本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# Amazon Quick 中的数据保护
<a name="sec-data-protection"></a>

 AWS [分担责任模型](https://aws.amazon.com/compliance/shared-responsibility-model/)分适用于 Amazon Quick 中的数据保护。如本模型所述 AWS ，负责保护运行所有内容的全球基础架构 AWS 云。您负责维护对托管在此基础结构上的内容的控制。您还负责您所使用的 AWS 服务 的安全配置和管理任务。有关数据隐私的更多信息，请参阅[数据隐私常见问题](https://aws.amazon.com/compliance/data-privacy-faq/)。有关欧洲数据保护的信息，请参阅 *AWS Security Blog* 上的 [AWS Shared Responsibility Model and GDPR](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) 博客文章。

出于数据保护目的，我们建议您保护 AWS 账户 凭证并使用 AWS IAM Identity Center 或 AWS Identity and Access Management (IAM) 设置个人用户。这样，每个用户只获得履行其工作职责所需的权限。还建议您通过以下方式保护数据：
+ 对每个账户使用多重身份验证（MFA）。
+ 用于 SSL/TLS 与 AWS 资源通信。我们要求使用 TLS 1.2，建议使用 TLS 1.3。
+ 使用设置 API 和用户活动日志 AWS CloudTrail。有关使用 CloudTrail 跟踪捕获 AWS 活动的信息，请参阅《*AWS CloudTrail 用户指南》*中的[使用跟 CloudTrail 踪](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html)。
+ 使用 AWS 加密解决方案以及其中的所有默认安全控件 AWS 服务。
+ 使用高级托管安全服务（例如 Amazon Macie），它有助于发现和保护存储在 Amazon S3 中的敏感数据。
+ 如果您在 AWS 通过命令行界面或 API 进行访问时需要经过 FIPS 140-3 验证的加密模块，请使用 FIPS 端点。有关可用的 FIPS 端点的更多信息，请参阅《美国联邦信息处理标准（FIPS）第 140-3 版》[https://aws.amazon.com/compliance/fips/](https://aws.amazon.com/compliance/fips/)。

强烈建议您切勿将机密信息或敏感信息（如您客户的电子邮件地址）放入标签或自由格式文本字段（如**名称**字段）。这包括您 AWS 服务 使用控制台、API 或与 Amazon Quick 或其他人合作时 AWS SDKs。 AWS CLI在用于名称的标签或自由格式文本字段中输入的任何数据都可能会用于计费或诊断日志。如果您向外部服务器提供 URL，强烈建议您不要在网址中包含凭证信息来验证对该服务器的请求。

Amazon Quick 不使用客户数据进行培训或改善基础知识 LLMs。

**Topics**
+ [Amazon Quick 中的数据加密](data-encryption.md)
+ [Amazon Quick 中的网络间流量隐私](internetwork-traffic-privacy.md)

# Amazon Quick 中的数据加密
<a name="data-encryption"></a>

Amazon Quick 使用以下数据加密功能：
+  静态加密 
+  传输中加密
+  密钥管理

您可以在以下主题中找到有关静态数据加密和传输中数据加密的更多详细信息。有关 Amazon Quick 中密钥管理的更多信息，请参阅[使用 AWS KMS 客户管理的密钥加密 Amazon Quick SPICE 数据集](https://docs.aws.amazon.com/quicksuite/latest/userguide/customer-managed-keys.html)。

**Topics**
+ [静态加密](#data-encryption-at-rest)
+ [传输中加密](#data-encryption-in-transit)

## 静态加密
<a name="data-encryption-at-rest"></a>

Amazon Quick 可以安全地存储您的亚马逊快捷元数据。这包括以下这些：
+ Amazon Quick 用户数据，包括 Amazon Quick 用户名、电子邮件地址和密码。Amazon Quick 管理员可以查看用户名和电子邮件，但每个用户的密码对每个用户都是完全私密的。
+ 协调用户标识与 Microsoft Active Directory 或身份联合验证实现 [通过安全断言标记语言 2.0（SAML 2.0）进行联合单点登录（IAM Identity Center）] 所需的最少数据。
+ 数据源连接数据。
+ 当客户向 Amazon Quick 注册 CMK 时，Amazon Quick 数据源凭证（用户名和密码）或用于建立数据源连接的 OAuth 令牌将使用客户的默认 CMK 进行加密。如果客户没有在 Amazon Quick 上注册 CMK，我们将继续使用 Amazon Quick 拥有的 AWS KMS 密钥对信息进行加密。
+ 所上传文件的名称、数据来源名称和数据集名称。
+ Amazon Quick 用来填充机器学习 (ML) 见解的统计数据。
+ 数据已编制索引以支持 Quick 中的 Amazon Q。这包括以下这些：
  + 主题
  + 与仪表板相关的元数据
  + 您首次购买索引容量
  + 你的第一次聊天
  + 你的第一个空间创作
  + 您的第一个知识库创建

