資料保護和加密 - AWS Transfer Family
Transfer 系列中的資料加密靜態加密

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

資料保護和加密

AWS 共同責任模型適用於 AWS Transfer Family (Transfer 系列) 中的資料保護。如此模型所述, AWS 負責保護執行所有 AWS 雲端的 全球基礎設施。您負責維護在此基礎設施上託管內容的控制權。此內容包含您使用之 AWS 服務的安全組態和管理任務。如需資料隱私權的詳細資訊,請參閱資料隱私權常見問答集。如需歐洲資料保護的相關資訊,請參閱安全部落格上的AWS 共同責任模型和 GDPR AWS 部落格文章。

基於資料保護目的,我們建議您保護 AWS 帳戶登入資料,並使用 設定個別使用者帳戶 AWS IAM Identity Center。如此一來,每個使用者都只會獲得授予完成其任務所必須的許可。我們也建議您採用下列方式保護資料:

  • 每個帳戶均要使用多重要素驗證 (MFA)。

  • 使用 SSL/TLS 與 AWS 資源通訊。我們支援 TLS 1.2。

  • 使用 設定 API 和使用者活動記錄 AWS CloudTrail。

  • 使用 AWS 加密解決方案,以及 AWS 服務中的所有預設安全控制。

  • 使用進階的受管安全服務 (例如 Amazon Macie),協助探索和保護儲存在 Simple Storage Service (Amazon Simple Storage Service (Amazon S3)) 的個人資料。

  • 如果您在透過命令列介面或 API 存取 AWS 時,需要 FIPS 140-2 驗證的加密模組,請使用 FIPS 端點。如需有關 FIPS 和 FIPS 端點的詳細資訊,請參閱聯邦資訊處理標準 (FIPS) 140–2 概觀

我們強烈建議您絕對不要將客戶帳戶號碼等敏感的識別資訊,放在自由格式的欄位中,例如名稱欄位。這包括當您使用 Transfer Family 或使用主控台、API AWS CLI、 AWS SDKs的其他 AWS 服務時。您在 Transfer Family 服務組態或其他服務組態中輸入的任何組態資料,都可能被挑選納入診斷日誌中。當您提供外部伺服器的 URL 時,請勿在驗證您對該伺服器請求的 URL 中包含憑證資訊。

相反地,從上傳和下載操作進出 Transfer Family 伺服器的資料會視為完全私有,絕不存在於加密通道之外,例如 SFTP 或 FTPS 連線。只有獲得授權的人員才能存取此資料。

Transfer 系列中的資料加密

AWS Transfer Family 使用您為 Amazon S3 儲存貯體設定的預設加密選項來加密您的資料。當您在儲存貯體上啟用加密時,存放於儲存貯體中的所有物件都會加密。透過使用伺服器端加密搭配 Amazon S3 受管金鑰 (SSE-S3) 或 AWS Key Management Service (AWS KMS) 受管金鑰 (SSE-KMS) 來加密物件。如需有關伺服器端加密的資訊,請參閱《Amazon Simple Storage Service 使用者指南》中的使用伺服器端加密保護資料

下列步驟說明如何加密 中的資料 AWS Transfer Family。

在 中允許加密 AWS Transfer Family

  1. 為您的 Amazon S3 儲存貯體啟用預設加密。如需說明,請參閱《Amazon S3 Simple Storage Service 使用者指南》中的 S3 儲存貯體的 Amazon S3 預設加密

  2. 更新連接至使用者的 AWS Identity and Access Management (IAM) 角色政策,以授予必要的 AWS Key Management Service (AWS KMS) 許可。

  3. 如果您為使用者使用工作階段政策,則工作階段政策必須授予必要的 AWS KMS 許可。

下列範例顯示 IAM 政策,授予使用 AWS Transfer Family 搭配已啟用 AWS KMS 加密的 Amazon S3 儲存貯體時所需的最低許可。如果您使用的是 ,請在使用者 IAM 角色政策和工作階段政策中包含此範例政策。

{
   "Sid": "Stmt1544140969635",
   "Action": [
      "kms:Decrypt",
      "kms:Encrypt",
      "kms:GenerateDataKey",
      "kms:GetPublicKey",
      "kms:ListKeyPolicies"
   ],
   "Effect": "Allow",
   "Resource": "arn:aws:kms:region:account-id:key/kms-key-id"
}
注意

您在此政策中指定的 KMS 金鑰 ID 必須與步驟 1 中為預設加密指定的 KMS 金鑰 ID 相同。

AWS KMS 金鑰政策中必須允許根角色或用於使用者的 IAM 角色。如需 AWS KMS 金鑰政策的相關資訊,請參閱《 AWS Key Management Service 開發人員指南》中的在 AWS KMS 中使用金鑰政策

AWS Transfer Family 靜態加密

由於 AWS Transfer Family 是檔案傳輸服務,因此不會管理您的靜態儲存資料。 AWS Transfer Family 支援的儲存服務和系統負責保護該狀態下的資料。不過,有一些服務相關資料會 AWS Transfer Family 管理靜態資料。

加密的內容為何?

唯一 AWS Transfer Family 處理靜態資料與操作檔案傳輸伺服器和處理傳輸所需的詳細資訊相關。 會在 Amazon DynamoDB 中使用完整靜態加密來 AWS Transfer Family 存放下列資料:

  • 伺服器組態 (例如,伺服器設定、通訊協定組態和端點詳細資訊)。

  • 使用者身分驗證資料,包括 SSH 公有金鑰和使用者中繼資料。

  • 工作流程執行詳細資訊和步驟組態。

  • 第三方系統的連接器組態和身分驗證登入資料。這些登入資料會使用 AWS Transfer Family 受管加密金鑰進行加密。

金鑰管理

您無法管理 AWS Transfer Family 用來在 DynamoDB 中存放與執行伺服器和處理傳輸相關資訊的加密金鑰。此資訊包括您的伺服器組態、使用者身分驗證資料、工作流程詳細資訊和連接器登入資料。

哪些項目未加密?

雖然 AWS Transfer Family 無法控制儲存資料的靜態加密方式,但仍建議使用其支援的最高安全性來設定儲存位置。例如,您可以使用 Amazon S3 受管加密金鑰 (SSE-S3) 或 AWS KMS 金鑰 (SSE-KMS) 來加密物件。

進一步了解 AWS 儲存服務如何加密靜態資料: