本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
安全支柱
雲端安全是 的最高優先順序 AWS。身為 AWS 客戶,您可以受益於資料中心和網路架構,這些架構專為滿足最安全敏感組織的需求而建置。安全性是您和 之間的共同責任 AWS。共同責任模型
-
雲端的安全性 – AWS 負責保護在 AWS 服務 中執行的基礎設施 AWS 雲端。 AWS 也為您提供可安全使用的服務。在AWS 合規計劃
中,第三方稽核人員會定期測試和驗證 AWS 安全的有效性。若要了解適用於 Neptune 的合規計劃,請參閱AWS 合規計劃範圍內的服務 。 -
雲端的安全性 – 您的責任取決於您使用 AWS 服務 的 。您也必須對其他因素負責,包括資料的機密性、您公司的要求和適用法律和法規。如需資料隱私權的詳細資訊,請參閱資料隱私權FAQs
。如需有關歐洲資料保護的資訊,請參閱AWS 共同責任模型和 GDPR 部落格文章。
AWS Well-Architected Framework 的安全支柱可協助您了解如何在使用 Neptune Analytics 時套用共同責任模型。下列主題說明如何設定 Neptune Analytics 以符合您的安全和合規目標。您也會了解如何使用其他 AWS 服務 來協助您監控和保護 Neptune Analytics 資源。安全支柱包含下列主要重點領域:
-
資料安全
-
網路安全
-
身分驗證和授權
實作資料安全性
資料外洩和違規會讓您的客戶面臨風險,並可能對您的公司造成重大負面影響。下列最佳實務有助於保護您的客戶資料免於意外和惡意暴露:
-
圖形名稱、標籤、IAM 角色和其他中繼資料不應包含機密或敏感資訊,因為該資料可能會出現在帳單或診斷日誌中。
-
存放為 Neptune 中資料的外部伺服器的 URIs或連結不應包含登入資料資訊來驗證請求。
-
Neptune Analytics 圖形會靜態加密。您可以使用您選擇的預設金鑰或 AWS Key Management Service (AWS KMS) 金鑰來加密圖形。您也可以加密在大量匯入期間匯出至 Amazon S3 的快照和資料。您可以在匯入完成時移除加密。
-
當您使用 openCypher 語言時,請練習適當的輸入驗證和參數化技術,以防止 SQL Injection 和其他形式的攻擊。避免使用使用者提供的輸入來建構使用字串串連的查詢。使用參數化查詢或預備陳述式,安全地將輸入參數傳遞至圖形資料庫。如需詳細資訊,請參閱 Neptune 文件中的 openCypher 參數化查詢範例。
保護您的網路
您可以為公有連線啟用 Neptune Analytics 圖形,以便從虛擬私有雲端 (VPC) 外部進行連線。此連線預設為停用。圖形需要 IAM 身分驗證。發起人必須取得身分並具有使用圖形的許可。例如,若要執行 openCypher 查詢,呼叫者需要具有特定圖形的讀取、寫入或刪除許可。
您也可以為圖形建立私有端點,以從 VPC 內存取圖形。建立端點時,您可以指定 VPC、子網路和安全群組,以限制呼叫圖形的存取。
為了保護您的傳輸中資料,Neptune Analytics 會透過 HTTPS 強制執行與圖形的 SSL 連線。如需詳細資訊,請參閱 Neptune Analytics 文件中的 Neptune Analytics 中的資料保護。
實作身分驗證和授權
呼叫 Neptune Analytics 圖形需要 IAM 身分驗證。發起人必須取得身分並擁有足夠的許可,才能在圖形上執行動作。如需 API 動作及其必要許可的說明,請參閱 Neptune Analytics API 文件。您可以強制執行條件檢查,依標籤限制存取。
IAM 身分驗證使用 AWS Signature 第 4 版 (SigV4) 通訊協定。為了簡化應用程式的使用,我們建議您使用 AWS SDK
當您將資料載入圖形時,批次載入會使用發起人的 IAM 登入資料。發起人必須具有從 Amazon S3 下載資料並設定信任關係的許可,以便 Neptune Analytics 可以擔任角色,從 Amazon S3 檔案將資料載入圖形。
大量匯入可以在圖形建立期間 (由基礎設施團隊執行) 或在現有的空白圖形上執行 (由具有啟動匯入任務許可的資料工程團隊執行)。在這兩種情況下,Neptune Analytics 都會擔任發起人提供做為輸入的 IAM 角色。此角色授予它讀取和列出輸入資料暫存之 Amazon S3 資料夾內容的許可。