**注意**  
在创建上述内容之前配置 CMK。否则，Q 数据将由 AWS自有密钥加密，以后无法更改。

Amazon Quick 安全地存储您的 Amazon Quick 数据。这包括以下这些：
+ Data-at-rest in SPICE 使用硬件块级加密和托管密钥进行 AWS加密。
+ Data-at-rest 但使用亚马逊管理SPICE的 KMS 密钥进行加密。这包括以下这些：
  + 电子邮件报告
  + 筛选条件的示例值

删除用户时，该用户的所有元数据也将永久删除。如果您不将该用户的 Amazon Quick 对象转移给其他用户，则该已删除用户的所有Amazon Quick对象（数据源、数据集、分析等）也会被删除。当您取消订阅 Amazon Quick 时，您的所有元数据和所有数据都将被完全永久删除。SPICE

## 传输中加密
<a name="data-encryption-in-transit"></a>

Amazon Quick 支持对所有数据传输进行加密。这包括从数据来源传输到 SPICE，或从 SPICE 传输到用户界面。但是，加密并非强制操作。对于某些数据库，您可以选择是否对来自数据来源的传输进行加密。Amazon Quick 使用安全套接字层 (SSL) 保护所有加密传输。

# Amazon Quick 中的网络间流量隐私
<a name="internetwork-traffic-privacy"></a>

要使用 Amazon Quick，用户需要访问互联网。他们还需要使用兼容的浏览器或安装了 Amazon Quick 移动应用程序的移动设备。他们无需访问想要分析的数据来源。此访问权限在 Amazon Quick 内部处理。使用 SSL 保护用户与 Amazon Quick 的连接。为了让用户可以访问 Amazon Quick，请允许访问 HTTPS 和 Web Sockets Secure (wss://) 协议。

您可以在公司网络环境中使用 Microsoft AD 连接器和单点登录 (IAM Identity Center)。还可以通过身份提供程序进一步限制访问。或者，也可以使用 MFA。

Amazon Quick 使用数据源所有者在 Amazon Quick 中提供的连接信息来访问数据源。Amazon Quick 和本地应用程序之间以及 Amazon Quick 与内部其他 AWS 资源之间的连接都受到保护 AWS 区域。要连接到任何源，数据源必须允许来自 Amazon Quick 的连接。

## 服务与本地客户端和应用之间的流量
<a name="internetwork-traffic-privacy-between-qs-and-and-on-premises"></a>

您的私有网络和以下两种连接方式可供选择 AWS：
+ 一个 AWS Site-to-Site VPN 连接。有关更多信息，请参阅[什么是 AWS site-to-site VPN？](https://docs.aws.amazon.com/vpn/latest/s2svpn/VPC_VPN.html)
+ 一个 Direct Connect 连接。有关更多信息，请参阅[什么是云 AWS 专线？](https://docs.aws.amazon.com/directconnect/latest/UserGuide/Welcome.html) 

如果您使用 AWS API 操作通过网络与 Amazon Quick 进行交互，则客户端必须支持传输层安全 (TLS) 1.0。我们建议使用 TLS 1.2。客户端还必须支持具有完全向前保密 (PFS) 的密码套件，例如 Ephemeral Diffie-Hellman (DHE) 或 Elliptic Curve Diffie-Hellman Ephemeral (ECDHE)。大多数现代系统（如 Java 7 及更高版本）都支持这些模式。您必须使用与 IAM 主体关联的访问密钥 ID 和秘密访问密钥对请求签名，或者您可以使用 [AWS Security Token Service（STS）](https://docs.aws.amazon.com/STS/latest/APIReference/Welcome.html)生成临时安全凭证来对请求签名。

## 同一区域内 AWS 资源之间的流量
<a name="internetwork-traffic-privacy-between-qs-and-and-aws"></a>

Amazon Quick 的亚马逊虚拟私有云（亚马逊 VPC）终端节点是 VPC 中的一个逻辑实体，仅允许连接到 Amazon Quick。VPC 将请求路由到 Amazon Quick 并将响应路由回 VPC。有关更多信息，请参阅下列内容：
+ 《Amazon VPC 用户指南》**中的 [VPC 端点](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints.html)
+ [使用 Amazon Quick 连接到亚马逊 VPC](https://docs.aws.amazon.com/quicksight/latest/user/working-with-aws-vpc.html)