本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
中的安全性 AWS Step Functions
雲端安全 AWS 是最高的優先級。作為 AWS 客戶,您可以從資料中心和網路架構中獲益,該架構專為滿足對安全性最敏感的組織的需求而打造。
安全是兩者之間的共同責任 AWS 和你。共同責任模型
-
雲端的安全性 — AWS 負責保護運行的基礎設施 AWS 中的服務 AWS 雲端。 AWS 還為您提供可以安全使用的服務。第三方稽核員會定期測試和驗證我們安全性的有效性,作為 AWS 合規方案
。若要瞭解適用於以下項目的規範遵循方案: AWS Step Functions,請參閱 AWS 合規計劃範圍內的服務 。 -
雲端中的安全性 — 您的責任取決於 AWS 您使用的服務。您也必須對其他因素負責,包括資料的機密性、您公司的要求和適用法律和法規。
本文件可協助您瞭解如何在使用 Step Functions 時套用共同的責任模型。下列主題說明如何設定 Step Functions,以符合您的安全性和合規性目標。您還將學習如何使用其他 AWS 協助您監控和保護您的 Step Functions 資源的服務。
Step Functions 用IAM於控制對其他的訪問 AWS 服務和資源。若要取得IAM運作方式的概觀,請參閱《IAM使用指南》中的〈存取管理概觀〉。如需安全登入資料的概觀,請參閱 AWS 中的安全登入資料 Amazon Web Services 一般參考.
Step Functions 的合規性驗證
第三方稽核員評估的安全性和合規性 AWS Step Functions 作為多個的一部分 AWS 合規方案。這些措施包括 SOC PCIRAMP, 美聯儲HIPAA, 和其他.
對於列表 AWS 特定合規計劃範圍內的服務,請參閱 AWS
合規計劃範圍內的服務
您可以使用下載第三方稽核報告 AWS Artifact。 如需詳細資訊,請參閱下載報告 AWS Artifact.
使用 Step Functions 時,您的合規責任取決於資料的敏感度、公司的合規目標以及適用的法律和法規。 AWS 提供下列資源以協助遵循法規:
-
安全性與合規性快速入門指南
— 這些部署指南討論架構考量,並提供部署以安全性和法規遵循為重點的基準環境的步驟 AWS. -
在 Amazon Web Services 上進行HIPAA安全與合規架構 — 本白皮書說明公司如何使用 AWS 以建立HIPAA符合標準的應用程式。
-
AWS 合規資源
— 此工作簿和指南集合可能適用於您的產業和所在地。 -
使用中的規則評估資源 AWS Config 開發人員指南 — AWS Config 服務評估您的資源配置是否符合內部實踐,行業準則和法規。
-
AWS Security Hub— 這個 AWS 服務提供您安全性狀態的全面檢視 AWS 協助您檢查您是否符合安全性產業標準和最佳做法。
Step Functions 的彈性
所以此 AWS 全球基礎設施是圍繞 AWS 區域和可用區域。 AWS 區域提供多個分開且隔離的實際可用區域,並以低延遲、高輸送量和高度備援聯網功能相互連結。透過可用區域,您可以設計與操作的應用程式和資料庫,在可用區域之間自動容錯移轉而不會發生中斷。可用區域的可用性、容錯能力和擴展能力,均較單一或多個資料中心的傳統基礎設施還高。
如需關於 AWS 區域和可用區域,請參閱 AWS 全球基礎設施
除了 AWS 全球基礎架構,Step Functions 提供多種功能,可協助支援您的資料復原能力和備份需求。
Step Functions 中的基礎結構安全
作為託管服務, AWS Step Functions 受到保護 AWS 全球網絡安全。如需相關資訊 AWS 安全服務和如何 AWS 保護基礎架構,請參 AWS 雲端安全
您使用 AWS 通過網絡訪問 Step Functions 發布的API調用。使用者端必須支援下列專案:
-
傳輸層安全性 (TLS)。我們需要 TLS 1.2 並推薦 TLS 1.3。
-
具有完美前向保密()的密碼套件,例如(短暫的迪菲-赫爾曼PFS)或DHE(橢圓曲線短暫迪菲-赫爾曼)。ECDHE現代系統(如 Java 7 和更新版本)大多會支援這些模式。
此外,請求必須使用存取金鑰 ID 和與IAM主體相關聯的秘密存取金鑰來簽署。或者您可以使用 AWS Security Token Service (AWS STS) 以產生臨時安全憑證以簽署請求。
您可以呼叫 AWS API來自任何網路位置的作業,但 Step Functions 不支援以資源為基礎的存取原則,其中可能包含以來源 IP 位址為基礎的限制。您也可以使用 Step Functions 控制來自特定存取的原則 Amazon Virtual Private Cloud (Amazon VPC) 端點或特定VPCs。實際上,這將隔離對給定的網絡訪問 Step Functions 僅來自特定VPC內部的資源 AWS 網絡。