终止支持通知:2026 年 5 月 20 日, AWS 将终止对的支持。 AWS SimSpace Weaver 2026 年 5 月 20 日之后,您将无法再访问 SimSpace Weaver 控制台或 SimSpace Weaver 资源。有关更多信息,请参阅[AWS SimSpace Weaver 终止支持](https://docs.aws.amazon.com/simspaceweaver/latest/userguide/simspaceweaver-end-of-support.html)。
本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 安全性 AWS SimSpace Weaver
云安全 AWS 是重中之重。作为 AWS 客户,您可以受益于专为满足大多数安全敏感型组织的要求而构建的数据中心和网络架构。
安全是双方共同承担 AWS 的责任。[责任共担模式](https://aws.amazon.com/compliance/shared-responsibility-model/)将其描述为云*的*安全性和云*中*的安全性:
+ **云安全** — AWS 负责保护在云中运行 AWS 服务的基础架构 AWS 云。 AWS 还为您提供可以安全使用的服务。作为[AWS 合规计划合规计划合规计划合](https://aws.amazon.com/compliance/programs/)的一部分,第三方审计师定期测试和验证我们安全的有效性。要了解适用的合规计划 AWS SimSpace Weaver,请参阅按合规计划划分的[范围内的AWSAWS 服务按合规计划](https://aws.amazon.com/compliance/services-in-scope/)。
+ **云端安全**-您的责任由您使用的 AWS 服务决定。您还需要对其他因素负责,包括您的数据的敏感性、您公司的要求以及适用的法律法规。
本文档可帮助您了解在使用时如何应用分担责任模型 SimSpace Weaver。以下主题向您介绍如何进行配置 SimSpace Weaver 以满足您的安全和合规性目标。您还将学习如何使用其他 AWS 服务来帮助您监控和保护您的 SimSpace Weaver 资源。
**Topics**
+ [中的数据保护 AWS SimSpace Weaver](security_data-protection.md)
+ [Identity and Access Management AWS SimSpace Weaver](security-iam.md)
+ [中的安全事件记录和监控 AWS SimSpace Weaver](security_event-logging-and-monitoring.md)
+ [的合规性验证 AWS SimSpace Weaver](compliance-validation.md)
+ [韧性在 AWS SimSpace Weaver](disaster-recovery-resiliency.md)
+ [中的基础设施安全 AWS SimSpace Weaver](infrastructure-security.md)
+ [中的配置和漏洞分析 AWS SimSpace Weaver](security_vulnerability-analysis.md)
+ [以下方面的安全最佳实践 SimSpace Weaver](security_best-practices.md)
# 中的数据保护 AWS SimSpace Weaver
分 AWS [担责任模型](https://aws.amazon.com/compliance/shared-responsibility-model/)适用于中的数据保护 AWS SimSpace Weaver。如本模型所述 AWS ,负责保护运行所有内容的全球基础架构 AWS 云。您负责维护对托管在此基础结构上的内容的控制。您还负责您所使用的 AWS 服务 的安全配置和管理任务。有关数据隐私的更多信息,请参阅[数据隐私常见问题](https://aws.amazon.com/compliance/data-privacy-faq/)。有关欧洲数据保护的信息,请参阅 *AWS Security Blog* 上的 [AWS Shared Responsibility Model and GDPR](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) 博客文章。
出于数据保护目的,我们建议您保护 AWS 账户 凭证并使用 AWS IAM Identity Center 或 AWS Identity and Access Management (IAM) 设置个人用户。这样,每个用户只获得履行其工作职责所需的权限。还建议您通过以下方式保护数据:
+ 对每个账户使用多重身份验证(MFA)。
+ 用于 SSL/TLS 与 AWS 资源通信。我们要求使用 TLS 1.2,建议使用 TLS 1.3。
+ 使用设置 API 和用户活动日志 AWS CloudTrail。有关使用 CloudTrail 跟踪捕获 AWS 活动的信息,请参阅《*AWS CloudTrail 用户指南》*中的[使用跟 CloudTrail 踪](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html)。
+ 使用 AWS 加密解决方案以及其中的所有默认安全控件 AWS 服务。
+ 使用高级托管安全服务(例如 Amazon Macie),它有助于发现和保护存储在 Amazon S3 中的敏感数据。
+ 如果您在 AWS 通过命令行界面或 API 进行访问时需要经过 FIPS 140-3 验证的加密模块,请使用 FIPS 端点。有关可用的 FIPS 端点的更多信息,请参阅《美国联邦信息处理标准(FIPS)第 140-3 版》[https://aws.amazon.com/compliance/fips/](https://aws.amazon.com/compliance/fips/)。
强烈建议您切勿将机密信息或敏感信息(如您客户的电子邮件地址)放入标签或自由格式文本字段(如**名称**字段)。这包括您使用控制台、API SimSpace Weaver 或以其他 AWS 服务 方式使用控制台 AWS CLI、API 或时 AWS SDKs。在用于名称的标签或自由格式文本字段中输入的任何数据都可能会用于计费或诊断日志。如果您向外部服务器提供 URL,强烈建议您不要在网址中包含凭证信息来验证对该服务器的请求。
## 静态加密
当数据位于非易失性(永久)数据存储器(例如磁盘)中时,将其视为*静态*数据。位于易失性数据存储器中的数据(例如内存和寄存器)不是*静态*数据。
使用时 SimSpace Weaver,唯一的静态数据是:
+ 上传到 Amazon Simple Storage Service (Amazon S3) 的应用程序和架构
+ 存储在 Amazon 中的模拟日志数据 CloudWatch
停止仿真后,内部 SimSpace Weaver 使用的其他数据不会保留。
要了解如何加密静态数据,请参阅:
+ [在 Amazon S3 中加密数据](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-encryption.html)
+ [加密日志数据](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/encrypt-log-data-kms.html)
## 传输中加密
您通过 AWS Command Line Interface (AWS CLI)、 AWS SDK 和 SimSpace Weaver 应用程序 SDK 与 SimSpace Weaver API 的连接在[签名版本 4 签名过程中](https://docs.aws.amazon.com/general/latest/gr/signature-version-4.html)使用 TLS 加密。 AWS 使用 IAM 为用于连接的安全凭证定义的访问策略管理身份验证。
在内部, SimSpace Weaver 使用 TLS 连接到其使用的其他 AWS 服务。
**重要**
您的应用程序与其客户之间的通信不涉及 SimSpace Weaver。如果需要,您有责任对与模拟客户端的通信进行加密。我们建议您创建一种解决方案,对通过客户端连接传输的所有数据进行加密。
