AWS Systems Manager 中的資料保護 - AWS Systems Manager

AWS Systems Manager 中的資料保護

資料保護是指保護傳輸中 (當它往返於 Systems Manager 時) 以及靜態 (當它存放在 AWS 資料中心時) 資料。

AWS 共同的責任模型適用於 AWS Systems Manager 中的資料保護。如此模型所述,AWS 負責保護執行所有 AWS 雲端 的全球基礎設施。您必須負責維護在此基礎架構上託管之內容的控制權。此內容包括您所使用 AWS 服務的安全組態和管理任務。如需資料隱私權的詳細資訊,請參閱資料隱私權常見問答集如需有關歐洲資料保護的相關資訊,請參閱 AWS 安全性部落格上的 AWS 共同責任模型和 GDPR 部落格文章。

基於資料保護目的,建議您使用 AWS Identity and Access Management (IAM) 保護 AWS 帳戶 憑證,並設定個別使用者帳戶。如此一來,每個使用者都只會獲得授予完成其任務所必須的許可。我們也建議您採用下列方式保護資料:

  • 每個帳戶都使用多重要素驗證 (MFA)。

  • 使用 SSL/TLS 與 AWS 資源通訊。建議使用 TLS 1.2 或更新版本。

  • 使用 AWS CloudTrail 設定 API 和使用者活動記錄。

  • 使用 AWS 加密解決方案,以及 AWS 服務內的所有預設安全控制。

  • 使用進階的受管安全服務 (例如 Amazon Macie),協助探索和保護儲存在 Amazon S3 的個人資料。

  • 如果您在透過命令列介面或 API 存取 AWS 時,需要 FIPS 140-2 驗證的加密模組,請使用 FIPS 端點。如需 FIPS 和 FIPS 端點的詳細資訊,請參閱聯邦資訊處理標準 (FIPS) 140-2 概觀

我們強烈建議您絕對不要將客戶的電子郵件地址等機密或敏感資訊,放在標籤或自由格式的欄位中,例如名稱欄位。這包括當您使用 Systems Manager 或使用主控台、API、AWS 或 AWS CLI 開發套件的其他 AWS 服務。您在標籤或自由格式欄位中輸入的任何資料都可能用於計費或診斷記錄。如果您提供外部伺服器的 URL,我們強烈建議請勿在驗證您對該伺服器請求的 URL 中包含憑證資訊。

資料加密

靜態加密

Parameter Store 參數

您可以在 Parameter Store (AWS Systems Manager 功能) 中建立的參數類型,包括 StringStringListSecureString

若要加密 SecureString 參數值,Parameter Store 會使用 AWS Key Management Service (AWS KMS) 中的 AWS KMS key。AWS KMS 使用客戶受管金鑰或 AWS 受管金鑰 加密 AWS 受管資料庫中的參數值。

重要

請勿在 StringStringList 參數中存放敏感資料。對於所有必須保持加密的敏感資料,請僅使用 SecureString 參數類型。

如需更多詳細資訊,請參閱 什麼是參數?使用 IAM 政策限制對 Systems Manager 參數的存取

Amazon S3 儲存貯體中的內容

做為 Systems Manager 操作的一部分,您可以選擇將資料上傳或存放在一或多個 Amazon Simple Storage Service (Amazon S3) 儲存貯體中。

如需 S3 儲存貯體加密的詳細資訊,請參閱《Amazon Storage Service 開發人員指南》中的使用加密保護資料Amazon S3 的資料保護

以下是您可以在 Systems Manager 活動中上傳或存放在 S3 儲存貯體中的資料類型。

  • Run Command 命令的輸出,AWS Systems Manager 功能

  • Distributor 中的套件,AWS Systems Manager 功能

  • Patch Manager 中的修補操作記錄,AWS Systems Manager 功能

  • Patch Manager 修補程式會覆寫清單

  • 在 Automation Runbook 工作流程中執行的指令碼或 Ansible 手冊,AWS Systems Manager 功能

  • 與合規掃描搭配使用的 Chef InSpec 描述檔,AWS Systems Manager 功能

  • AWS CloudTrail 日誌

  • Session Manager 中的工作階段歷史記錄日誌,AWS Systems Manager 功能

  • 來自 Explorer 的報告,AWS Systems Manager 功能

  • 來自 OpsCenter 的 OpsData,AWS Systems Manager 功能

  • AWS CloudFormation與自動化工作流程搭配使用的 範本

  • 來自資源資料同步掃描的合規資料

  • 在受管執行個體上,State Manager (AWS Systems Manager 功能) 建立或編輯關聯的請求輸出

  • 自訂 Systems Manager 文件 (SSM 文件),您可以使用 AWS 受管 SSM 文件 AWS-RunDocument 執行

CloudWatch Logs 日誌群組

做為 Systems Manager 操作的一部分,您可以選擇將資料串流至一或多個 Amazon CloudWatch Logs 日誌群組。

如需 CloudWatch Logs 日誌群組加密的相關資訊,請參閱《Amazon CloudWatch Logs 使用者指南》中的在 CloudWatch Logs 中加密日誌資料

下列是您可能已在 Systems Manager 活動中串流至 CloudWatch Logs 日誌群組的資料類型。

  • Run Command 命令的輸出

  • 使用 Automation Runbook 中的 aws:executeScript 動作執行指令碼輸出

  • Session Manager 工作階段歷史記錄日誌

  • 受管執行個體上的 SSM Agent 日誌

傳輸中加密

我們建議您使用 Transport Layer Security (TLS) 此類加密通訊協定,在用戶端和您的執行個體之間加密傳輸中的資料。

Systems Manager 提供下列對傳輸中資料進行加密的支援。

Systems Manager API 端點的連線

Systems Manager API 端點僅支援透過 HTTPS 的安全連線。當您使用 AWS Management Console、AWS 開發套件或 Systems Manager API 來管理 Systems Manager 資源時,所有通訊都會使用 Transport Layer Security (TLS) 加密。如需 API 端點的完整清單,請參閱《Amazon Web Services 一般參考》中的區域和端點

受管執行個體

AWS 提供 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體之間的安全和私有連線。此外,我們使用 AEAD 演算法搭配 256 位元加密,在相同 Virtual Private Cloud (VPC) 或對等 VPC 中的受支援執行個體之間自動加密傳輸中流量。此加密功能使用基礎硬體的卸載能力,不影響網路效能。受支援執行個體包括:C5n、G4、I3en、M5dn、M5n、P3dn、R5dn 和 R5n。

Session Manager 工作階段

根據預設,Session Manager 會使用 TLS 1.2,將您帳戶中使用者的本機機器與 EC2 執行個體之間傳輸的工作階段資料加密。您也可以選擇使用在 AWS KMS 中建立的 AWS KMS key,進一步加密傳輸中的資料。

Run Command 存取

根據預設,使用 Run Command 來遠端存取您的執行個體是使用 TLS 1.2 加密,然後使用 SigV4 來簽署建立連線的請求。

網際網路流量隱私權

您可以使用 Amazon Virtual Private Cloud (Amazon VPC) 在受管執行個體的資源之間建立邊界,並控制這些資源、內部部署網路和網際網路之間的流量。如需詳細資訊,請參閱(選用) 建立 Virtual Private Cloud 端點

如需 Amazon Virtual Private Cloud 安全的詳細資訊,請參閱《Amazon VPC 使用者指南》中的安全