本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# AWS Elastic Beanstalk 安全
使用本章了解有关 Elastic Beanstalk 负责的安全任务的更多信息,以及在使用 Elastic Beanstalk 实现安全性和合规性目标时应考虑的安全配置。
云安全 AWS 是重中之重。作为 AWS 客户,您可以受益于专为满足大多数安全敏感型组织的要求而构建的数据中心和网络架构。
安全是双方共同承担 AWS 的责任。[责任共担模式](https://aws.amazon.com/compliance/shared-responsibility-model/)将其描述为*云的安全性* 和*云中的安全性*。
**云安全** — AWS 负责保护运行 AWS 云中提供的所有服务的基础架构,并为您提供可以安全使用的服务。我们的安全责任是重中之重 AWS,作为[AWS 合规计划](https://aws.amazon.com/compliance/programs/)的一部分,第三方审计师定期测试和验证我们安全的有效性。查看[AWS 保障计划范围内的AWS 服务](https://aws.amazon.com/compliance/services-in-scope/),了解与 Elastic Beanstalk 相关的信息。
**云端安全** — 您的责任由您使用的 AWS 服务以及其他因素决定,包括数据的敏感性、组织的要求以及适用的法律和法规。本文档旨在帮助您了解如何在使用 Elastic Beanstalk 时应用责任共担模式。
**Topics**
+ [Elastic Beanstalk 中的数据保护](security-data-protection.md)
+ [适用于 Elastic Beanstalk 的 Identity and Access Management](security-iam.md)
+ [Elastic Beanstalk 中的日志记录和监控](incident-response.md)
+ [Elastic Beanstalk 的合规性验证](compliance-validation.md)
+ [Elastic Beanstalk 中的弹性](disaster-recovery-resiliency.md)
+ [Elastic Beanstalk 中的基础设施安全性](infrastructure-security.md)
+ [Elastic Beanstalk 中的配置和漏洞分析](vulnerability-analysis-and-management.md)
+ [Elastic Beanstalk 的安全最佳实践](security-best-practices.md)
# Elastic Beanstalk 中的数据保护
分 AWS [担责任模型](https://aws.amazon.com/compliance/shared-responsibility-model/)适用于中的数据保护 AWS Elastic Beanstalk。如本模型所述 AWS ,负责保护运行所有内容的全球基础架构 AWS 云。您负责维护对托管在此基础结构上的内容的控制。您还负责您所使用的 AWS 服务 的安全配置和管理任务。有关数据隐私的更多信息,请参阅[数据隐私常见问题](https://aws.amazon.com/compliance/data-privacy-faq/)。有关欧洲数据保护的信息,请参阅 *AWS Security Blog* 上的 [AWS Shared Responsibility Model and GDPR](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) 博客文章。
出于数据保护目的,我们建议您保护 AWS 账户 凭证并使用 AWS IAM Identity Center 或 AWS Identity and Access Management (IAM) 设置个人用户。这样,每个用户只获得履行其工作职责所需的权限。还建议您通过以下方式保护数据:
+ 对每个账户使用多重身份验证(MFA)。
+ 用于 SSL/TLS 与 AWS 资源通信。我们要求使用 TLS 1.2,建议使用 TLS 1.3。
+ 使用设置 API 和用户活动日志 AWS CloudTrail。有关使用 CloudTrail 跟踪捕获 AWS 活动的信息,请参阅《*AWS CloudTrail 用户指南》*中的[使用跟 CloudTrail 踪](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html)。
+ 使用 AWS 加密解决方案以及其中的所有默认安全控件 AWS 服务。
+ 使用高级托管安全服务(例如 Amazon Macie),它有助于发现和保护存储在 Amazon S3 中的敏感数据。
+ 如果您在 AWS 通过命令行界面或 API 进行访问时需要经过 FIPS 140-3 验证的加密模块,请使用 FIPS 端点。有关可用的 FIPS 端点的更多信息,请参阅《美国联邦信息处理标准(FIPS)第 140-3 版》[https://aws.amazon.com/compliance/fips/](https://aws.amazon.com/compliance/fips/)。
强烈建议您切勿将机密信息或敏感信息(如您客户的电子邮件地址)放入标签或自由格式文本字段(如**名称**字段)。这包括你使用控制台、API 或与 Elastic Beanstalk AWS 服务 或其他人合作时。 AWS CLI AWS SDKs在用于名称的标签或自由格式文本字段中输入的任何数据都可能会用于计费或诊断日志。如果您向外部服务器提供 URL,强烈建议您不要在网址中包含凭证信息来验证对该服务器的请求。
有关其他 Elastic Beanstalk 安全主题,请参阅[AWS Elastic Beanstalk 安全](security.md)。
