本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 中的数据保护 AWS 最终用户消息 SMS
[责任 AWS 共担模式](https://aws.amazon.com/compliance/shared-responsibility-model/)适用于 AWS 最终用户消息 SMS 中的数据保护。如本模型所述 AWS ,负责保护运行所有内容的全球基础架构 AWS Cloud。您负责维护对托管在此基础结构上的内容的控制。您还负责您所使用的 AWS 服务 的安全配置和管理任务。有关数据隐私的更多信息,请参阅[数据隐私常见问题解答AWS](https://aws.amazon.com/compliance/data-privacy-faq/)条款。 有关欧洲数据保护的信息,请参阅[通用数据保护条例(GDPR)中心](https://aws.amazon.com/compliance/gdpr-center/)。
出于数据保护目的,我们建议您保护 AWS 账户 凭证并使用 AWS IAM Identity Center 或 AWS Identity and Access Management (IAM) 设置个人用户。这样,每个用户只获得履行其工作职责所需的权限。还建议您通过以下方式保护数据:
+ 对每个账户使用多重身份验证(MFA)。
+ 用于 SSL/TLS 与 AWS 资源通信。我们要求使用 TLS 1.2,建议使用 TLS 1.3。
+ 使用设置 API 和用户活动日志 AWS CloudTrail。有关使用 CloudTrail 跟踪捕获 AWS 活动的信息,请参阅《*AWS CloudTrail 用户指南》*中的[使用跟 CloudTrail 踪](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html)。
+ 使用 AWS 加密解决方案以及其中的所有默认安全控件 AWS 服务。
+ 使用高级托管安全服务(例如 Amazon Macie),它有助于发现和保护存储在 Amazon S3 中的敏感数据。
+ 如果您在 AWS 通过命令行界面或 API 进行访问时需要经过 FIPS 140-3 验证的加密模块,请使用 FIPS 端点。有关可用的 FIPS 端点的更多信息,请参阅《美国联邦信息处理标准(FIPS)第 140-3 版》[https://aws.amazon.com/compliance/fips/](https://aws.amazon.com/compliance/fips/)。
强烈建议您切勿将机密信息或敏感信息(如您客户的电子邮件地址)放入标签或自由格式文本字段(如**名称**字段)。这包括 AWS 服务 使用控制台、API 或 SDK 处理 AWS 最终用户消息 AWS SMS 或其他内容时。 AWS CLI在用于名称的标签或自由格式文本字段中输入的任何数据都可能会用于计费或诊断日志。如果您向外部服务器提供 URL,强烈建议您不要在网址中包含凭证信息来验证对该服务器的请求。
## 数据加密
AWS 最终用户消息 SMS 数据在传输过程中经过加密,在 AWS 边界内处于静止状态。当您向 AWS 最终用户消息 SMS 提交数据时,它会在收到的数据时对其进行加密并进行存储。当您从 AWS 最终用户消息短信中检索数据时,它会使用当前的安全协议将数据传输给您。当您使用 AWS 最终用户消息 SMS 向外部移动设备发送 SMS 消息时,您的数据将通过 SMS 协议传输到 AWS 边界之外,并受到 SMS 的技术限制的约束。
## 静态加密
AWS 最终用户消息 SMS 会加密其在 AWS 边界内为您存储的所有数据。这包括配置数据、注册数据以及您添加到 AWS 最终用户消息 SMS 中的任何数据。为了加密您的数据, AWS 最终用户消息 SMS 使用服务代表您拥有和维护的内部 AWS Key Management Service (AWS KMS) 密钥。我们会定期轮换这些密钥。有关 AWS KMS的更多信息,请参阅 [AWS Key Management Service 开发人员指南](https://docs.aws.amazon.com/kms/latest/developerguide/)。
## 传输中加密
AWS 最终用户消息 SMS 使用 HTTPS 和传输层安全 (TLS) 1.2 与您的客户端和应用程序通信。为了与其他 AWS 服务进行通信, AWS 最终用户消息短信使用 HTTPS 和 TLS 1.2。此外,当您使用控制台、 AWS SDK 或创建和管理 AWS 最终用户消息 SMS 资源时 AWS Command Line Interface,所有通信都使用 HTTPS 和 TLS 1.2 进行保护。
当您使用 AWS 最终用户消息 SMS 向外部移动设备发送 SMS 消息时,您的数据将通过 SMS 协议传输到 AWS 边界之外。SMS 协议存在一些固有的限制,例如缺乏端到端加密,这可能与您的使用案例相关。有关 SMS 限制和安全性最佳实践的更多信息,请参阅 [短信协议安全注意事项](security-protocol-considerations.md)和 [短信协议安全最佳实践](security-protocol-best-practices.md)。
## 最终用户消息的短信处理
AWS 最终用户消息 SMS 在客户选择的 AWS 区域内处理和存储 SMS 消息。但是,SMS消息传递的最后阶段是在无法 AWS 控制的国际移动网络上运行。与 SMS 消息传送中的典型情况一样, AWS 使用的 SMS 服务提供商可能自己使用下游服务提供商在全球范围内路由 SMS 消息。即使短信的最终用户收件人位于同一区域,这些下游服务提供商也可能通过与客户所选 AWS 区域不同区域的终端节点或网络路由 SMS 消息。
## 密钥管理
为了加密您的 AWS 最终用户消息 SMS 数据, AWS 最终用户消息 SMS 使用服务代表您拥有和维护的内部 AWS KMS 密钥。我们会定期轮换这些密钥。您无法配置和使用自己的密钥 AWS KMS 或其他密钥来加密存储在 AWS 最终用户消息 SMS 中的数据。
