本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
將資料與您自己的運算子隔離
AWS Nitro 系統具有零操作員存取。任何 AWS 系統或人員都無法登入 Amazon EC2 Nitro 主機、存取 EC2 執行個體的記憶體,或存取存放在本機加密執行個體儲存體或遠端加密 Amazon EBS 磁碟區上的任何客戶資料。
若要處理高度敏感資料,您可能會考慮甚至阻止您自己的操作員存取 EC2 執行個體,藉此來限制該資料的存取權。
您可建立自訂可驗證的 AMI,且設定為提供隔離式運算環境。AMI 組態視乎工作負載及應用程式需求而定。在建置您的 AMI 以建立隔離式運算環境時,考慮這些最佳實務。
-
移除全部互動式存取權,以便阻止操作員或使用者存取執行個體。
-
確認 AMI 中僅包括可信軟體與程式碼。
-
在執行個體內設定網路防火牆以封鎖存取權。
-
確認所有儲存體與檔案系統的唯讀與不可變狀態。
-
限制執行個體存取為經驗證、授權及記錄的 API 呼叫。