**Topics**
+ [使用加密保护数据](security-data-protection-encryption.md)
+ [互联网络流量隐私](security-data-protection-internetwork.md)
# 使用加密保护数据
您可以使用不同形式的数据加密来保护您的 Elastic Beanstalk 数据。数据保护是指*在传输*过程中(当数据往返于 Elastic Beanstalk 时*)和*静态数据(存储在数据中心时 AWS )保护数据。
## 传输中加密
您可以通过两种方式在传输过程中实现数据保护:使用安全套接字层 (SSL) 加密连接,或使用客户端加密(对象在发送之前先进行加密)。这两种方法都可有效地保护您的应用程序数据。为了保护连接,请在您的应用程序、其开发人员和管理员以及最终用户发送或接收任何对象时使用 SSL 对其进行加密。有关加密往返于您的应用程序的 Web 流量的详细信息,请参阅[为 Elastic Beanstalk 环境配置 HTTPS](configuring-https.md)。
客户端加密不是用于保护您上传的应用程序版本和源包中的源代码的有效方法。Elastic Beanstalk 需要访问这些对象,因此无法对其进行加密。因此,请确保保护开发或部署环境与 Elastic Beanstalk 之间的连接。
## 静态加密
要保护应用程序的静态数据,请了解应用程序使用的存储服务中的数据保护。例如,请参阅《Amazon RDS 用户指南》**中的 [Amazon RDS 中的数据保护](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/DataDurability.html)、《Amazon Simple Storage Service 用户指南》**中的 [Amazon S3 中的数据保护](https://docs.aws.amazon.com/AmazonS3/latest/userguide/DataDurability.html)或《Amazon Elastic File System 用户指南》**中的[在 EFS 中加密数据和元数据](https://docs.aws.amazon.com/efs/latest/ug/encryption.html)。
Elastic Beanstalk 将各种对象存储在加密的亚马逊简单存储服务 (Amazon S3) 存储桶中,该存储桶是为你创建环境的每个区域创建 AWS 的。由于 Elastic Beanstalk 保留了 Amazon S3 提供的默认加密,其会创建加密的 Amazon S3 存储桶。有关详细信息,请参阅[将 Elastic Beanstalk 和 Amazon S3 结合使用](AWSHowTo.S3.md)。您提供一些存储对象,并将它们发送到 Elastic Beanstalk,例如,应用程序版本和源包。Elastic Beanstalk 会生成其他对象,例如日志文件。除了 Elastic Beanstalk 存储的数据外,您的应用程序还 and/or 可以在其操作过程中传输存储数据。
若要保护存储在附加到您环境实例的 Amazon Elastic Block Store(Amazon EBS)卷中存储的数据,请在您的 AWS 账户和区域中默认启用 Amazon EBS 加密。启用后,所有新的 Amazon EBS 卷及其快照都将使用 AWS Key Management Service 密钥自动加密。有关更多信息,请参阅《Amazon EBS User Guide》**中的 [Encryption by default](https://docs.aws.amazon.com/ebs/latest/userguide/encryption-by-default.html)。
有关数据保护的更多信息,请参阅 *AWS 安全性博客* 上的 [AWS 责任共担模式和 GDPR](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) 博客文章。
有关其他 Elastic Beanstalk 安全主题,请参阅[AWS Elastic Beanstalk 安全](security.md)。
# 互联网络流量隐私
您可以使用 Amazon Virtual Private Cloud (Amazon VPC) 在 Elastic Beanstalk 应用程序中的资源之间创建边界,并控制它们、本地网络和 Internet 之间的流量。有关详细信息,请参阅[将 Elastic Beanstalk 和 Amazon VPC 结合使用](vpc.md)。
有关 Amazon VPC 安全性的更多信息,请参阅 *Amazon VPC 用户指南* 中的 [安全性](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Security.html)。
有关数据保护的更多信息,请参阅 *AWS 安全性博客* 上的 [AWS 责任共担模式和 GDPR](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) 博客文章。
有关其他 Elastic Beanstalk 安全主题,请参阅[AWS Elastic Beanstalk 安全](security.md)。
# 适用于 Elastic Beanstalk 的 Identity and Access Management
AWS Identity and Access Management (IAM) 是一项 AWS 服务,可帮助管理员安全地控制对 AWS 资源的访问。IAM 管理员控制谁可以通过*身份验证*(登录)和*授权*(具有权限)来使用 AWS Elastic Beanstalk 资源。IAM 是一项无需额外付费即可使用的 AWS 服务。