要详细了解支持您的加密解决方案的 AWS 服务,请参阅[AWS 安全博客](https://aws.amazon.com/blogs/security/importance-of-encryption-and-how-aws-can-help/)。
## 互联网络流量隐私
SimSpace Weaver 计算资源位于所有 SimSpace Weaver 客户共享的 1 个 Amazon VPC 内。所有内部 SimSpace Weaver 服务流量都保留在 AWS 网络内,不会通过互联网传输。模拟客户端和您的应用程序之间的通信通过互联网传输。
# Identity and Access Management AWS SimSpace Weaver
AWS Identity and Access Management (IAM) AWS 服务 可帮助管理员安全地控制对 AWS 资源的访问权限。IAM 管理员控制谁可以*进行身份验证*(登录)和*授权*(拥有权限)使用 SimSpace Weaver 资源。您可以使用 IAM AWS 服务 ,无需支付额外费用。
**Topics**
+ [受众](#security_iam_audience)
+ [使用身份进行身份验证](#security_iam_authentication)
+ [使用策略管理访问](#security_iam_access-manage)
+ [如何 AWS SimSpace Weaver 与 IAM 配合使用](security_iam_service-with-iam.md)
+ [基于身份的策略示例 AWS SimSpace Weaver](security_iam_id-based-policy-examples.md)
+ [SimSpace Weaver 为您创建的权限](security_iam_service-created-permissions.md)
+ [防止跨服务混淆代理](cross-service-confused-deputy-prevention.md)
+ [对 AWS SimSpace Weaver 身份和访问进行故障排除](security_iam_troubleshoot.md)
## 受众
您的使用方式 AWS Identity and Access Management (IAM) 因您的角色而异:
+ **服务用户**:如果您无法访问功能,请从管理员处请求权限(请参阅[对 AWS SimSpace Weaver 身份和访问进行故障排除](security_iam_troubleshoot.md))
+ **服务管理员**:确定用户访问权限并提交权限请求(请参阅[如何 AWS SimSpace Weaver 与 IAM 配合使用](security_iam_service-with-iam.md))
+ **IAM 管理员**:编写用于管理访问权限的策略(请参阅[基于身份的策略示例 AWS SimSpace Weaver](security_iam_id-based-policy-examples.md))
## 使用身份进行身份验证
身份验证是您 AWS 使用身份凭证登录的方式。您必须以 IAM 用户身份进行身份验证 AWS 账户根用户,或者通过担任 IAM 角色进行身份验证。
您可以使用来自身份源的证书 AWS IAM Identity Center (例如(IAM Identity Center)、单点登录身份验证或 Google/Facebook 证书,以联合身份登录。有关登录的更多信息,请参阅《AWS 登录 用户指南》**中的[如何登录您的 AWS 账户](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html)。
对于编程访问, AWS 提供 SDK 和 CLI 来对请求进行加密签名。有关更多信息,请参阅*《IAM 用户指南》*中的[适用于 API 请求的AWS 签名版本 4](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html)。
### AWS 账户 root 用户
创建时 AWS 账户,首先会有一个名为 AWS 账户 *root 用户的*登录身份,该身份可以完全访问所有资源 AWS 服务 和资源。我们强烈建议不要使用根用户进行日常任务。有关需要根用户凭证的任务,请参阅《IAM 用户指南》**中的[需要根用户凭证的任务](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks)。
### 联合身份
作为最佳实践,要求人类用户使用与身份提供商的联合身份验证才能 AWS 服务 使用临时证书进行访问。
*联合身份是指*来自您的企业目录、Web 身份提供商的用户 Directory Service ,或者 AWS 服务 使用来自身份源的凭据进行访问的用户。联合身份代入可提供临时凭证的角色。
要集中管理访问权限,建议使用。 AWS IAM Identity Center有关更多信息,请参阅《AWS IAM Identity Center 用户指南》**中的[什么是 IAM Identity Center?](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html)。
### IAM 用户和群组
*[IAM 用户](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)*是对某个人员或应用程序具有特定权限的一个身份。建议使用临时凭证,而非具有长期凭证的 IAM 用户。有关更多信息,请参阅 *IAM 用户指南*[中的要求人类用户使用身份提供商的联合身份验证才能 AWS 使用临时证书进行访问](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp)。
[https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html)指定一组 IAM 用户,便于更轻松地对大量用户进行权限管理。有关更多信息,请参阅*《IAM 用户指南》*中的 [IAM 用户使用案例](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html)。
### IAM 角色
*[IAM 角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)*是具有特定权限的身份,可提供临时凭证。您可以通过[从用户切换到 IAM 角色(控制台)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html)或调用 AWS CLI 或 AWS API 操作来代入角色。有关更多信息,请参阅《IAM 用户指南》**中的[担任角色的方法](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html)。
IAM 角色对于联合用户访问、临时 IAM 用户权限、跨账户访问、跨服务访问以及在 Amazon EC2 上运行的应用程序非常有用。有关更多信息,请参阅《IAM 用户指南》**中的 [IAM 中的跨账户资源访问](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html)。
## 使用策略管理访问
您可以 AWS 通过创建策略并将其附加到 AWS 身份或资源来控制中的访问权限。策略定义了与身份或资源关联时的权限。 AWS 在委托人提出请求时评估这些政策。大多数策略都以 JSON 文档的 AWS 形式存储在中。有关 JSON 策略文档的更多信息,请参阅*《IAM 用户指南》*中的 [JSON 策略概述](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json)。
管理员使用策略,通过定义哪个**主体**可以在什么**条件**下对哪些**资源**执行哪些**操作**来指定谁有权访问什么。
默认情况下,用户和角色没有权限。IAM 管理员创建 IAM 策略并将其添加到角色中,然后用户可以担任这些角色。IAM 策略定义权限,与执行操作所用的方法无关。
### 基于身份的策略
基于身份的策略是您附加到身份(用户、组或角色)的 JSON 权限策略文档。这些策略控制身份可以执行什么操作、对哪些资源执行以及在什么条件下执行。要了解如何创建基于身份的策略,请参阅《IAM 用户指南》**中的[使用客户管理型策略定义自定义 IAM 权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html)。
