XTS AES -256 密碼加密,並在執行個體的硬體模組上實作。用於加密寫入本機連接NVMe儲存裝置的資料金鑰是依客戶和每個磁碟區而定。這些金鑰由硬體模組產生且僅駐留在其中, AWS 人員無法存取此模組。這些加密金鑰會在執行個體停止或終止時銷毀,且無法復原。您無法停用此加密,也無法提供您自己的加密金鑰。
H1、D3 和 D3en 執行個體上執行個體儲存磁碟區上的資料會使用 XTS AES -256 和一次性金鑰加密。HDD
當您讓執行個體停止、休眠或終止時,執行個體存放區磁碟區中的所有儲存區塊都會重設。因此,資料無法透過另一個執行個體的執行個體存放區存取。
記憶體
下列執行個體會啟用記憶體加密:
-
具有 AWS 重力子處理器的執行個體。 AWS 引力 2、重力 on AWS 3 和 AWS 重力 on3E 支援永遠在線的記憶體加密。加密金鑰會在主機系統內安全地產生,不能離開主機系統,並在主機重新啟動或關閉電源時銷毀。如需詳細資訊,請參閱 AWS Graviton 處理器。
-
搭載第三代 Intel Xeon 可擴充處理器 (Ice Lake) 的執行個體 (例如 M6i 執行個體) 以及搭載第四代 Intel Xeon 可擴充處理器 (Sapphire Rapids) 的執行特體 (例如 M7i 執行個體)。這些處理器使用 Intel 總記憶體加密 () TME 支援永遠開啟的記憶體加密。
-
具有第三代AMDEPYC處理器 (米蘭) 的執行個體,例如 M6a 執行個體,以及第 4 代AMDEPYC處理器 (Genoa),例如 M7a 執行個體。這些處理器使用AMD安全記憶體加密 () SME 支援永遠在線的記憶體加密。具有第三代AMDEPYC處理器 (Milan) 的執行個體也支援AMD安全加密虛擬化安全巢狀分頁 (-)。SEV SNP
傳輸中加密
在實體層加密
在離開 AWS 安全設施之前,透過 AWS 全球網路跨 AWS 區域流動的所有資料都會在實體層自動加密。之間AZs的所有流量都經過加密。額外的加密層 (包括本節所列的加密層) 可能會提供額外的保護。
Amazon VPC 對等互連和 Transit Gateway 跨區域對等互連提供的加密
所有使用 Amazon 對等互連和 Transit Gateway VPC 對等的跨區域流量在退出區域時都會自動大量加密。如本節先前所述,在所有流量離開 AWS 安全設施之前,會在實體層自動為所有流量提供額外的加密層。
執行個體間的加密
AWS 在所有類型的EC2執行個體之間提供安全和私有的連線。此外,某些執行個體類型使用基礎 Nitro System 硬體的卸載功能,以自動加密執行個體之間的傳輸中流量。此加密使用具有 256 位元加密與關聯資料 (AEAD) 演算法的驗證加密。這對網路效能沒有影響。若要支援執行個體之間額外的傳輸中流量加密,必須符合下列要求:
-
執行個體使用下列執行個體類型:
-
一般用途:M5 DN,M5 N,兆兆安,M6i,M6i,M6 ID,M6 英寸,M7 安培,M7 克,M7gD,M7 億,M7i,M7-柔性
-
計算優化:C5 安培,C5 公升,C5n,C6 安,C6 一,C6 標識,C6 英寸,C7 克,C7 克,C7 吉 D,C7 吉 D,C7 指數,C7 I,C7-柔性
-
記憶體最佳化:R5 DN、R5 N、六安、R6 I、R6 英寸、R6 英寸、R7 A、R7 G、R7GD、R7 安培、R7 伊茲、R8 克、U-3 TB1、U-6TB1、U -12 TB 1、U 在 16 TB, 乌 7 英寸-24 TB, 乌 7 英寸 32 TB, X2 IDN, X2 一个
-
儲存最佳化:D3、D3en、I3en、I4G、I4i、I4GN、i4 世代
-
加速運算:DL1,, G4adDL2q, G4dN, G5, G6, G6e, GR6, 匯率 1, 二次, P4dN, P4d, P4de, P5, 中一, TRN1n, VT1
-
高效能運算:Hpc6a、Hpc6id、Hpc7a、Hpc7g
-
-
這些執行個體位於相同的區域中。
-
執行個體位於相同VPC或對等VPCs,而且流量不會透過虛擬網路裝置或服務 (例如負載平衡器或傳輸閘道) 傳輸。
如本節先前所述,在所有流量離開 AWS 安全設施之前,會在實體層自動為所有流量提供額外的加密層。
使用 AWS CLI檢視加密執行個體之間傳輸中流量的執行個體類型
使用下列 describe-instance-types 命令。
aws ec2 describe-instance-types \ --filters Name=network-info.encryption-in-transit-supported,Values=true \ --query "InstanceTypes[*].[InstanceType]" \ --output text | sort
來回加密 AWS Outposts
Outpost 會建立特殊的網路連線,稱為服務連結至其本 AWS 位目錄區域,並選擇性地建立您指定之子網VPC路的私人連線。透過這些連線的所有流量都會完整加密。如需詳細資訊,請參閱 AWS Outposts 使用者指南中的透過服務連結連線和傳輸中加密。
遠端存取加密
SSH和通訊RDP協定提供安全的通訊通道,讓您可以直接或透過EC2執行個體 Connect 進行遠端存取。使用 AWS Systems Manager 工作階段管理員或執行命令對執行個體的遠端存取是使用 TLS 1.2 進行加密的,建立連線的請求會使用 Sigv4 簽署,並經過AWS Identity and Access Management驗證和授權。
您有責任使用加密協定 (例如傳輸層安全性 (TLS) 來加密用戶端和 Amazon EC2 執行個體之間傳輸中的敏感資料。
(Windows 執行個體) 請務必只允許EC2執行個體與 AWS API端點或其他敏感遠端網路服務之間的加密連線。您可以透過傳出安全群組或 Windows 防火牆