有关使用 IAM 的详细信息,请参阅[将 Elastic Beanstalk 与 AWS Identity and Access Management配合使用](AWSHowTo.iam.md)。
有关其他 Elastic Beanstalk 安全主题,请参阅[AWS Elastic Beanstalk 安全](security.md)。
# AWS 的托管策略 AWS Elastic Beanstalk
AWS 托管策略是由创建和管理的独立策略 AWS。 AWS 托管策略旨在为许多常见用例提供权限,以便您可以开始为用户、组和角色分配权限。
请记住, AWS 托管策略可能不会为您的特定用例授予最低权限权限,因为它们可供所有 AWS 客户使用。我们建议通过定义特定于使用案例的[客户管理型策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies)来进一步减少权限。
您无法更改 AWS 托管策略中定义的权限。如果 AWS 更新 AWS 托管策略中定义的权限,则更新会影响该策略所关联的所有委托人身份(用户、组和角色)。 AWS 最有可能在启动新的 API 或现有服务可以使用新 AWS 服务 的 API 操作时更新 AWS 托管策略。
有关更多信息,请参阅《IAM 用户指南》**中的 [AWS 托管式策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)。
## Elastic Bean AWS stalk 更新了托管策略
查看有关 Elastic Beanstalk AWS 托管策略自 2021 年 3 月 1 日以来更新的详细信息。
要查看特定托管式策略的 JSON 来源,请参阅《[https://docs.aws.amazon.com/aws-managed-policy/latest/reference/about-managed-policy-reference.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/about-managed-policy-reference.html)》。
| 更改 | 描述 | 日期 |
| --- | --- | --- |
| **AWSElasticBeanstalkManagedUpdatesServiceRolePolicy**—更新了现有政策 | 此策略已更新,允许 Elastic Beanstalk 在 [标签传播到启动模板](applications-tagging-resources.launch-templates.md) 启用的情况下执行托管更新。 有关详细信息,请参阅[托管服务角色策略](iam-servicerole.md#iam-servicerole-policy)。 | 2026 年 3 月 17 日 |
| **AWSElasticBeanstalkWebTier**—更新了现有政策 | 此政策已更新,允许 Elastic Beanstalk 使用[亚马](health-ai-analysis.md)逊 Bedrock 进行人工智能驱动的环境分析。 有关更多信息,请参阅 [管理 Elastic Beanstalk 实例配置文件](iam-instanceprofile.md)。 | 2026年3月11日 |
| **AWSElasticBeanstalkWorkerTier**—更新了现有政策 | 此政策已更新,允许 Elastic Beanstalk 使用[亚马](health-ai-analysis.md)逊 Bedrock 进行人工智能驱动的环境分析。 有关更多信息,请参阅 [管理 Elastic Beanstalk 实例配置文件](iam-instanceprofile.md)。 | 2026年3月11日 |
| **AWSElasticBeanstalkMulticontainerDocker**—更新了现有政策 | 此政策已更新,允许 Elastic Beanstalk 使用[亚马](health-ai-analysis.md)逊 Bedrock 进行人工智能驱动的环境分析。 有关更多信息,请参阅 [管理 Elastic Beanstalk 实例配置文件](iam-instanceprofile.md)。 | 2026年3月11日 |
| **AWSElasticBeanstalkManagedUpdatesCustomerRolePolicy**—更新了现有政策 | 此政策已更新,允许 Elastic Beanstalk 在为单个实例启用时执行托管[标签传播到启动模板](applications-tagging-resources.launch-templates.md)更新。 有关详细信息,请参阅[托管服务角色策略](iam-servicerole.md#iam-servicerole-policy)。 | 2026 年 1 月 27 日 |
| **AdministratorAccess-AWSElastic Beanstalk** —更新了现有政策 | 此政策已更新,允许 Elastic Beanstalk 在 S3 存储桶上配置公共访问块设置和存储桶所有权控制。 有关更多信息,请参阅 [管理 Elastic Beanstalk 用户策略](AWSHowTo.iam.managed-policies.md)。 | 2025 年 11 月 12 日 |
| **AWSElasticBeanstalkManagedUpdatesCustomerRolePolicy**—更新了现有政策 | 此策略已更新,允许 Elastic Beanstalk 在 [标签传播到启动模板](applications-tagging-resources.launch-templates.md) 启用的情况下执行托管更新。 有关详细信息,请参阅[托管服务角色策略](iam-servicerole.md#iam-servicerole-policy)。 | 2025 年 2 月 27 日 |