基于身份的策略可以是*内联策略*(直接嵌入到单个身份中)或*托管策略*(附加到多个身份的独立策略)。要了解如何在托管策略和内联策略之间进行选择,请参阅*《IAM 用户指南》*中的[在托管策略与内联策略之间进行选择](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html)。
### 基于资源的策略
基于资源的策略是附加到资源的 JSON 策略文档。示例包括 IAM *角色信任策略*和 Amazon S3 *存储桶策略*。在支持基于资源的策略的服务中,服务管理员可以使用它们来控制对特定资源的访问。您必须在基于资源的策略中[指定主体](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html)。
基于资源的策略是位于该服务中的内联策略。您不能在基于资源的策略中使用 IAM 中的 AWS 托管策略。
### 其他策略类型
AWS 支持其他策略类型,这些策略类型可以设置更常见的策略类型授予的最大权限:
+ **权限边界** – 设置基于身份的策略可以授予 IAM 实体的最大权限。有关更多信息,请参阅《 IAM 用户指南》**中的 [IAM 实体的权限边界](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html)。
+ **服务控制策略 (SCPs)**-在中指定组织或组织单位的最大权限 AWS Organizations。有关更多信息,请参阅《AWS Organizations 用户指南》**中的[服务控制策略](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html)。
+ **资源控制策略 (RCPs)**-设置账户中资源的最大可用权限。有关更多信息,请参阅《*AWS Organizations 用户指南》*中的[资源控制策略 (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html)。
+ **会话策略** – 在为角色或联合用户创建临时会话时,作为参数传递的高级策略。有关更多信息,请参阅《IAM 用户指南》**中的[会话策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session)。
### 多个策略类型
当多个类型的策略应用于一个请求时,生成的权限更加复杂和难以理解。要了解在涉及多种策略类型时如何 AWS 确定是否允许请求,请参阅 *IAM 用户指南*中的[策略评估逻辑](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html)。
# 如何 AWS SimSpace Weaver 与 IAM 配合使用
在使用 IAM 管理访问权限之前 SimSpace Weaver,请先了解有哪些 IAM 功能可供使用 SimSpace Weaver。
**您可以搭配使用的 IAM 功能 AWS SimSpace Weaver**
| IAM 功能 | SimSpace Weaver 支持 |
| --- | --- |
| [基于身份的策略](#security_iam_service-with-iam-id-based-policies) | 是 |
| [基于资源的策略](#security_iam_service-with-iam-resource-based-policies) | 否 |
| [策略操作](#security_iam_service-with-iam-id-based-policies-actions) | 是 |
| [策略资源](#security_iam_service-with-iam-id-based-policies-resources) | 是 |
| [策略条件键(特定于服务)](#security_iam_service-with-iam-id-based-policies-conditionkeys) | 是 |
| [ACLs](#security_iam_service-with-iam-acls) | 否 |
| [ABAC(策略中的标签)](#security_iam_service-with-iam-tags) | 是 |
| [临时凭证](#security_iam_service-with-iam-roles-tempcreds) | 是 |
| [主体权限](#security_iam_service-with-iam-principal-permissions) | 是 |
| [服务角色](#security_iam_service-with-iam-roles-service) | 是 |
| [服务关联角色](#security_iam_service-with-iam-roles-service-linked) | 否 |
要全面了解 SimSpace Weaver 以及其他 AWS 服务如何与大多数 IAM 功能配合使用,请参阅 IAM *用户指南中的与 IAM* [配合使用的AWS 服务](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)。
## 基于身份的策略 SimSpace Weaver
**支持基于身份的策略:**是
基于身份的策略是可附加到身份(如 IAM 用户、用户组或角色)的 JSON 权限策略文档。这些策略控制用户和角色可在何种条件下对哪些资源执行哪些操作。要了解如何创建基于身份的策略,请参阅《IAM 用户指南》**中的[使用客户管理型策略定义自定义 IAM 权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html)。
通过使用 IAM 基于身份的策略,您可以指定允许或拒绝的操作和资源以及允许或拒绝操作的条件。要了解可在 JSON 策略中使用的所有元素,请参阅《IAM 用户指南》**中的 [IAM JSON 策略元素引用](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html)。
### 基于身份的策略示例 SimSpace Weaver
要查看 SimSpace Weaver 基于身份的策略的示例,请参阅。[基于身份的策略示例 AWS SimSpace Weaver](security_iam_id-based-policy-examples.md)
## 内部基于资源的政策 SimSpace Weaver
**支持基于资源的策略:**否
基于资源的策略是附加到资源的 JSON 策略文档。基于资源的策略的示例包括 IAM *角色信任策略*和 Amazon S3 *存储桶策略*。在支持基于资源的策略的服务中,服务管理员可以使用它们来控制对特定资源的访问。对于在其中附加策略的资源,策略定义指定主体可以对该资源执行哪些操作以及在什么条件下执行。您必须在基于资源的策略中[指定主体](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html)。委托人可以包括账户、用户、角色、联合用户或 AWS 服务。
要启用跨账户访问,您可以将整个账户或其他账户中的 IAM 实体指定为基于资源的策略中的主体。有关更多信息,请参阅《IAM 用户指南》**中的 [IAM 中的跨账户资源访问](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html)。
## 的政策行动 SimSpace Weaver
**支持策略操作:**是
管理员可以使用 AWS JSON 策略来指定谁有权访问什么。也就是说,哪个**主体**可以对什么**资源**执行**操作**,以及在什么**条件**下执行。
JSON 策略的 `Action` 元素描述可用于在策略中允许或拒绝访问的操作。在策略中包含操作以授予执行关联操作的权限。
要查看 SimSpace Weaver 操作列表,请参阅《*服务授权参考*》 AWS SimSpace Weaver中[定义的操作](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssimspaceweaver.html#awssimspaceweaver-actions-as-permissions)。
正在执行的策略操作在操作前 SimSpace Weaver 使用以下前缀:
```
simspaceweaver
```
要在单个语句中指定多项操作,请使用逗号将它们隔开。
```
"Action": [
"simspaceweaver:action1",