## Inter-network 交通隐私
*网际流量隐私*是指保护 AWS 最终用户消息 SMS 与您的本地客户端和应用程序之间以及 AWS 最终用户消息 SMS 与其他 AWS 资源之间的连接和流量。 AWS 区域 以下功能和做法可以帮助您保护 AWS 最终用户消息 SMS 的网际流量隐私。
### 之间的交通 AWS 最终用户消息 SMS 以及本地客户端和应用程序
要在 AWS 最终用户消息 SMS 与本地网络上的客户端和应用程序之间建立私有连接,可以使用 Direct Connect。这使您能够使用标准的光纤以太网电缆将您的网络链接到一个 AWS Direct Connect 位置。电缆的一端连接您的路由器,另一端连接到 Direct Connect 路由器。有关更多信息,请参阅《Direct Connect 用户指南》**中的[什么是 Direct Connect?](https://docs.aws.amazon.com/directconnect/latest/UserGuide/Welcome.html)。
为了帮助通过已发布的 API 安全访问 AWS 最终用户消息 SMS,我们建议您遵守 API 调用 AWS 的最终用户消息 SMS 要求。 AWS 最终用户消息 SMS 要求客户端使用传输层安全 (TLS) 1.2 或更高版本。客户端还必须支持具有完全向前保密 (PFS) 的密码套件,例如短暂的 (DHE) 或椭圆曲线短暂的 Diffie-Hellman (ECDHE)。 Diffie-Hellman 大多数现代系统(如 Java 7 及更高版本)都支持这些模式。
此外,必须使用访问密钥 ID 和与 AWS 账户的 AWS Identity and Access Management (IAM) 委托人关联的私有访问密钥对请求进行签名。或者,您可以使用 [AWS Security Token Service](https://docs.aws.amazon.com/STS/latest/APIReference/Welcome.html) (AWS STS) 生成临时安全凭证来签名请求。
### 之间的交通 AWS 最终用户消息、短信和其他 AWS 资源
为了保护 AWS 最终用户消息 SMS 与同一 AWS 地区其他 AWS 资源之间的通信,默认情况下, AWS 最终用户消息 SMS 使用 HTTPS 和 TLS 1.2。
### 了解 AWS 边界之外的短信流量
在 AWS,我们认真对待数据保护。我们采用多种安全措施来保护您在云环境中存储和处理的数据。然而,请务必了解,当数据离开 AWS 边界并由外部方处理或传输时,保护级别可能会有所不同。
短信协议不支持加密。发送 SMS 消息需要 AWS 在 AWS 边界之外传输 SMS 消息,并且不会对该 SMS 消息进行端到端加密。
## 为创建接口 VPC 终端节点 AWS 最终用户消息 SMS
您可以通过创建接口 VPC 终端节点,在您的虚拟私有云 (VPC) 和 AWS 最终用户消息 SMS 中的终端节点之间建立私有连接。
接口端点由一项技术提供支持 [AWS PrivateLink](https://aws.amazon.com/privatelink/),该技术允许您在没有互联网网关、NAT 设备、VPN 连接或的情况下私下访问 AWS 最终用户消息 SMS API Direct Connect。您的 VPC 中的实例不需要公有 IP 地址即可与与集成 AWS 的最终用户消息 SMS API 通信 AWS PrivateLink。
有关更多信息,请参阅 [AWS PrivateLink 指南](https://docs.aws.amazon.com/vpc/latest/privatelink/what-is-privatelink.html)。
### 创建接口 VPC 端点
您可以使用 Amazon VPC 控制台或 AWS Command Line Interface (AWS CLI) 创建接口端点。有关更多信息,请参阅 AWS PrivateLink 指南中的[创建接口终端节点](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html)。
AWS 最终用户消息 SMS 支持以下服务名称:
+ `com.amazonaws.{{region}}.sms-voice`
如果您为接口终端节点启用私有 DNS,则可以使用默认 DNS 名称向 AWS 最终用户消息 SMS 发出 API 请求 AWS 区域,例如`com.amazonaws.{{us-east-1}}.sms-voice`。有关更多信息,请参阅《AWS PrivateLink 指南》**中的 [DNS 主机名](https://docs.aws.amazon.com/vpc/latest/privatelink/privatelink-access-aws-services.html#interface-endpoint-dns-hostnames)。
### 创建 VPC 端点策略
您可以为 VPC 端点附加控制访问权限的端点策略。该策略指定以下信息:
+ 可执行操作的主体。
+ 可执行的操作。
+ 可对其执行操作的资源。
有关更多信息,请参阅《AWS PrivateLink 指南》中的**[使用端点策略控制对服务的访问](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html)。
### 示例:VPC 端点策略
以下 VPC 终端节点策略向所有资源的所有委托人授予访问列出 AWS 的最终用户消息 SMS 操作的权限。
```
{
"Statement": [
{
"Principal": "*",
"Action": [
"sms-voice:*"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```