| **AdministratorAccess-AWSElastic Beanstalk** —更新了现有政策 | 此政策已更新,将*StringLike*运算符替换为*ArnLike*运算符,以评估条件块中的 ARN 类型密钥。`iam:PolicyArn`这可确保策略执行更加安全。 有关更多信息,请参阅 [管理 Elastic Beanstalk 用户策略](AWSHowTo.iam.managed-policies.md)。 | 2024 年 12 月 11 日 |
| 更新了以下策略: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/elasticbeanstalk/latest/dg/security-iam-awsmanpol.html) | 这些政策已更新,允许 Elastic Beanstalk 在创建或 AWS CloudFormation 更新堆栈或更改集时添加或删除标签。 有关 `AWSElasticBeanstalkManagedUpdatesServiceRolePolicy` 的更多信息,请参阅 [Elastic Beanstalk 的服务相关角色权限](using-service-linked-roles-managedupdates.md#service-linked-role-permissions-managedupdates)。 有关 `AWSElasticBeanstalkRoleCore` 的更多信息,请参阅 [与其他服务集成的策略](AWSHowTo.iam.managed-policies.md#iam-userpolicies-managed-other-services)。 | 2024 年 4 月 30 日 |
| **AWSElasticBeanstalkService**—更新了现有政策 | 此策略已更新,允许 Elastic Beanstalk 在为 Elastic Load Balancing、自动扩缩组(ASG)和 Amazon ECS 创建资源时,向资源添加标签。 此策略之前已被 `AWSElasticBeanstalkManagedUpdatesCustomerRolePolicy` 取代。尽管此策略不再能附加到新的 IAM 用户、组或角色,但仍可附加到之前已经存在的用户、组或角色。 有关详细信息,请参阅[托管服务角色策略](iam-servicerole.md#iam-servicerole-policy)。 | 2023 年 5 月 10 日 |
| **AWSElasticBeanstalkMulticontainerDocker**—更新了现有政策 | 此策略已更新,以允许 Elastic Beanstalk 在创建 Amazon ECS 资源时向资源添加标签。 有关更多信息,请参阅 [管理 Elastic Beanstalk 实例配置文件](iam-instanceprofile.md)。 | 2023 年 3 月 23 日 |
| **AWSElasticBeanstalkRoleECS** —更新了现有策略 | 此策略已更新,以允许 Elastic Beanstalk 在创建 Amazon ECS 资源时向资源添加标签。 有关更多信息,请参阅 [与其他服务集成的策略](AWSHowTo.iam.managed-policies.md#iam-userpolicies-managed-other-services)。 | 2023 年 3 月 23 日 |
| **AdministratorAccess-AWSElastic Beanstalk** —更新了现有政策 | 此策略已更新,以允许 Elastic Beanstalk 在创建 Amazon ECS 资源时向资源添加标签。 有关更多信息,请参阅 [管理 Elastic Beanstalk 用户策略](AWSHowTo.iam.managed-policies.md)。 | 2023 年 3 月 23 日 |
| **AWSElasticBeanstalkManagedUpdatesServiceRolePolicy **—更新了现有政策 | 此策略已更新,以允许 Elastic Beanstalk 在创建 Amazon ECS 资源时向其添加标签。 有关更多信息,请参阅 [Elastic Beanstalk 的服务相关角色权限](using-service-linked-roles-managedupdates.md#service-linked-role-permissions-managedupdates)。 | 2023 年 3 月 23 日 |
| **AWSElasticBeanstalkManagedUpdatesCustomerRolePolicy**—更新了现有政策 | 此策略已更新,以允许 Elastic Beanstalk 在创建 Amazon ECS 资源时向其添加标签。 有关详细信息,请参阅[托管服务角色策略](iam-servicerole.md#iam-servicerole-policy)。 | 2023 年 3 月 23 日 |
| **AWSElasticBeanstalkManagedUpdatesServiceRolePolicy**—更新了现有政策 | 此策略已更新,允许 Elastic Beanstalk 在创建自动扩缩组时向其添加标签。 有关更多信息,请参阅 [托管更新服务相关角色](using-service-linked-roles-managedupdates.md)。 | 2023 年 1 月 27 日 |
| **AWSElasticBeanstalkManagedUpdatesCustomerRolePolicy**—更新了现有政策 | 此策略已更新,允许 Elastic Beanstalk 在创建自动扩缩组(ASG)时添加标签。 有关详细信息,请参阅[托管服务角色策略](iam-servicerole.md#iam-servicerole-policy)。 | 2023 年 1 月 23 日 |