"simspaceweaver:action2"
]
```
要查看 SimSpace Weaver 基于身份的策略的示例,请参阅。[基于身份的策略示例 AWS SimSpace Weaver](security_iam_id-based-policy-examples.md)
## 的政策资源 SimSpace Weaver
**支持策略资源:**是
管理员可以使用 AWS JSON 策略来指定谁有权访问什么。也就是说,哪个**主体**可以对什么**资源**执行**操作**,以及在什么**条件**下执行。
`Resource` JSON 策略元素指定要向其应用操作的一个或多个对象。作为最佳实践,请使用其 [Amazon 资源名称(ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html)指定资源。对于不支持资源级权限的操作,请使用通配符 (\$1) 指示语句应用于所有资源。
```
"Resource": "*"
```
要查看 SimSpace Weaver 资源类型及其列表 ARNs,请参阅《*服务授权参考*[》 AWS SimSpace Weaver中定义的资源](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssimspaceweaver.html#awssimspaceweaver-resources-for-iam-policies)。要了解可以在哪些操作中指定每个资源的 ARN,请参阅 [AWS SimSpace Weaver定义的操作](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssimspaceweaver.html#awssimspaceweaver-actions-as-permissions)。
要查看 SimSpace Weaver 基于身份的策略的示例,请参阅。[基于身份的策略示例 AWS SimSpace Weaver](security_iam_id-based-policy-examples.md)
## 的策略条件密钥 SimSpace Weaver
**支持特定于服务的策略条件键:**是
管理员可以使用 AWS JSON 策略来指定谁有权访问什么。也就是说,哪个**主体**可以对什么**资源**执行**操作**,以及在什么**条件**下执行。
`Condition` 元素根据定义的条件指定语句何时执行。您可以创建使用[条件运算符](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html)(例如,等于或小于)的条件表达式,以使策略中的条件与请求中的值相匹配。要查看所有 AWS 全局条件键,请参阅 *IAM 用户指南*中的[AWS 全局条件上下文密钥](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)。
要查看 SimSpace Weaver 条件键列表,请参阅《*服务授权参考*》 AWS SimSpace Weaver中的[条件密钥](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssimspaceweaver.html#awssimspaceweaver-policy-keys)。要了解可以使用条件键的操作和资源,请参阅[由定义的操作 AWS SimSpace Weaver](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssimspaceweaver.html#awssimspaceweaver-actions-as-permissions)。
要查看 SimSpace Weaver 基于身份的策略的示例,请参阅。[基于身份的策略示例 AWS SimSpace Weaver](security_iam_id-based-policy-examples.md)
## 中的访问控制列表 (ACLs) SimSpace Weaver
**支持 ACLs:**否
访问控制列表 (ACLs) 控制哪些委托人(账户成员、用户或角色)有权访问资源。 ACLs 与基于资源的策略类似,尽管它们不使用 JSON 策略文档格式。
## 基于属性的访问控制 (ABAC) SimSpace Weaver
**支持 ABAC(策略中的标签):**是
基于属性的访问权限控制(ABAC)是一种授权策略,该策略基于称为标签的属性来定义权限。您可以将标签附加到 IAM 实体和 AWS 资源,然后设计 ABAC 策略以允许在委托人的标签与资源上的标签匹配时进行操作。
要基于标签控制访问,您需要使用 `aws:ResourceTag/key-name``aws:RequestTag/key-name` 或 `aws:TagKeys` 条件键在策略的[条件元素](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)中提供标签信息。
如果某个服务对于每种资源类型都支持所有这三个条件键,则对于该服务,该值为**是**。如果某个服务仅对于部分资源类型支持所有这三个条件键,则该值为**部分**。
有关 ABAC 的更多信息,请参阅《IAM 用户指南》**中的[使用 ABAC 授权定义权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)。要查看设置 ABAC 步骤的教程,请参阅《IAM 用户指南》**中的[使用基于属性的访问权限控制(ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html)。
## 将临时凭证与配合使用 SimSpace Weaver
**支持临时凭证:**是
临时证书提供对 AWS 资源的短期访问权限,并且是在您使用联合身份或切换角色时自动创建的。 AWS 建议您动态生成临时证书,而不是使用长期访问密钥。有关更多信息,请参阅《IAM 用户指南》**中的 [IAM 中的临时安全凭证](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html)和[使用 IAM 的。AWS 服务](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)
## 的跨服务主体权限 SimSpace Weaver
**支持转发访问会话(FAS):**是
转发访问会话 (FAS) 使用调用主体的权限 AWS 服务,再加上 AWS 服务 向下游服务发出请求的请求。有关发出 FAS 请求时的策略详情,请参阅[转发访问会话](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html)。
## 的服务角色 SimSpace Weaver
**支持服务角色:**是
服务角色是由一项服务担任、代表您执行操作的 [IAM 角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)。IAM 管理员可以在 IAM 中创建、修改和删除服务角色。有关更多信息,请参阅《IAM 用户指南》**中的[创建向 AWS 服务委派权限的角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html)。
**警告**
更改服务角色的权限可能会中断 SimSpace Weaver 功能。只有在 SimSpace Weaver 提供操作指导时才编辑服务角色。
A SimSpace Weaver pp SDK 脚本使用 CloudFormation 模板在其他 AWS 服务中创建资源以支持您的模拟。其中一个资源是模拟的*应用程序角色*。 SimSpace Weaver 代入应用程序角色代表您 AWS 账户 执行操作,例如将日志数据写入 CloudWatch 日志。有关应用程序角色的更多信息,请参阅 [SimSpace Weaver 为您创建的权限](security_iam_service-created-permissions.md)。
## 的服务相关角色 SimSpace Weaver
**支持服务相关角色:**否
服务相关角色是一种与服务相关联的 AWS 服务服务角色。服务可以代入代表您执行操作的角色。服务相关角色出现在您的中 AWS 账户 ,并且归服务所有。IAM 管理员可以查看但不能编辑服务关联角色的权限。
