AWSControl Tower 的基礎設施保安

AWSControl Tower 受到 AWS Amazon Web Services：安全程序概觀白皮書中所述的全球網路安全程序。

您使用 AWS 已發佈的存取要API求 AWS 通過網絡在您的 landing zone 內的服務和資源。我們需要傳輸層安全性 (TLS) 1.2，並建議使用傳輸層安全性 (TLS) 1.3 或更新版本。客戶還必須支持具有完美正向保密（）的密碼套件，例如短暫的迪菲-赫爾曼（PFS）或橢圓曲線短暫迪菲-赫爾曼（）。DHE ECDHE現代系統(如 Java 7 和更新版本)大多會支援這些模式。

此外，請求必須使用存取金鑰 ID 和與IAM主體相關聯的秘密存取金鑰來簽署。或者您可以使用 AWS Security Token Service (AWS STS) 以產生臨時安全憑證以簽署請求。

您可以設定安全群組，為 AWS Control Tower landing zone 工作負載提供額外的網路基礎架構安全性。如需詳細資訊，請參閱逐步解說：使用 AWS Firewall Manager 在 AWS Control Tower 中設定安全群組。