| **AWSElasticBeanstalkManagedUpdatesCustomerRolePolicy**—更新了现有政策 | 此策略已更新,允许 Elastic Beanstalk 在创建弹性负载均衡器 (ELB) 时添加标签。 有关详细信息,请参阅[托管服务角色策略](iam-servicerole.md#iam-servicerole-policy)。 | 2022 年 12 月 21 日 |
| **AWSElasticBeanstalkManagedUpdatesServiceRolePolicy**—更新了现有政策 | 向此策略添加权限,以允许 Elastic Beanstalk 在托管更新期间执行以下操作: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/elasticbeanstalk/latest/dg/security-iam-awsmanpol.html) 有关更多信息,请参阅 [托管更新服务相关角色](using-service-linked-roles-managedupdates.md)。 | 2022 年 8 月 23 日 |
| **AWSElasticBeanstalkReadOnlyAccess**:已弃用GovCloud (美国) AWS 区域 | 此策略已被 `AWSElasticBeanstalkReadOnly` 取代。 该政策将在 GovCloud (美国)逐步取消 AWS 区域。 当此策略逐步淘汰后,它在 2021 年 6 月 17 日之后将无法再挂载到新的 IAM 用户、组或角色。 有关更多信息,请参阅[用户策略](AWSHowTo.iam.managed-policies.md)。 | 2021 年 6 月 17 日 |
| **AWSElasticBeanstalkManagedUpdatesCustomerRolePolicy**—更新了现有政策 | 此策略已更新,允许 Elastic Beanstalk 读取 EC2 可用区的属性。它使 Elastic Beanstalk 能够跨可用区更有效地验证您的实例类型选择。 有关详细信息,请参阅[托管服务角色策略](iam-servicerole.md#iam-servicerole-policy)。 | 2021 年 6 月 16 日 |
| **AWSElasticBeanstalkFullAccess**:已弃用GovCloud (美国) AWS 区域 | 此策略已被 `AdministratorAccess-AWSElasticBeanstalk` 取代。 该政策将在 GovCloud (美国)逐步取消 AWS 区域。 当此策略逐步淘汰后,它在 2021 年 6 月 10 日之后将无法再挂载到新的 IAM 用户、组或角色。 有关更多信息,请参阅[用户策略](AWSHowTo.iam.managed-policies.md)。 | 2021 年 6 月 10 日 |
| 以下托管策略已在所有中国都被弃用: AWS 区域 [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/elasticbeanstalk/latest/dg/security-iam-awsmanpol.html) | `AWSElasticBeanstalkFullAccess` 策略已被 `AdministratorAccess-AWSElasticBeanstalk` 取代。 `AWSElasticBeanstalkReadOnlyAccess` 策略已被 `AWSElasticBeanstalkReadOnly` 取代。 这些政策已在所有中国 AWS 区域逐步取消。 2021 年 6 月 3 日后,这些策略将无法再挂载到新的 IAM 用户、组或角色。 有关更多信息,请参阅[用户策略](AWSHowTo.iam.managed-policies.md)。 | 2021 年 6 月 3 日 |
| **AWSElasticBeanstalkService**:已弃用 | 此策略已被 `AWSElasticBeanstalkManagedUpdatesCustomerRolePolicy` 取代。 此策略已被逐步淘汰,它将无法再挂载到新的 IAM 用户、组或角色。 有关详细信息,请参阅[托管服务角色策略](iam-servicerole.md#iam-servicerole-policy)。 | 2021 年 6 月 - 2022 年 1 月 |
| 除中国和 GovCloud (美国)外,以下托管策略已在所有 AWS 区域版本中弃用: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/elasticbeanstalk/latest/dg/security-iam-awsmanpol.html) | `AWSElasticBeanstalkFullAccess` 策略已被 `AdministratorAccess-AWSElasticBeanstalk` 取代。 `AWSElasticBeanstalkReadOnlyAccess` 策略已被 `AWSElasticBeanstalkReadOnly` 取代。 除中国 GovCloud 和(美国)外,这些政策已在所有国家逐步取消。 AWS 区域 2021 年 4 月 16 日后,这些策略将无法再挂载到新的 IAM 用户、组或角色。 有关更多信息,请参阅[用户策略](AWSHowTo.iam.managed-policies.md)。 | 2021 年 4 月 16 日 |