有关创建或管理服务相关角色的详细信息,请参阅[能够与 IAM 搭配使用的AWS 服务](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)。在表中查找**服务相关角色**列中包含 `Yes` 的表。选择**是**链接以查看该服务的服务相关角色文档。
# 基于身份的策略示例 AWS SimSpace Weaver
默认情况下,用户和角色没有创建或修改 SimSpace Weaver 资源的权限。要授予用户对所需资源执行操作的权限,IAM 管理员可以创建 IAM 策略。
要了解如何使用这些示例 JSON 策略文档创建基于 IAM 身份的策略,请参阅《IAM 用户指南》**中的[创建 IAM 策略(控制台)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html)。
有关由 SimSpace Weaver定义的操作和资源类型(包括每种资源类型的格式)的详细信息,请参阅《*服务授权参考*》 AWS SimSpace Weaver中的[操作、资源和条件密钥](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awssimspaceweaver.html)。 ARNs
**Topics**
+ [策略最佳实践](#security_iam_service-with-iam-policy-best-practices)
+ [使用控制 SimSpace Weaver 台](#security_iam_id-based-policy-examples-console)
+ [允许用户查看他们自己的权限](#security_iam_id-based-policy-examples-view-own-permissions)
+ [允许用户创建和运行模拟](#security_iam_id-based-policy-examples-basic-service-use)
## 策略最佳实践
基于身份的策略决定了某人是否可以在您的账户中创建、访问或删除 SimSpace Weaver 资源。这些操作可能会使 AWS 账户产生成本。创建或编辑基于身份的策略时,请遵循以下指南和建议:
+ **开始使用 AWS 托管策略并转向最低权限权限** — 要开始向用户和工作负载授予权限,请使用为许多常见用例授予权限的*AWS 托管策略*。它们在你的版本中可用 AWS 账户。我们建议您通过定义针对您的用例的 AWS 客户托管策略来进一步减少权限。有关更多信息,请参阅《IAM 用户指南》**中的 [AWS 托管策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)或[工作职能的AWS 托管策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html)。
+ **应用最低权限**:在使用 IAM 策略设置权限时,请仅授予执行任务所需的权限。为此,您可以定义在特定条件下可以对特定资源执行的操作,也称为*最低权限许可*。有关使用 IAM 应用权限的更多信息,请参阅《IAM 用户指南》**中的 [IAM 中的策略和权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html)。
+ **使用 IAM 策略中的条件进一步限制访问权限**:您可以向策略添加条件来限制对操作和资源的访问。例如,您可以编写策略条件来指定必须使用 SSL 发送所有请求。如果服务操作是通过特定的方式使用的,则也可以使用条件来授予对服务操作的访问权限 AWS 服务,例如 CloudFormation。有关更多信息,请参阅《IAM 用户指南》**中的 [IAM JSON 策略元素:条件](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)。
+ **使用 IAM Access Analyzer 验证您的 IAM 策略,以确保权限的安全性和功能性**:IAM Access Analyzer 会验证新策略和现有策略,以确保策略符合 IAM 策略语言(JSON)和 IAM 最佳实践。IAM Access Analyzer 提供 100 多项策略检查和可操作的建议,以帮助您制定安全且功能性强的策略。有关更多信息,请参阅《IAM 用户指南》**中的[使用 IAM Access Analyzer 验证策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html)。
+ **需要多重身份验证 (MFA**)-如果 AWS 账户您的场景需要 IAM 用户或根用户,请启用 MFA 以提高安全性。若要在调用 API 操作时需要 MFA,请将 MFA 条件添加到您的策略中。有关更多信息,请参阅《IAM 用户指南》**中的[使用 MFA 保护 API 访问](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html)。
有关 IAM 中的最佳实操的更多信息,请参阅《IAM 用户指南》**中的 [IAM 中的安全最佳实践](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)。
## 使用控制 SimSpace Weaver 台
要访问 AWS SimSpace Weaver 控制台,您必须拥有一组最低权限。这些权限必须允许您列出和查看有关您的 SimSpace Weaver 资源的详细信息 AWS 账户。如果创建比必需的最低权限更为严格的基于身份的策略,对于附加了该策略的实体(用户或角色),控制台将无法按预期正常运行。
对于仅调用 AWS CLI 或 AWS API 的用户,您无需为其设置最低控制台权限。相反,只允许访问与其尝试执行的 API 操作相匹配的操作。
为确保用户和角色仍然可以使用 SimSpace Weaver 控制台,还需要将 SimSpace Weaver `ConsoleAccess`或`ReadOnly` AWS 托管策略附加到实体。有关更多信息,请参阅《IAM 用户指南》**中的[为用户添加权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console)。
## 允许用户查看他们自己的权限
该示例说明了您如何创建策略,以允许 IAM 用户查看附加到其用户身份的内联和托管式策略。此策略包括在控制台上或使用 AWS CLI 或 AWS API 以编程方式完成此操作的权限。
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
## 允许用户创建和运行模拟
该示例 IAM 策略提供了在 SimSpace Weaver中创建和运行模拟所需的基本权限。
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "CreateAndRunSimulations",
"Effect": "Allow",
"Action": [
"simspaceweaver:*",
"iam:GetRole",
"iam:ListRoles",
"iam:CreateRole",
"iam:DeleteRole",
"iam:UpdateRole",
"iam:CreatePolicy",
"iam:AttachRolePolicy",
"iam:PutRolePolicy",
"iam:GetRolePolicy",
"iam:DeleteRolePolicy",
"s3:PutObject",
"s3:GetObject",
"s3:ListAllMyBuckets",
"s3:PutBucketPolicy",
"s3:CreateBucket",
"s3:ListBucket",
"s3:PutEncryptionConfiguration",
"s3:DeleteBucket",
"cloudformation:CreateStack",
"cloudformation:UpdateStack",
"cloudformation:DescribeStacks"
],
"Resource": "*"
},
{
"Sid": "PassAppRoleToSimSpaceWeaver",
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:PassedToService": "simspaceweaver.amazonaws.com"
}
}
}
]
}
```
