AWS Proton 中的資料保護 - AWS Proton

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

AWS Proton 中的資料保護

AWS Proton符合AWS 共同責任模型其中包含資料保護條例和指導方針。AWS負責保護執行所有AWS 服務。AWS維護控制在此基礎設施上託管的資料,包括處理客户內容和個人資料的安全配置控制。AWS客户和 APN 合作夥伴,作為資料控制器或資料處理器,負責它們放置在AWS 雲端

基於資料保護目的,建議您保護AWS 帳戶憑據,並使用AWS Identity and Access Management(IAM),這樣每個使用者都只會獲得完成其任務所必須的許可。我們也建議您採用下列方式保護資料:

  • 每個帳戶都使用多重要素驗證 (MFA)。

  • 使用 SSL/TLS 與 AWS 資源通訊。建議使用 TLS 1.2 或更新版本。

  • 使用 AWS CloudTrail 設定 API 和使用者活動記錄。

  • 使用AWS加密解決方案,以及AWS 服務。

我們強烈建議您絕對不要將客戶帳戶號碼等敏感的識別資訊,放在自由格式的欄位中,例如Name (名稱) 欄位。這包括當您使用AWS Proton或其他AWS 服務使用主控台、API、AWS CLI, 或AWS開發套件。您輸入 AWS Proton 或其他服務的任何資料都可能被選入診斷日誌中。當您提供外部伺服器的 URL 時,請勿在驗證您對該伺服器請求的 URL 中包含憑證資訊。

如需關於資料保護的詳細資訊,請參閱 AWS 安全部落格上的 AWS 共同責任模型和歐盟《一般資料保護規範》(GDPR) 部落格文章。

靜態服務器端加密

如果您選擇在存儲模板包的 S3 存儲桶中靜態加密模板包中的敏感數據,則必須使用 SSE-S3 或 SSE-KMS 密鑰來允許AWS Proton來檢索模板包,以便它們可以附加到已註冊的AWS Proton模板。

傳輸中加密

服務之間所有通訊在途中都使用 SSL/TLS 進行加密。

AWS Proton加密金鑰管理

範圍內AWS Proton,默認情況下,所有客户數據都會使用AWS Proton擁有的密鑰。如果您提供客户擁有和託管的AWS KMS密鑰,所有客户數據都將使用客户提供的密鑰加密,如以下段落所述。

建立時AWS Proton模板中,您可以指定您的密鑰和AWS Proton使用您的憑據創建授權,允許AWS Proton以使用您的密鑰。

如果您手動停用授予或禁用或刪除指定的密鑰,則AWS Proton無法讀取由指定密鑰加密的數據並拋出ValidationException

AWS Proton 加密內容

AWS Proton支持加密上下文標頭。加密內容是一組選用的金鑰值對,可以包含資料的其他相關內容資訊。如需有關加密內容的更多資訊,請參閱《AWS Key Management Service 開發人員指南》中的 AWS Key Management Service 概念 – 加密內容

加密內容是一組金鑰/值對,其中包含任意非私密資料。當在加密資料的請求中包含加密內容時,AWS KMS以密碼編譯方式將加密內容繫結至加密的資料。若要解密資料,您必須傳遞相同的加密內容。

客户可以使用加密內容在審核記錄和日誌中識別使用其客户管理密鑰。它也會以純文字形式出現在日誌中,例如AWS CloudTrail和 Amazon CloudWatch Logs。

AWS Proton不接受任何客户指定或外部指定的加密上下文。

AWS Proton添加下列加密內容。

{ "aws:proton:template": "<proton-template-arn>", "aws:proton:resource": "<proton-resource-arn>" }

第一個加密上下文標識AWS Proton模板,並且還作為客户託管密鑰權限和授予的約束。

第二個加密上下文標識AWS Proton資源已加密。

下列範例將顯示AWS Proton加密內容使用。

開發人員創建服務實例。

{ "aws:proton:template": "arn:aws:proton:region_id:123456789012:service-template/my-template", "aws:proton:resource": "arn:aws:proton:region_id:123456789012:service/my-service/service-instance/my-service-instance" }

創建模板的管理員。

{ "aws:proton:template": "arn:aws:proton:region_id:123456789012:service-template/my-template", "aws:proton:resource": "arn:aws:proton:region_id:123456789012:service-template/my-template" }