本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# Amazon EC2 中的資料保護
AWS [共同責任模型](https://aws.amazon.com/compliance/shared-responsibility-model/)適用於 Amazon Elastic Compute Cloud 中的資料保護。如此模型所述, AWS 負責保護執行所有 的全域基礎設施 AWS 雲端。您負責維護在此基礎設施上託管內容的控制權。您也同時負責所使用 AWS 服務 的安全組態和管理任務。如需資料隱私權的詳細資訊,請參閱[資料隱私權常見問答集](https://aws.amazon.com/compliance/data-privacy-faq/)。如需有關歐洲資料保護的相關資訊,請參閱*AWS 安全性部落格*上的[AWS 共同責任模型和 GDPR](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) 部落格文章。
基於資料保護目的,我們建議您保護 AWS 帳戶 登入資料,並使用 AWS IAM Identity Center 或 AWS Identity and Access Management (IAM) 設定個別使用者。如此一來,每個使用者都只會獲得授與完成其任務所必須的許可。我們也建議您採用下列方式保護資料:
+ 每個帳戶均要使用多重要素驗證 (MFA)。
+ 使用 SSL/TLS 與 AWS 資源通訊。我們需要 TLS 1.2 並建議使用 TLS 1.3。
+ 使用 設定 API 和使用者活動記錄 AWS CloudTrail。如需有關使用 CloudTrail 追蹤擷取 AWS 活動的資訊,請參閱*AWS CloudTrail 《 使用者指南*》中的[使用 CloudTrail 追蹤](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html)。
+ 使用 AWS 加密解決方案,以及其中的所有預設安全控制 AWS 服務。
+ 使用進階的受管安全服務 (例如 Amazon Macie),協助探索和保護儲存在 Amazon S3 的敏感資料。
+ 如果您在 AWS 透過命令列界面或 API 存取 時需要 FIPS 140-3 驗證的密碼編譯模組,請使用 FIPS 端點。如需有關 FIPS 和 FIPS 端點的更多相關資訊,請參閱[聯邦資訊處理標準 (FIPS) 140-3](https://aws.amazon.com/compliance/fips/)。
我們強烈建議您絕對不要將客戶的電子郵件地址等機密或敏感資訊,放在標籤或自由格式的文字欄位中,例如**名稱**欄位。這包括當您使用 Amazon EC2 或使用 AWS 服務 主控台、API AWS CLI或其他 AWS SDKs 時。您在標籤或自由格式文字欄位中輸入的任何資料都可能用於計費或診斷日誌。如果您提供外部伺服器的 URL,我們強烈建議請勿在驗證您對該伺服器請求的 URL 中包含憑證資訊。
**Topics**
+ [Amazon EBS 資料安全](#ebs-data-security)
+ [靜態加密](#encryption-rest)
+ [傳輸中加密](#encryption-transit)
## Amazon EBS 資料安全
Amazon EBS 磁碟區是以原始、未格式化的區塊型儲存設備型式提供給您。這些裝置是在 EBS 基礎設施上建立的邏輯裝置,Amazon EBS 服務可確保裝置在客戶進行任何使用或重複使用之前在邏輯上是空的 (也就是說,原始區塊為零或其包含加密虛擬隨機資料)。
若您的程序要求在使用後或使用前 (或兩者),使用特定方法清除所有資料,例如 **DoD 5220.22-M** (國家工業安全計畫操作手冊) 或 **NIST 800-88** (媒體清理準則),您可在 Amazon EBS 上執行此作業。該區塊層級的活動將反映至 Amazon EBS 服務中的基礎儲存媒體。
## 靜態加密
**EBS 磁碟區**
Amazon EBS 加密是適用於 EBS 磁碟區和快照的加密解決方案。它使用 AWS KMS keys。如需詳細資訊,請參閱「Amazon EBS 使用者指南」**中的 [Amazon EBS 加密](https://docs.aws.amazon.com/ebs/latest/userguide/ebs-encryption.html)。
