的安全最佳實務 AWS Proton

AWS Proton 提供安全功能，供您在開發和實作自己的安全政策時考慮。以下最佳實務為一般準則，並不代表完整的安全解決方案。這些最佳實務可能不適用或無法滿足您的環境需求，因此請將其視為實用建議就好，而不要當作是指示。

使用 IAM 控制存取

IAM 是 AWS 服務 ，可用來管理 中的使用者及其許可 AWS。您可以使用 IAM 搭配 AWS Proton 來指定管理員和開發人員可執行 AWS Proton 的動作，例如管理範本、環境或服務。您可以使用 IAM 服務角色， AWS Proton 允許 代表您呼叫其他 服務。

如需 AWS Proton 和 IAM 角色的詳細資訊，請參閱 的 Identity and Access Management AWS Proton。

實作最低權限存取。如需詳細資訊，請參閱AWS Identity and Access Management 《 使用者指南》中的 IAM 中的政策和許可。

請勿在範本和範本套件中嵌入登入資料

我們建議您在堆疊範本中使用動態參考，而不是在 AWS CloudFormation 範本和範本套件中內嵌敏感資訊。

動態參考提供精簡且強大的方式，讓您參考儲存在其他服務中的外部值，例如 AWS Systems Manager 參數存放區或 AWS Secrets Manager。當您使用動態參考時，在堆疊和變更集操作期間，CloudFormation 會在必要時擷取指定參考的值，並將值傳遞至適當的資源。不過，CloudFormation 絕不會存放實際參考值。如需詳細資訊，請參閱AWS CloudFormation 《 使用者指南》中的使用動態參考指定範本值。

AWS Secrets Manager 可協助您安全地加密、存放與擷取資料庫及其他服務的登入資料。AWS Systems Manager 參數存放區為組態資料管理提供安全的階層式儲存。

如需定義範本參數的詳細資訊，請參閱AWS CloudFormation 《 使用者指南https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/parameters-section-structure.html》中的 。

使用加密來保護敏感資料

在其中 AWS Proton，預設會使用 AWS Proton 擁有的金鑰來加密所有客戶資料。

身為平台團隊的成員，您可以提供客戶受管金鑰給 ， AWS Proton 以加密和保護您的敏感資料。加密 S3 儲存貯體中的靜態敏感資料。如需詳細資訊，請參閱中的資料保護 AWS Proton。

使用 AWS CloudTrail 來檢視和記錄 API 呼叫

AWS CloudTrail 會追蹤在您的 中進行 API 呼叫的任何人 AWS 帳戶。每當任何人使用 API、主控台或 AWS Proton AWS CLI 命令時，都會記錄 AWS Proton API AWS Proton 呼叫。啟用記錄，然後指定 Amazon S3 儲存貯體來存放日誌。如此一來，如果您需要，您可以稽核在您帳戶中進行 AWS Proton 呼叫的人員。如需詳細資訊，請參閱在 中記錄和監控 AWS Proton。