| 以下托管策略已更新: [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_cn/elasticbeanstalk/latest/dg/security-iam-awsmanpol.html) | 这两个策略现在都支持中国的 PassRole 权限 AWS 区域。 有关 `AdministratorAccess-AWSElasticBeanstalk` 的详细信息,请参阅[用户策略](AWSHowTo.iam.managed-policies.md)。 有关 `AWSElasticBeanstalkManagedUpdatesCustomerRolePolicy` 的详细信息,请参阅[托管服务角色策略](iam-servicerole.md#iam-servicerole-policy)。 | 2021 年 3 月 9 日 |
| **AWSElasticBeanstalkManagedUpdatesCustomerRolePolicy**:新策略 | Elastic Beanstalk 增加了一个新策略,用于取代 `AWSElasticBeanstalkService` 托管策略。 这项新托管策略通过应用一组限制性更强的权限来提高资源的安全性。 有关详细信息,请参阅[托管服务角色策略](iam-servicerole.md#iam-servicerole-policy)。 | 2021 年 3 月 3 日 |
| Elastic Beanstalk 开始跟踪变更 | Elastic Beanstalk 开始跟踪托管策略的变更。 AWS | 2021 年 3 月 1 日 |
# Elastic Beanstalk 中的日志记录和监控
AWS 提供了多种用于监控您的 Elastic Beanstalk 资源和响应潜在事件的工具。监控对于维护您的 AWS 解决方案的可靠性、可用 AWS Elastic Beanstalk 性和性能非常重要。您应该从 AWS 解决方案的所有部分收集监控数据,以便在出现多点故障时可以更轻松地进行调试。
有关监控的更多信息,请参阅[监控 Elastic Beanstalk 中的环境监控环境](environments-health.md)。
有关其他 Elastic Beanstalk 安全主题,请参阅[AWS Elastic Beanstalk 安全](security.md)。
## 增强型运行状况报告
增强型运行状况报告是一种功能,您可以在您的环境中启用该功能以允许 Elastic Beanstalk 收集有关环境中的资源的其他信息。Elastic Beanstalk 分析信息,以更好地了解总体环境运行状况并帮助识别可能导致您的应用程序变得不可用的问题。有关更多信息,请参阅 [Elastic Beanstalk 中的增强型运行状况报告和监控](health-enhanced.md)。
## Amazon EC2 实例日志
您的 Elastic Beanstalk 环境中的 Amazon EC2 实例会生成日志,您可以查看这些日志来解决应用程序或配置文件的问题。日志由 Web 服务器、应用服务器、Elastic Beanstalk 平台脚本创建 CloudFormation ,存储在本地的各个实例上。您可使用[环境管理控制台](environments-console.md)或 EB CLI 轻松检索这些日志。您还可以将您的环境配置为将日志实时流式传输到 Amazon CloudWatch Logs。有关更多信息,请参阅 [查看您的 Elastic Beanstalk 环境中的 Amazon EC2 实例的日志](using-features.logging.md)。
## 环境通知
您可以配置 Elastic Beanstalk 环境,以使用 Amazon Simple Notification Service (Amazon SNS) 向您通知影响应用程序的重要事件。在环境创建期间或之后指定一个电子邮件地址,以便在发生错误或环境运行状况发生变化时接收电子邮件。 AWS 有关更多信息,请参阅 [使用 Amazon SNS 发送 Elastic Beanstalk 环境通知](using-features.managing.sns.md)。
## 亚马逊 CloudWatch 警报
使用 CloudWatch 警报,您可以监视您指定的时间段内的单个指标。如果指标超过给定阈值,则会向 Amazon SNS 主题或 AWS Auto Scaling 政策发送通知。 CloudWatch 警报不会调用操作,因为它们处于特定状态。相反,当状态更改并维持指定的时间段时,警报会调用操作。有关更多信息,请参阅 [在亚马逊上使用 Elastic Beanstalk CloudWatch](AWSHowTo.cloudwatch.md)。
## AWS CloudTrail 日志
CloudTrail 提供用户、角色或 AWS 服务在 Elastic Beanstalk 中采取的操作的记录。通过收集的信息 CloudTrail,您可以确定向 Elastic Beanstalk 发出的请求、发出请求的 IP 地址、谁发出了请求、何时发出请求以及其他详细信息。有关更多信息,请参阅 [使用记录 Elastic Beanstalk API 调用 AWS CloudTrail](AWSHowTo.cloudtrail.md)。
## AWS X-Ray 正在调试
X-Ray 是一项 AWS 服务,它收集有关您的应用程序所处理的请求的数据,并使用它来构建服务地图,您可以使用该地图来识别应用程序的问题和优化机会。您可以使用 AWS Elastic Beanstalk 控制台或配置文件在环境中的实例上运行 X-Ray 守护程序。有关更多信息,请参阅 [配置 AWS X-Ray 调试](environment-configuration-debugging.md)。
# Elastic Beanstalk 的合规性验证
的安全性和合规性 AWS Elastic Beanstalk 由第三方审计师作为多个 AWS 合规计划的一部分进行评估。其中包括 SOC、PCI、FedRAMP、HIPAA 等。 AWS 在 “[按合规计划划分的范围内的 AWS 服务” 中提供了经常更新的特定合规计划范围内的AWS 服务](https://aws.amazon.com/compliance/services-in-scope/)列表。
