本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
隔離資料與您自己的運算子
AWS Nitro 系統具有零操作員存取。任何 AWS 系統或人員都無法登入 Amazon EC2 Nitro 主機、存取 EC2 執行個體的記憶體,或存取存放在本機加密執行個體儲存體或遠端加密 Amazon EBS 磁碟區中的任何客戶資料。
處理高度敏感資料時,您可能會考慮透過防止您自己的運算子存取 EC2 執行個體,來限制對該資料的存取。
您可以建立設定為提供隔離運算環境的自訂可AMIs。AMI 組態取決於您的工作負載和應用程式需求。在建置 AMI 以建立隔離的運算環境時,請考慮這些最佳實務。
-
移除所有互動式存取,以防止您的操作員或使用者存取執行個體。
-
確保 AMI 中僅包含受信任的軟體和程式碼。
-
在執行個體內設定網路防火牆以封鎖存取。
-
確保所有儲存和檔案系統的唯讀和不可變狀態。
-
限制執行個體存取已驗證、授權和記錄的 API 呼叫。
