AWS Proton 的安全最佳實務 - AWS Proton

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

AWS Proton 的安全最佳實務

AWS Proton在您開發與實作自己的安全政策時,可考慮使用提供的安全功能。以下最佳實務為一般準則,並不代表完整的安全解決方案。這些最佳實務可能不適用或無法滿足您的環境需求,因此請將其視為實用建議就好,而不要當作是指示。

使用 IAM 控制存取

IAM 是一種AWS 服務中管理使用者及其許可AWS。您可以對使用 IAMAWS Proton來指定哪個AWS Proton管理員和開發人員可以執行的操作,例如管理模板、環境或服務。您可以使用 IAM 服務角色允許AWS Proton代表您呼叫其他服務。

如需詳細資訊AWS Proton和 IAM 角色,請參閲AWS Proton 的 Identity and Access Management

實作最低權限存取。如需詳細資訊,請參閱「」IAM 中的政策和許可中的AWS Identity and Access Management使用者指南

請勿在您的範本和範本包中內嵌登入資料

而不是將敏感信息嵌入AWS CloudFormation模板和模板捆綁包,我們建議您使用動態參考在堆棧模板中。

動態參考提供簡潔、強大的方式,讓您參考在其他服務 (例如AWS Systems Manager參數存放區或AWS Secrets Manager。當您使用動態參考時,在堆疊和變更集操作期間,CloudFormation 會在必要時擷取指定參考的值,並將值傳遞至適當的資源。不過,CloudFormation 絕不會存放實際參考值。如需詳細資訊,請參閱「」使用動態參考來指定範本值中的AWS CloudFormation使用者指南

AWS Secrets Manager 可協助您安全地加密、存放與擷取資料庫及其他服務的登入資料。所以此AWS Systems Manager參數存放區會提供安全的階層式儲存空間,進行組態資料管理。

如需定義範本參數的詳細資訊,請參閲https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/parameters-section-structure.html中的AWS CloudFormation使用者指南

使用加密保護敏感數據

WHINAWS Proton,默認情況下,所有客户數據都會使用AWS Proton擁有的密鑰。

作為平台團隊的成員,您可以提供客户管理的密鑰來AWS Proton來加密和保護您的敏感數據。對 S3 存儲桶中靜態敏感數據進行加密。如需詳細資訊,請參閱 AWS Proton 中的資料保護

使用AWS CloudTrail來查看和記錄 API 呼叫

AWS CloudTrail會追蹤在您的AWS 帳戶。每當任何人使用AWS ProtonAPI,AWS Proton主控台或AWS Proton AWS CLI命令。啟用記錄日誌,然後指定 Amazon S3 儲存貯體來存放日誌。如此一來,如果您需要,即可稽核誰做AWS Proton在您的帳户中調用。如需詳細資訊,請參閱AWS Proton 中的記錄和監控