您可以使用第三方审计报告进行下载 AWS Artifact。有关更多信息,请参阅[中的下载报告 AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html)。
有关 AWS 合规计划的更多信息,请参阅[AWS 合规计划](https://aws.amazon.com/compliance/programs/)。
您在使用 Elastic Beanstalk 时的合规性责任由您数据的敏感性、您组织的合规性目标以及适用的法律法规决定。如果您在使用 Elastic Beanstalk 时必须符合 HIPAA、PCI 或 FedRAMP 等标准,请提供资源来帮助: AWS
+ [安全与合规性快速入门指南](https://aws.amazon.com/quickstart/?awsf.quickstart-homepage-filter=categories%23security-identity-compliance) — 部署指南,讨论架构注意事项,并提供在上部署以安全为重点和以合规为重点的基准环境的步骤。 AWS
+ 在 A@@ [mazon Web Services 上构建 HIPAA 安全与合规架构](https://docs.aws.amazon.com/whitepapers/latest/architecting-hipaa-security-and-compliance-on-aws/architecting-hipaa-security-and-compliance-on-aws.html) — 这份白皮书描述了公司如何使用它 AWS 来创建符合 HIPAA 标准的应用程序。
+ [AWS 合规资源](https://aws.amazon.com/compliance/resources/) — 可能适用于您所在行业和所在地区的合规工作簿和指南的集合。
+ [AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html) – 评估资源配置对内部实践、行业指南和法规的遵循情况的服务。
+ [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html)— 全面了解您的安全状态 AWS ,可帮助您检查自己是否符合安全行业标准和最佳实践。
有关其他 Elastic Beanstalk 安全主题,请参阅[AWS Elastic Beanstalk 安全](security.md)。
# Elastic Beanstalk 中的弹性
AWS Elastic Beanstalk 代表您管理和自动使用 AWS 全球基础架构。使用 Elastic Beanstalk 时,您可以从提供的可用性和容错机制中受益。 AWS
AWS 全球基础设施是围绕 AWS 区域和可用区构建的。
AWS 区域提供多个物理隔离和隔离的可用区,这些可用区通过低延迟、高吞吐量和高度冗余的网络相连。
利用可用区,您可以设计和操作在可用区之间无中断地自动实现失效转移的应用程序和数据库。与传统的单个或多个数据中心基础架构相比,可用区具有更高的可用性、容错性和可扩展性。
有关 AWS 区域和可用区的更多信息,请参阅[AWS 全球基础设施](https://aws.amazon.com/about-aws/global-infrastructure/)。
有关其他 Elastic Beanstalk 安全主题,请参阅[AWS Elastic Beanstalk 安全](security.md)。
# Elastic Beanstalk 中的基础设施安全性
作为一项托管服务 AWS Elastic Beanstalk ,受我们的安全、[身份和合规最佳实践网站中所述的 AWS 全球网络安全](https://aws.amazon.com/architecture/security-identity-compliance)程序的保护。
您可以使用 AWS 已发布的 API 调用通过网络访问 Elastic Beanstalk。客户端必须支持传输层安全性协议(TLS)1.2 或更高版本。客户端还必须支持具有完全向前保密(PFS)的密码套件,例如 Ephemeral Diffie-Hellman(DHE)或 Elliptic Curve Ephemeral Diffie-Hellman(ECDHE)。大多数现代平台支持这些模式。
此外,必须使用访问密钥 ID 和与 IAM 主体关联的秘密访问密钥来对请求进行签名。或者,您可以使用 [AWS Security Token Service](https://docs.aws.amazon.com/STS/latest/APIReference/Welcome.html)(AWS STS)生成临时安全凭证来对请求进行签名。
有关其他 Elastic Beanstalk 安全主题,请参阅[AWS Elastic Beanstalk 安全](security.md)。
# Elastic Beanstalk 中的配置和漏洞分析
AWS 而且,我们的客户有责任实现高水平的软件组件安全性和合规性。 AWS Elastic Beanstalk 通过提供*托管更新*功能,帮助您履行责任共担模式。此功能会自动为 Elastic Beanstalk 支持的平台版本应用补丁更新和次要版本更新。
有关更多信息,请参阅 [Elastic Beanstalk 平台维护的责任共担模型](platforms-shared-responsibility.md)。
有关其他 Elastic Beanstalk 安全主题,请参阅[AWS Elastic Beanstalk 安全](security.md)。
# Elastic Beanstalk 的安全最佳实践
AWS Elastic Beanstalk 提供了多种安全功能,供您在制定和实施自己的安全策略时考虑。以下最佳实践是一般指导原则,并不代表完整安全解决方案。由于这些最佳实践可能不适合您的环境或不满足您的环境要求,因此将其视为有用的考虑因素,而不是惯例。