# SimSpace Weaver 为您创建的权限
当您创建 SimSpace Weaver 项目时,该服务将使用名称`weaver-project-name-app-role`和 IAM 信任策略创建一个 AWS Identity and Access Management (IAM) 角色。信任策略 SimSpace Weaver 允许代入该角色,以便它可以为您执行操作。
## 应用程序角色权限策略
该模拟应用程序角色具有以下权限策略。
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"logs:PutLogEvents",
"logs:DescribeLogGroups",
"logs:DescribeLogStreams",
"logs:CreateLogGroup",
"logs:CreateLogStream"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"cloudwatch:PutMetricData"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"s3:ListBucket",
"s3:PutObject",
"s3:GetObject"
],
"Resource": "*"
}
]
}
```
## 应用程序角色信任策略
SimSpace Weaver 将信任关系作为[信任策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html)添加到模拟应用程序角色中。 SimSpace Weaver 为每个模拟创建信任策略,类似于以下示例。
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "simspaceweaver.amazonaws.com"
},
"Action": "sts:AssumeRole",
"Condition": {
"ArnLike": {
"aws:SourceArn":
"arn:aws:simspaceweaver:us-west-2:111122223333:simulation/MySimName*"
}
}
}
]
}
```
**注意**
在此示例中,账号为 `111122223333`,模拟名称为 `MySimName`。这些值在您的信任策略中有所不同。
# 防止跨服务混淆代理
[混淆代理问题](https://docs.aws.amazon.com/IAM/latest/UserGuide/confused-deputy.html)是一个安全问题,即没有执行操作权限的实体可能会诱使更具权限的实体执行该操作。在中 AWS,跨服务模仿可能会导致混乱的副手问题。一个服务(*呼叫服务*) 调用另一项服务(*所谓的服务*)时,可能会发生跨服务模拟。可以操纵调用服务以使用其权限对另一个客户的资源进行操作,否则该服务不应有访问权限。为了防止这种情况, AWS 提供可帮助您保护所有服务的服务委托人数据的工具,这些服务委托人有权限访问账户中的资源。
我们建议在资源策略中使用[https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn)和[https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount)全局条件上下文密钥来限制为资源 AWS SimSpace Weaver 提供其他服务的权限。如果 `aws:SourceArn` 值不包含账户 ID,例如 Amazon S3 存储桶 Amazon 资源名称(ARN),您必须使用两个全局条件上下文键来限制权限。如果同时使用全局条件上下文密钥和包含账户 ID 的 `aws:SourceArn` 值,则 `aws:SourceAccount` 值和 `aws:SourceArn` 值中的账户在同一策略语句中使用时,必须使用相同的账户 ID。如果您只希望将一个资源与跨服务访问相关联,请使用 `aws:SourceArn`。如果您想允许该账户中的任何资源与跨服务使用操作相关联,请使用。`aws:SourceAccount`
`aws:SourceArn` 的值必须使用扩展的 ARN。
防范混淆代理问题最有效的方法是使用 `aws:SourceArn` 全局条件上下文键和资源的完整 ARN。如果不知道扩展的完整 ARN,或者正在指定多个扩展,请针对 ARN 未知部分使用带有通配符(`*`)的 `aws:SourceArn` 全局上下文条件键。例如 `arn:aws:simspaceweaver:*:111122223333:*`。
以下示例显示了如何在中使用`aws:SourceArn`和`aws:SourceAccount`全局条件上下文键 SimSpace Weaver 来防止出现混淆的副手问题。只有当请求来自指定源账户并提供指定的 ARN 时,此策略才允许 SimSpace Weaver 代入该角色。在这种情况下, SimSpace Weaver 只能在请求者自己的账户 (*111122223333*) 中为来自模拟的请求担任角色,并且只能在指定的区域 (*us-west-2*) 中扮演角色。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": [
"simspaceweaver.amazonaws.com"
]
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "111122223333"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:simspaceweaver:us-west-2:111122223333:simulation/*"
}
}
}
]
}
```
------
编写此策略的一种更安全的方法是,将模拟名称包含在 `aws:SourceArn` 中,如以下示例所示,这会将策略限制为名为 `MyProjectSimulation_22-10-04_22_10_15` 的模拟:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": [
"simspaceweaver.amazonaws.com"
]
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "111122223333"
},
"StringLike": {
"aws:SourceArn": "arn:aws:simspaceweaver:us-west-2:111122223333:simulation/MySimulation"
}
}
}
]
}
```
------
如果您的 `aws:SourceArn` 明确包含账号,则可以省略 `aws:SourceAccount` 的 `Condition` 元素测试(有关更多信息,请参阅[《IAM 用户指南》](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn)),例如,在以下简化政策中:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": [
"simspaceweaver.amazonaws.com"
]
},
"Action": "sts:AssumeRole",
"Condition": {
"StringLike": {
"aws:SourceArn": "arn:aws:simspaceweaver:us-west-2:111122223333:simulation/MySimulation"
}
}
}
]
}
```
------
# 对 AWS SimSpace Weaver 身份和访问进行故障排除
使用以下信息来帮助您诊断和修复在使用 SimSpace Weaver 和 IAM 时可能遇到的常见问题。
**Topics**
+ [我无权在以下位置执行操作 SimSpace Weaver](#security_iam_troubleshoot-no-permissions)
+ [我无权执行 iam:PassRole](#security_iam_troubleshoot-passrole)
+ [我想要查看我的访问密钥](#security_iam_troubleshoot-access-keys)
+ [我是一名管理员,想允许其他人访问 SimSpace Weaver](#security_iam_troubleshoot-admin-delegate)
