本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 安全支柱
云安全是重中之重 AWS。作为 AWS 客户,您可以受益于专为满足大多数安全敏感型组织的要求而构建的数据中心和网络架构。安全性是您和 AWS的共同责任。[责任共担模式](https://aws.amazon.com/compliance/shared-responsibility-model/)将其描述为云*的* 安全性和云*中* 的安全性:
+ **云安全** — AWS 负责保护在云 AWS 服务 中运行的基础架构 AWS Cloud。 AWS 还为您提供可以安全使用的服务。作为[AWS 合规计划](https://aws.amazon.com/compliance/programs/)的一部分,第三方审计师定期测试和验证 AWS 安全的有效性。要了解适用于 Neptune 的合规计划,请参阅[按合规计划划分的范围内的AWS 服务](https://aws.amazon.com/compliance/services-in-scope/)。
+ **云端安全** — 您的责任由您 AWS 服务 使用的内容决定。您还需要对其他因素负责,包括您的数据的敏感性、您公司的要求以及适用的法律法规。有关数据隐私的更多信息,请参阅[数据隐私 FAQs](https://aws.amazon.com/compliance/data-privacy-faq)。有关欧洲数据保护的信息,请参阅[责任AWS 共担模型和 GDPR](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) 博客文章。
Well-Architect AWS ed Framework [的安全支柱](https://docs.aws.amazon.com/wellarchitected/latest/framework/security.html)可帮助你了解在使用 Neptune Analytics 时如何应用分担责任模型。以下主题说明了如何配置 Neptune Analytics 以满足您的安全和合规目标。您还将学习如何使用其他方法来帮助您监控和保护您 AWS 服务 的 Neptune Analytics 资源。安全支柱包括以下关键重点领域:
+ 数据安全性
+ 网络安全
+ 身份验证和授权
## 实现数据安全
数据泄露和泄露会使您的客户处于危险之中,并可能对您的公司造成严重的负面影响。以下最佳实践有助于保护您的客户数据免遭无意和恶意泄露:
+ 图表名称、标签、IAM 角色和其他元数据不应包含机密或敏感信息,因为这些数据可能会出现在账单或诊断日志中。
+ URIs 或者指向作为数据存储在 Neptune 中的外部服务器的链接不应包含用于验证请求的凭据信息。
+ Neptune Analytics 图表处于静态加密状态。您可以使用默认密钥或您选择的 AWS Key Management Service (AWS KMS) 密钥来加密图表。您还可以对批量导入期间导出到 Amazon S3 的快照和数据进行加密。导入完成后,您可以移除加密。
+ 使用 OpenCypher 语言时,请练习正确的输入验证和[参数化](https://docs.aws.amazon.com/neptune-analytics/latest/userguide/best-practices-content.html#best-practices-content-2)技术,以防止 SQL 注入和其他形式的攻击。避免构造使用字符串连接和用户提供的输入的查询。使用参数化查询或预处理语句将输入参数安全地传递到图形数据库。有关更多信息,请参阅 Neptune [文档中的 OpenCypher 参数化查询示例](https://docs.aws.amazon.com/neptune/latest/userguide/opencypher-parameterized-queries.html)。
## 保护您的网络
您可以为公共连接启用 Neptune Analytics 图表,以便可以从虚拟私有云 (VPC) 外部访问该图。默认情况下,此连接处于禁用状态。该图表需要 IAM 身份验证。调用者必须获得身份并拥有使用图表的权限。例如,要[运行 OpenCypher 查询,](https://docs.aws.amazon.com/neptune-analytics/latest/apiref/API_ExecuteQuery.html)调用者需要对特定图表具有读取、写入或删除权限。
您也可以为图表[创建私有终端节点](https://docs.aws.amazon.com/neptune-analytics/latest/apiref/API_CreatePrivateGraphEndpoint.html),以便从 VPC 内访问图表。创建终端节点时,您可以指定 VPC、子网和安全组来限制对图表的调用权限。
为了保护传输中的数据,Neptune Analytics强制通过HTTPS与图表建立SSL连接。有关更多信息,请参阅 Neptune Analytics [文档中的 Neptune Analytics 中的数据保护](https://docs.aws.amazon.com/neptune-analytics/latest/userguide/data-protection.html)。
## 实现身份验证和授权
调用 Neptune Analytics 图表需要 IAM 身份验证。调用者必须获得身份并拥有足够的权限才能在图表上执行操作。有关 API 操作及其所需权限的描述,请参阅 Nep [tune Analytics API 文档](https://docs.aws.amazon.com/neptune-analytics/latest/apiref/API_Operations.html)。您可以[强制执行条件检查](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonneptuneanalytics.html#amazonneptuneanalytics-policy-keys)以按标签限制访问权限。
IAM 身份验证使用[AWS 签名版本 4 (Sigv4) 协议](https://docs.aws.amazon.com/AmazonS3/latest/API/sig-v4-authenticating-requests.html)。为了简化应用程序的使用,我们建议您使用 S [AWS DK](https://aws.amazon.com/developer/tools/)。例如,在 Python 中,使用 Nept [une Graph 的 Boto3 客户端](https://boto3.amazonaws.com/v1/documentation/api/latest/reference/services/neptune-graph.html),它抽象了 Sigv4。
当您将数据加载到图表中时,[批量加载](https://docs.aws.amazon.com/neptune-analytics/latest/userguide/batch-load.html)会使用调用者的 IAM 证书。调用者必须有权从已设置信任关系的 Amazon S3 下载数据,这样 Neptune Analytics 才能担任将数据从 Amazon S3 文件加载到图表中的角色。
[批量导入](https://docs.aws.amazon.com/neptune-analytics/latest/userguide/bulk-import.html)可以在图表创建期间执行(由基础设施团队执行),也可以在现有的空图表上执行(由有权启动导入任务的数据工程团队执行)。在这两种情况下,Neptune Analytics 都假设调用方作为输入提供的 IAM 角色。此角色允许其读取和列出存放输入数据的 Amazon S3 文件夹的内容。