[Windows 執行個體] 您也可以使用 Microsoft EFS 和 NTFS 許可,進行資料夾和檔案層級加密。
**執行個體儲存體磁碟區**
NVMe 執行個體儲存體磁碟區上的資料會以執行個體上的硬體模組中實作的 XTS-AES-256 區塊編碼器來加密。用於加密寫入本機連接 NVMe 儲存裝置之資料的金鑰按照每個客戶和每個磁碟區提供。這些金鑰由硬體模組產生且僅駐留在其中, AWS 人員無法存取此模組。這些加密金鑰會在執行個體停止或終止時銷毀,且無法復原。您無法停用此加密,也無法提供您自己的加密金鑰。
H1、D3 和 D3en 執行個體上的 HDD 執行個體儲存體磁碟區中的資料會使用 XTS-AES-256 和一次性金鑰來加密。
當您讓執行個體停止、休眠或終止時,執行個體儲存體磁碟區中的所有儲存區塊都會重設。因此,資料無法透過另一個執行個體的執行個體儲存體存取。
**記憶體**
下列執行個體會啟用記憶體加密:
+ 具有 AWS Graviton2 或更新版本 AWS Graviton 處理器的執行個體支援永遠開啟的記憶體加密。加密金鑰會在主機系統內安全地產生,不能離開主機系統,並在主機重新啟動或關閉電源時銷毀。如需詳細資訊,請參閱 [AWS Graviton 處理器。](https://aws.amazon.com/ec2/graviton/)
+ 搭載第三代 Intel Xeon 可擴充處理器 (Ice Lake) 的執行個體 (例如 M6i 執行個體) 以及搭載第四代 Intel Xeon 可擴充處理器 (Sapphire Rapids) 的執行特體 (例如 M7i 執行個體)。這些處理器支援使用 Intel 總記憶體加密 (TME) 的永遠開啟記憶體加密。
+ 搭載第三代 AMD EPYC 處理器 (Milan) 的執行個體 (例如 M6a 執行個體) 以及搭載第四代 AMD EPYC 處理器 (Genoa) 的執行個體 (例如 M7a 執行個體)。這些處理器使用 AMD 安全記憶體加密 (SME),可支援永遠開啟的記憶體加密。
+ AMD Secure Encrypted Virtualization-Secure Nested Paging (SEV-SNP) 支援某些 AMD 型執行個體類型。如需詳細資訊,請參閱[尋找支援 AMD SEV-SNP 的 EC2 執行個體類型](snp-find-instance-types.md)。
## 傳輸中加密
**在實體層加密**
在離開 AWS 安全設施之前,透過 AWS 全球網路跨 AWS 區域傳輸的所有資料都會在實體層自動加密。AZ 之間的所有流量都會加密。額外的加密層 (包括本節所列的加密層) 可能會提供額外的保護。
**Amazon VPC 對等互連和 Transit Gateway 跨區域對等互連提供的加密**
所有使用 Amazon VPC 對等互連和 Transit Gateway 對等互連的跨區域流量都會在離開區域時自動進行批量加密。在離開 AWS 安全設施之前,會在實體層為所有流量自動提供額外的加密層,如本節先前所述。
**執行個體間的加密**
AWS 在所有類型的 EC2 執行個體之間提供安全和私有連線。此外,某些執行個體類型使用基礎 Nitro System 硬體的卸載功能,以自動加密執行個體之間的傳輸中流量。此加密機制使用帶有關聯資料的認證加密 (AEAD) 演算法 (採用 256 位元加密)。這對網路效能沒有影響。若要支援執行個體之間額外的傳輸中流量加密,必須符合下列要求:
+ 執行個體使用下列執行個體類型:
+ **一般用途**:M5dn, M5n, M5zn, M6a, M6i, M6id, M6idn, M6in, M7a, M7g, M7gd, M7i, M7i-flex, M8a, M8azn, M8g, M8gb, M8gd, M8gn, M8i, M8id, M8i-flex, Mac-m4, Mac-m4pro
+ **運算最佳化:**C5n, C6a, C6gn, C6i, C6id, C6in, C7a, C7g, C7gd, C7gn, C7i, C7i-flex, C8a, C8g, C8gb, C8gd, C8gn, C8i, C8ib, C8id, C8in, C8i-flex