+ [我想允许我以外的人 AWS 账户 访问我的 SimSpace Weaver 资源](#security_iam_troubleshoot-cross-account-access)
## 我无权在以下位置执行操作 SimSpace Weaver
如果 AWS 管理控制台 告诉您您无权执行某项操作,则必须联系管理员寻求帮助。管理员是指提供用户名和密码的人员。
当 `mateojackson` IAM 用户尝试使用控制台查看有关虚构 `my-example-widget` 资源的详细信息,但不拥有虚构 `simspaceweaver:GetWidget` 权限时,会发生以下示例错误。
```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: simspaceweaver:GetWidget on resource: my-example-widget
```
在这种情况下,Mateo 请求他的管理员更新其策略,以允许他使用 `simspaceweaver:GetWidget` 操作访问 `my-example-widget` 资源。
## 我无权执行 iam:PassRole
如果您收到一个错误,表明您无权执行 `iam:PassRole` 操作,则必须更新策略以允许您将角色传递给。 SimSpace Weaver
有些 AWS 服务 允许您将现有角色传递给该服务,而不是创建新的服务角色或服务相关角色。为此,您必须具有将角色传递到服务的权限。
当名为 `marymajor` 的 IAM 用户尝试使用控制台在 SimSpace Weaver中执行操作时,会发生以下示例错误。但是,服务必须具有服务角色所授予的权限才可执行此操作。Mary 不具有将角色传递到服务的权限。
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
在这种情况下,必须更新 Mary 的策略以允许她执行 `iam:PassRole` 操作。
如果您需要帮助,请联系您的 AWS 管理员。您的管理员是提供登录凭证的人。
## 我想要查看我的访问密钥
在创建 IAM 用户访问密钥后,您可以随时查看您的访问密钥 ID。但是,您无法再查看您的秘密访问密钥。如果您丢失了私有密钥,则必须创建一个新的访问密钥对。
访问密钥包含两部分:访问密钥 ID(例如 `AKIAIOSFODNN7EXAMPLE`)和秘密访问密钥(例如 `wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY`)。与用户名和密码一样,您必须同时使用访问密钥 ID 和秘密访问密钥对请求执行身份验证。像对用户名和密码一样,安全地管理访问密钥。
**重要**
请不要向第三方提供访问密钥,即便是为了帮助[找到您的规范用户 ID](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-identifiers.html#FindCanonicalId) 也不行。通过这样做,您可以授予他人永久访问您的权限 AWS 账户。
当您创建访问密钥对时,系统会提示您将访问密钥 ID 和秘密访问密钥保存在一个安全位置。秘密访问密钥仅在您创建它时可用。如果丢失了您的秘密访问密钥,您必须为 IAM 用户添加新的访问密钥。您最多可拥有两个访问密钥。如果您已有两个密钥,则必须删除一个密钥对,然后再创建新的密钥。要查看说明,请参阅 *IAM 用户指南*中的[管理访问密钥](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_access-keys.html#Using_CreateAccessKey)。
## 我是一名管理员,想允许其他人访问 SimSpace Weaver
要允许其他人访问 SimSpace Weaver,您必须向需要访问的人员或应用程序授予权限。如果使用 AWS IAM Identity Center 管理人员和应用程序,则可以向用户或组分配权限集来定义其访问权限级别。权限集会自动创建 IAM 策略并将其分配给与人员或应用程序关联的 IAM 角色。有关更多信息,请参阅《AWS IAM Identity Center 用户指南》**中的[权限集](https://docs.aws.amazon.com/singlesignon/latest/userguide/permissionsetsconcept.html)。
如果未使用 IAM Identity Center,则必须为需要访问的人员或应用程序创建 IAM 实体(用户或角色)。然后,您必须将策略附加到实体,以便在 SimSpace Weaver中向其授予正确的权限。授予权限后,向用户或应用程序开发人员提供凭证。他们将使用这些凭证访问 AWS。要了解有关创建 IAM 用户、组、策略和权限的更多信息,请参阅《IAM 用户指南》**中的 [IAM 身份](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html)和 [IAM 中的策略和权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html)。
## 我想允许我以外的人 AWS 账户 访问我的 SimSpace Weaver 资源
您可以创建一个角色,以便其他账户中的用户或您组织外的人员可以使用该角色来访问您的资源。您可以指定谁值得信赖,可以代入角色。对于支持基于资源的策略或访问控制列表 (ACLs) 的服务,您可以使用这些策略向人们授予访问您的资源的权限。
要了解更多信息,请参阅以下内容:
+ 要了解是否 SimSpace Weaver 支持这些功能,请参阅[如何 AWS SimSpace Weaver 与 IAM 配合使用](security_iam_service-with-iam.md)。
+ 要了解如何提供对您拥有的资源的访问权限 AWS 账户 ,请参阅 [IAM 用户*指南中的向您拥有 AWS 账户 的另一个 IAM 用户*提供访问](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html)权限。
+ 要了解如何向第三方提供对您的资源的访问[权限 AWS 账户,请参阅 *IAM 用户指南*中的向第三方提供](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html)访问权限。 AWS 账户
+ 要了解如何通过身份联合验证提供访问权限,请参阅《IAM 用户指南》**中的[为经过外部身份验证的用户(身份联合验证)提供访问权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html)。
+ 要了解使用角色和基于资源的策略进行跨账户访问之间的差别,请参阅《IAM 用户指南》**中的 [IAM 中的跨账户资源访问](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html)。
# 中的安全事件记录和监控 AWS SimSpace Weaver
监控是维护 AWS 解决方案的可靠性、可用性和性能的重要组成部分。 SimSpace Weaver 您应该从 AWS 解决方案的所有部分收集监控数据,以便在出现多点故障时可以更轻松地对其进行调试。
AWS 并 SimSpace Weaver 提供了多种用于监控您的仿真资源和应对潜在事件的工具。
**登录 Amazon CloudWatch**
SimSpace Weaver 将其日志存储在中 CloudWatch。您可以使用这些日志来监控模拟中的事件(如启动和停止应用程序)以及进行调试。有关更多信息,请参阅 [SimSpace Weaver 在 Amazon CloudWatch 日志中登录](cloudwatch-logs.md)。
**亚马逊 CloudWatch 警报**
使用 Amazon CloudWatch 警报,您可以监控您指定的时间段内的单个指标。如果该指标超过给定的阈值,则会向 Amazon SNS 主题或 A AWS uto Scaling 策略发送通知。 CloudWatch 警报在状态发生变化时触发,并在指定的时间段内维护,而不是通过处于特定状态来维持。有关更多信息,请参阅 [SimSpace Weaver 使用 Amazon 进行监控 CloudWatch](monitoring-with-cloudwatch.md)。
