数据保护和加密 - AWS Transfer Family
Transfer Family 中的数据加密静态加密

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

数据保护和加密

AWS 分担责任模型分担责任模型适用于 AWS Transfer Family (Transfer Family)中的数据保护。如本模型所述 AWS ,负责保护运行所有 AWS 云的全球基础架构。您负责维护对托管在此基础结构上的内容的控制。此内容包括您使用的 AWS 服务的安全配置和管理任务。有关数据隐私的更多信息,请参阅数据隐私常见问题。有关欧洲数据保护的信息,请参阅 AWS 安全性博客中的 AWS 责任共担模式和 GDPR 博客文章。

出于数据保护目的,我们建议您保护 AWS 账户凭据并使用设置个人用户帐户 AWS IAM Identity Center。这仅向每个用户授予履行其工作职责所需的权限。我们还建议您通过以下方式保护数据:

  • 对每个账户使用多重身份验证(MFA)。

  • 用于 SSL/TLS 与 AWS 资源通信。支持 TLS 1.2。

  • 使用设置 API 和用户活动日志 AWS CloudTrail。

  • 使用 AWS 加密解决方案以及 AWS 服务中的所有默认安全控制。

  • 使用高级托管安全服务(例如 Amazon Macie),它有助于发现和保护存储在 Amazon S3 中的个人数据。

  • 如果在通过命令行界面或 API 访问 AWS 时需要经过 FIPS 140-2 验证的加密模块,请使用 FIPS 端点。有关可用的 FIPS 端点的更多信息,请参阅美国联邦信息处理标准 (FIPS) 第 140-2 版

我们强烈建议您切勿将敏感的可识别信息(例如您客户的账号)放入自由格式字段(例如名称字段)。这包括您使用控制台、API 或使用 Tr AWS ansfer Family AWS CLI或其他服务时 AWS SDKs。您输入至 Transfer Family 服务配置或其他服务配置中的数据可选择并纳入诊断日志。当您向外部服务器提供网址时,请勿在网址中包含凭证信息来验证您对该服务器的请求。

相比之下,来自 Transfer Family 服务器的上传和下载数据被视为完全私密,永远不会存在于SFTP 或 FTPS 连接等加密通道之外 。仅经过授权的人员才能访问这些数据。

Transfer Family 中的数据加密

AWS Transfer Family 使用您为 Amazon S3 存储桶设置的默认加密选项来加密您的数据。如果对存储桶启用加密,则存储到该存储桶中的所有对象都会进行加密。这些对象使用服务器端加密,使用 Amazon S3 托管密钥 (SSE-S3) 或 () 托管密钥 AWS Key Management Service (SSE-KMS AWS KMS) 进行加密。有关服务器端加密的更多信息,请参阅 Amazon Simple Storage Service 用户指南中的使用服务器端加密保护数据

以下步骤向您展示了如何加密中的数据 AWS Transfer Family。

允许加密 AWS Transfer Family

  1. 为 Amazon S3 存储桶启用默认加密。有关更多详细信息,请参阅 Amazon Simple Storage Service 用户指南中的适用于 S3 存储桶的 Amazon S3 默认加密

  2. 更新附加到用户的 AWS Identity and Access Management (IAM) 角色策略以授予所需的 AWS Key Management Service (AWS KMS) 权限。

  3. 如果您为用户使用会话策略,则会话策略必须授予所需的 AWS KMS 权限。

以下示例显示了一个 IAM 策略,该策略授予与启用 AWS KMS 加密的 Amazon S3 存储桶 AWS Transfer Family 一起使用时所需的最低权限。如果您使用用户 IAM 角色策略和会话策略,请将此示例策略包含在其中。

{
   "Sid": "Stmt1544140969635",
   "Action": [
      "kms:Decrypt",
      "kms:Encrypt",
      "kms:GenerateDataKey",
      "kms:GetPublicKey",
      "kms:ListKeyPolicies"
   ],
   "Effect": "Allow",
   "Resource": "arn:aws:kms:region:account-id:key/kms-key-id"
}
注意

您在此策略中指定的 KMS 密钥 ID 必须与步骤 1 中为默认加密指定的密钥 ID 相同。

AWS KMS 密钥策略中必须允许根角色或用户使用的 IAM 角色。有关 AWS KMS 密钥策略的信息,请参阅AWS Key Management Service 开发人员指南中的在 AWS KMS 中使用密钥策略

AWS Transfer Family 静态加密

由于 AWS Transfer Family 是一项文件传输服务,因此它不管理您的静态存储数据。 AWS Transfer Family 支持的存储服务和系统负责保护处于该状态的数据。但是,有些与服务相关的数据是静态 AWS Transfer Family 管理的。

什么是加密?

唯一 AWS Transfer Family 可以处理的静态数据与操作文件传输服务器和处理传输所需的详细信息有关。 AWS Transfer Family 在 Amazon DynamoDB 中使用完全静态加密存储以下数据:

  • 服务器配置(例如,服务器设置、协议配置和端点详细信息)。

  • 用户身份验证数据,包括 SSH 公钥和用户元数据。

  • 工作流程执行详细信息和步骤配置。

  • 第三方系统的连接器配置和身份验证凭证。这些凭证使用 AWS Transfer Family 托管加密密钥进行加密。

密钥管理

您无法管理用于在 DynamoDB 中存储与运行服务器和处理传输相关的信息的加密密钥。 AWS Transfer Family 这些信息包括您的服务器配置、用户身份验证数据、工作流程详细信息和连接器凭据。

哪些内容未加密?

尽管 AWS Transfer Family 它不能控制存储数据的静态加密方式,但我们仍然建议将存储位置配置为它们所支持的最高级别的安全性。例如,您可以使用 Amazon S3 托管加密密钥 (SSE-S3) 或密 AWS KMS 钥 (SSE-KMS) 对对象进行加密。

详细了解 AWS 存储服务如何加密静态数据: