資料保護

AWS 共同責任模型適用於 AFT 中的資料保護。基於資料保護目的，我們建議採用下列安全性最佳實務。

• 遵循 AWS Control Tower 提供的資料保護指導方針。如需詳細資訊，請參閱 AWS Control Tower 中的資料保護。

• 保留在 AFT 部署時產生的 Terraform 狀態組態。如需詳細資訊，請參閱 部署適用於 Terraform (AFT) 的 AWS Control Tower 帳戶工廠。

• 根據您組織的安全政策，定期輪換敏感憑證。秘密的範例包括 Terraform 字符、git字符等。

靜態加密

AFT 會建立使用 AWS Key Management Service 金鑰靜態加密的 Amazon S3 儲存貯體、Amazon SNS 主題、Amazon SQS 佇列和 Amazon DynamoDB 資料庫。AFT 建立的 KMS 金鑰預設會啟用每年輪換。如果您選擇 Terraform Cloud 或 Terraform Enterprise 分佈的 Terraform，AFT 會包含 AWS Systems Manager SecureString 參數來存放敏感的 Terraform 字符值。

AFT 使用 中所述的服務，元件服務根據預設，該 AWS 服務會靜態加密。如需詳細資訊，請參閱每個 AFT 元件 AWS 服務 AWS 的文件，並了解每個服務後面的資料保護實務。

傳輸中加密

根據預設，AFT 倚賴 中所述元件服務使用傳輸中加密 AWS 的服務。如需詳細資訊，請參閱每個 AFT 元件 AWS 服務 AWS 的文件，並了解每個服務後面的資料保護實務。

對於 Terraform Cloud 或 Terraform Enterprise 分佈，AFT 會呼叫 HTTPS 端點 API 來存取您的 Terraform 組織。如果您選擇 AWS CodeStar 連線支援的第三方 VCS 提供者，AFT 會呼叫 HTTPS 端點 API 來存取您的 VCS 提供者組織。