+ **記憶體最佳化:**R5dn, R5n, R6a, R6i, R6id, R6idn, R6in, R7a, R7g, R7gd, R7i, R7iz, R8a, R8g, R8gb, R8gd, R8gn, R8i, R8id, R8i-flex, U-3tb1, U-6tb1, U-9tb1, U-12tb1, U-18tb1, U-24tb1, U7i-6tb, U7i-8tb, U7i-12tb, U7in-16tb, U7in-24tb, U7in-32tb, U7inh-32tb, X2idn, X2iedn, X2iezn, X8g, X8aedz, X8i
+ **儲存最佳化:**D3、D3en、I3en、I4g、I4i、I7i、I7ie、I8g、I8ge、Im4gn、Is4gen
+ **加速運算:**DL1, DL2q, F2, G4ad, G4dn, G5, G6, G6e, G6f, Gr6, Gr6f, G7e, Inf1, Inf2, P3dn, P4d, P4de, P5, P5e, P5en, P6-B200, P6-B300, P6e-GB200, Trn1, Trn1n, Trn2, Trn2u, VT1
+ **高效能運算:**Hpc6a, Hpc6id, Hpc7a, Hpc7g, Hpc8a
+ 這些執行個體位於相同的區域中。
+ 這些執行個體位於相同的 VPC 或對等 VPC 中,且流量不會經過虛擬網路裝置或服務,例如負載平衡器或傳輸閘道。
在離開 AWS 安全設施之前,會在實體層為所有流量自動提供額外的加密層,如本節先前所述。
**若要檢視使用 加密執行個體之間傳輸中流量的執行個體類型 AWS CLI**
使用下列 [describe-instance-types](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-instance-types.html) 命令。
```
aws ec2 describe-instance-types \
--filters Name=network-info.encryption-in-transit-supported,Values=true \
--query "InstanceTypes[*].[InstanceType]" \
--output text | sort
```
**加密往返 AWS Outposts**
Outpost 會建立稱為*服務連結*的特殊網路連線,以連接至其 AWS 主要區域,並選擇性地建立與您指定之 VPC 子網路的私有連線。透過這些連線的所有流量都會完整加密。如需詳細資訊,請參閱 *AWS Outposts 使用者指南*中的[透過服務連結連線](https://docs.aws.amazon.com/outposts/latest/userguide/region-connectivity.html#service-links)和[傳輸中加密](https://docs.aws.amazon.com/outposts/latest/userguide/data-protection.html#encryption-transit)。
**遠端存取加密**
SSH 及 RDP 通訊協定為遠端存取執行個體提供安全的通訊頻道,無論是直接存取還是透過 EC2 Instance Connect。使用 AWS Systems Manager Session Manager 或 Run Command 的遠端存取會使用 TLS 1.2 加密,而建立連線的請求會使用 [SigV4](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) 簽署,並由 驗證和授權[AWS Identity and Access Management](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html)。
使用諸如 Transport Layer Security (TLS) 等加密通訊協定是您的責任,以便加密在用戶端和您的 Amazon EC2 執行個體之間傳輸的敏感資料。
(Windows 執行個體) 務必只允許 EC2 執行個體與 AWS API 端點或其他敏感的遠端網路服務之間的加密連線。您可以透過傳出安全群組或 [Windows 防火牆](https://learn.microsoft.com/en-us/windows/security/operating-system-security/network-security/windows-firewall/)規則來強制執行此操作。