有关其他 Elastic Beanstalk 安全主题,请参阅[AWS Elastic Beanstalk 安全](security.md)。
## 预防性安全最佳实践
预防性安全控制措施试图在事件发生之前进行预防。
### 实施最低权限访问
[Elastic AWS Identity and Access Management Beanstalk 为实例[配置文件、](iam-servicerole.md)服务角色和 IAM 用户提供 (IAM) 托管[策略](iam-instanceprofile.md)。](AWSHowTo.iam.managed-policies.md)这些托管策略指定了正确运行环境和应用程序可能所需的所有权限。
您的应用程序可能不需要我们托管策略中的全部权限。您可以自定义它们,并仅授予环境的实例、Elastic Beanstalk 服务和用户执行其任务所需的权限。这与用户策略特别相关,其中不同的用户角色可能具有不同的权限需求。实施最低权限访问对于减小安全风险以及可能由错误或恶意意图造成的影响至关重要。
### 保护敏感的应用程序数据
当您的应用程序需要访问诸如凭证、API 密钥或配置数据之类的敏感信息时,请遵循以下做法来维护安全性:
+ 使用相应的 P AWS Systems Manager arameter Store AWS Secrets Manager SDKs 或 APIs 在您的应用程序代码中直接检索敏感数据。这是访问敏感信息最安全、最灵活的方式。
+ 如果您将来自 AWS Secrets Manager 或 P AWS Systems Manager arameter Store 的敏感数据作为环境变量传递(请参阅[为环境变量获取密钥](AWSHowTo.secrets.env-vars.md)),请谨慎限制对 EC2 密钥对的访问权限,并为您的实例配置具有最低权限的相应的 IAM 角色。
+ 切勿在应用程序代码中打印、记录或公开敏感数据,因为这些值最终可能会出现在日志文件或错误消息中,未经授权的用户可能会看到这些文件或消息。
### 定期更新您的平台
Elastic Beanstalk 定期发布新平台版本更新其所有平台。新的平台版本提供了操作系统、运行时、应用程序服务器和 Web 服务器更新以及 Elastic Beanstalk 组件更新。其中很多平台更新包括重要的安全修复。确保您的 Elastic Beanstalk 环境在受支持的平台版本(通常是平台的最新版本)上运行。有关更多信息,请参阅 [更新 Elastic Beanstalk 环境的平台版本](using-features.platform.upgrade.md)。
保持环境平台最新的最简单方法是将环境配置为使用[托管平台更新](environment-platform-update-managed.md)。
### IMDSv2 在环境实例上强制执行
Elastic Beanstalk 环境中的亚马逊弹性计算云 (Amazon EC2) 实例使用实例元数据服务 (IMDS)(实例上的组件)来安全地访问实例元数据。IMDS 支持两种访问数据的方法: IMDSv1 和。 IMDSv2 IMDSv2 使用面向会话的请求并缓解了几种可用于尝试访问 IMDS 的漏洞。有关优势的详细信息 IMDSv2,请参阅为[ EC2 实例元数据服务添加深度防御的增强功能](https://aws.amazon.com/blogs/security/defense-in-depth-open-firewalls-reverse-proxies-ssrf-vulnerabilities-ec2-instance-metadata-service/)。
IMDSv2 更安全,因此最好在您的实例 IMDSv2 上强制使用。要强制执行 IMDSv2,请确保应用程序的所有组件都支持 IMDSv2,然后将其禁用 IMDSv1。有关更多信息,请参阅 [在 Elastic Beanstalk 环境的实例上配置 IMDS](environments-cfg-ec2-imds.md)。
## 检测性安全最佳实践
侦探性安全控件会在发生安全违规后识别它们。它们可以帮助您发现潜在安全威胁或事件。
### 实施监控
监控是维护 Elastic Beanstalk 解决方案的可靠性、安全性、可用性和性能的重要组成部分。 AWS 提供了多种工具和服务来帮助您监控 AWS 服务。
以下是要监视的项目的一些示例:
+ *Elastic Beanstalk 的亚马逊 CloudWatch 指标* — 为 Elastic Beanstalk 的关键指标和应用程序的自定义指标设置警报。有关更多信息,请参阅 [在亚马逊上使用 Elastic Beanstalk CloudWatch](AWSHowTo.cloudwatch.md)。
+ *AWS CloudTrail 条目*-跟踪可能影响可用性的操作,例如`UpdateEnvironment`或`TerminateEnvironment`。有关更多信息,请参阅 [使用记录 Elastic Beanstalk API 调用 AWS CloudTrail](AWSHowTo.cloudtrail.md)。
### 启用 AWS Config
AWS Config 提供了您账户中 AWS 资源配置的详细视图。您可以查看资源的关联方式、获取配置更改的历史记录并了解关系和配置如何随时间的推移而变化。
您可以使用 AWS Config 来定义用于评估资源配置的数据合规性的规则。 AWS Config 规则代表您的 Elastic Beanstalk 资源的理想配置设置。如果某个资源违反规则并被标记为*不合规*,则 AWS Config 可以使用亚马逊简单通知服务 (Amazon SNS) Simple SNS Service 主题提醒您。有关详细信息,请参阅[使用以下方法查找和跟踪 Elastic Beanstalk 资源 AWS Config](AWSHowTo.config.md)。