**AWS CloudTrail 日志**
CloudTrail 提供了用户、角色或 AWS 服务在中执行的操作的记录 SimSpace Weaver。使用收集的信息 CloudTrail,您可以确定向哪个请求发出 SimSpace Weaver、发出请求的 IP 地址、谁发出了请求、何时发出请求以及其他详细信息。有关更多信息,请参阅 [使用记录 AWS SimSpace Weaver API 调用 AWS CloudTrail](logging-using-cloudtrail.md)。
# 的合规性验证 AWS SimSpace Weaver
SimSpace Weaver 不在任何 AWS 合规计划的范围内。
作为多个合规计划的一部分,第三方审计师评估其他 AWS 服务的安全 AWS 性和合规性。其中包括 SOC、PCI、FedRAMP、HIPAA 及其他。
要了解是否属于特定合规计划的范围,请参阅AWS 服务 “[按合规计划划分的范围](https://aws.amazon.com/compliance/services-in-scope/)” ”,然后选择您感兴趣的合规计划。 AWS 服务 有关一般信息,请参阅[AWS 合规计划AWS](https://aws.amazon.com/compliance/programs/)。
您可以使用下载第三方审计报告 AWS Artifact。有关更多信息,请参阅中的 “[下载报告” 中的 “ AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html)。
您在使用 AWS 服务 时的合规责任取决于您的数据的敏感性、贵公司的合规目标以及适用的法律和法规。有关您在使用时的合规责任的更多信息 AWS 服务,请参阅[AWS 安全文档](https://docs.aws.amazon.com/security/)。
# 韧性在 AWS SimSpace Weaver
AWS 全球基础设施是围绕 AWS 区域 可用区构建的。 AWS 区域 提供多个物理分隔和隔离的可用区,这些可用区通过低延迟、高吞吐量和高度冗余的网络连接。利用可用区,您可以设计和操作在可用区之间无中断地自动实现失效转移的应用程序和数据库。与传统的单个或多个数据中心基础设施相比,可用区具有更高的可用性、容错能力和可扩展性。
有关 AWS 区域 和可用区的更多信息,请参阅[AWS 全球基础设施](https://aws.amazon.com/about-aws/global-infrastructure/)。
# 中的基础设施安全 AWS SimSpace Weaver
作为一项托管服务 AWS SimSpace Weaver ,受 AWS 全球网络安全的保护。有关 AWS 安全服务以及如何 AWS 保护基础设施的信息,请参阅[AWS 云安全](https://aws.amazon.com/security/)。要使用基础设施安全的最佳实践来设计您的 AWS 环境,请参阅 S * AWS ecurity Pillar Well-Architected Fram* ework 中的[基础设施保护](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html)。
您可以使用 AWS 已发布的 API 调用 SimSpace Weaver 通过网络进行访问。客户端必须支持以下内容:
+ 传输层安全性协议(TLS)。我们要求使用 TLS 1.2,建议使用 TLS 1.3。
+ 具有完全向前保密(PFS)的密码套件,例如 DHE(临时 Diffie-Hellman)或 ECDHE(临时椭圆曲线 Diffie-Hellman)。大多数现代系统(如 Java 7 及更高版本)都支持这些模式。
## 网络连接安全模型
您的模拟在位于您选择的 AWS 区域内的 Amazon VPC 内的计算实例上运行。Amazon VPC 是 AWS 云中的虚拟网络,它按工作负载或组织实体隔离基础设施。Amazon VPC 内计算实例之间的通信保持在 AWS 网络内,不会通过互联网传输。一些内部服务通信会通过互联网进行并经过加密。在同一 AWS 地区运行的所有客户的模拟共享相同的 Amazon VPC。在同一 Amazon VPC 中,不同客户的模拟使用不同的计算实例。
您的仿真客户端与在 SimSpace Weaver 旅行中运行的仿真之间通过互联网进行通信。 SimSpace Weaver 不处理这些连接。您负责保护您的客户端连接。
您与该 SimSpace Weaver 服务的连接是通过互联网进行的,并且已被加密。这包括使用 AWS 管理控制台、 AWS Command Line Interface (AWS CLI)、 AWS 软件开发套件 (SDK) 和 SimSpace Weaver 应用程序 SDK 进行连接。
# 中的配置和漏洞分析 AWS SimSpace Weaver
配置和 IT 控制是您 AWS 和您的共同责任。有关更多信息,请参阅[责任 AWS 共担模型](https://aws.amazon.com/compliance/shared-responsibility-model/)共。 AWS 处理底层基础设施的基本安全任务,例如在计算实例上修补操作系统、防火墙配置和 AWS 基础设施灾难恢复。这些流程已通过相应第三方审核和认证。有关更多详细信息,请参阅[安全性、身份和合规性最佳实践](https://aws.amazon.com/architecture/security-identity-compliance/)。
您负责模拟软件的安全性:
+ 维护您的应用程序代码,包括更新和安全补丁。
+ 对您的模拟客户端以及与其连接的应用程序之间的通信进行身份验证和加密。
+ 更新您的模拟以使用最新的 SDK 版本,包括 S AWS DK 和 SimSpace Weaver 应用程序 SDK。
**注意**
SimSpace Weaver 不支持在运行模拟中更新应用程序。如果您需要更新应用程序,则必须停止并删除模拟,然后使用更新的应用程序代码创建新的模拟。我们建议您将模拟状态保存在外部数据存储中,以便在需要重新创建模拟时进行恢复。
# 以下方面的安全最佳实践 SimSpace Weaver
本节介绍特定于的安全最佳实践 SimSpace Weaver。要详细了解中的安全最佳实践 AWS,[请参阅安全、身份和合规性最佳实](https://aws.amazon.com/architecture/security-identity-compliance)践。
**Topics**
+ [您的应用程序与其客户端之间的加密通信](#security_best-practice_encrypt-client-communications)
+ [定期备份模拟状态](#security_best-practice_backup-simulation-state)
+ [维护您的应用程序和 SDKs](#security_best-practice_maintain-apps-and-sdks)
## 您的应用程序与其客户端之间的加密通信
SimSpace Weaver 不管理您的应用程序与其客户端之间的通信。您应该为客户端会话实现某种形式的身份验证和加密。
## 定期备份模拟状态
SimSpace Weaver 不会保存您的模拟状态。停止的模拟(由于 API 调用、控制台选项或系统崩溃导致)不会保存其状态,也没有固有的恢复方法。停止的模拟无法重新启动。执行等同于重新启动操作的唯一方法是使用相同的配置和数据重新创建模拟。您可以使用模拟状态的备份来初始化新的模拟。 AWS 提供高度可靠且可用的云[存储](https://aws.amazon.com/products/storage)和[数据库](https://aws.amazon.com/products/databases/)服务,可用于保存模拟状态。
## 维护您的应用程序和 SDKs
维护您的应用程序、本地安装的 AWS 软件开发套件 (SDKs) 和 SimSpace Weaver 应用程序 SDK。您可以下载并安装新版本的 AWS SDKs。使用非生产 SimSpace Weaver 应用程序版本测试新版本的应用程序 SDK,以确保您的应用程序继续按预期运行。您无法在运行的模拟中更新应用程序。要更新您的应用程序,请执行以下操作:
1. 在本地(或在测试环境中)更新和测试应用程序代码。
1. 停止更改模拟状态并保存(如有必要)。
1. 停止模拟(一旦停止,将无法重新启动)。
1. 删除模拟(已停止但未删除的模拟仍会计入您的服务限额)。
1. 使用相同的配置和更新的应用程序代码重新创建模拟。
1. 使用保存的状态数据(如果有)初始化模拟。
1. 启动新的模拟。
**注意**
使用相同配置创建的新模拟与旧模拟是分开的。它将有一个新的模拟 ID,并将日志发送到 Amazon 中的新日志流 CloudWatch。