自社のオペレーターからデータを分離する

AWS Nitro System には、ゼロオペレーターがアクセスがあります。AWS システムまたはユーザーが Amazon EC2 Nitro ホストにログインしたり、EC2 インスタンスのメモリにアクセスしたり、ローカルの暗号化されたインスタンスストレージまたはリモートの暗号化された Amazon EBS ボリュームに保存されている顧客データにアクセスしたりするためのメカニズムはありません。

高度の機密データを処理するときは、自社のオペレーターでも EC2 インスタンスにアクセスできないようにして、そのデータへのアクセスを制限することを検討してください。

分離されたコンピューティング環境を提供するように設定されたカスタム Attestable AMI を作成できます。AMI の設定は、ワークロードとアプリケーションの要件によって異なります。AMI を構築して分離されたコンピューティング環境を作成するときは、以下のベストプラクティスを考慮してください。

オペレーターまたはユーザーがインスタンスにアクセスできないように、すべてのインタラクティブアクセスを削除します。
信頼できるソフトウェアとコードのみが AMI に含まれているようにします。
アクセスをブロックするようにインスタンス内のネットワークファイアウォールを設定します。
すべてのストレージおよびファイルシステムを読み取り専用かつイミュータブルな状態にします。
認証され、認可され、ログに記録された API コールにインスタンスへのアクセスを制限します。

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

AWS KMS との統合

インタラクティブアクセスを持たない Attestable AMI の更新