本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# AWS OpsWorks 組態管理 (CM) 中的安全性
<a name="security-opscm"></a>

的雲端安全性 AWS 是最高優先順序。身為 AWS 客戶，您可以受益於資料中心和網路架構，該架構專為滿足最安全敏感組織的需求而建置。

安全性是 AWS 與您之間的共同責任。[‬共同責任模型‭](https://aws.amazon.com/compliance/shared-responsibility-model/)‬ 將此描述為雲端*‬的‭*‬安全和雲端*‬內*‬的安全：
+ **雲端的安全性** – AWS 負責保護在 Cloud AWS 中執行 AWS 服務的基礎設施。 AWS 也為您提供可安全使用的服務。在 [AWS 合規計畫](https://aws.amazon.com/compliance/programs/)中，第三方稽核員會定期測試並驗證我們的安全功效。若要了解適用於 OpsWorks CM 的合規計劃，請參閱[合規計劃範圍內的AWS 服務](https://aws.amazon.com/compliance/services-in-scope/)。
+ **雲端的安全性** – 您的責任取決於您使用 AWS 的服務。您也必須對其他因素負責，包括資料的機密性、您公司的要求和適用法律和法規。

本文件可協助您了解如何在使用 CM OpsWorks 時套用共同責任模型。下列主題說明如何設定 OpsWorks CM 以符合您的安全與合規目標。您也會了解如何使用其他 AWS 服務來協助您監控和保護 OpsWorks CM 資源。

**Topics**
+ [CM OpsWorks 中的資料保護](data-protection.md)
+ [資料加密](#protection-encryption-opscm)
+ [CM OpsWorks 的 Identity and Access Management](security-iam-opscm.md)
+ [網際網路流量隱私權](#protection-privacy-opscm)
+ [在 CM OpsWorks 中記錄和監控](#sec-opsworks-log-mon-opscm)
+ [OpsWorks CM 的合規驗證](opsworks-stacks-compliance-opscm.md)
+ [CM OpsWorks 中的彈性](disaster-recovery-resiliency-opscm.md)
+ [AWS OpsWorks CM 中的基礎設施安全](infrastructure-security-opscm.md)
+ [CM OpsWorks 中的組態和漏洞分析](#sec-config-vulnerability-opscm)
+ [CM OpsWorks 的安全最佳實務](#sec-security-bestpractice-opscm)

## 資料加密
<a name="protection-encryption-opscm"></a>

OpsWorks CM 會加密授權 AWS 使用者及其 OpsWorks CM 伺服器之間的伺服器備份和通訊。不過，CM 伺服器的根 Amazon EBS OpsWorks 磁碟區不會加密。

### 靜態加密
<a name="protection-encryption-rest-opscm"></a>

OpsWorks CM 伺服器備份會加密。不過，CM 伺服器的根 Amazon EBS OpsWorks 磁碟區不會加密。這不是使用者可設定的。

### 傳輸中加密
<a name="protection-encryption-transit-opscm"></a>

OpsWorks CM 使用 HTTP 搭配 TLS 加密。如果使用者未提供已簽署的憑證， OpsWorks CM 會預設為自我簽署憑證來佈建和管理伺服器。我們建議您使用憑證授權單位 (CA) 所簽署的憑證。

### 金鑰管理
<a name="protection-key-management-opscm"></a>

AWS Key Management Service CM 目前不支援客戶受管金鑰和 AWS OpsWorks 受管金鑰。

## 網際網路流量隱私權
<a name="protection-privacy-opscm"></a>

OpsWorks CM 使用與 AWS HTTPS 或 HTTP 搭配 TLS 加密一般使用的相同傳輸安全通訊協定。

## 在 CM OpsWorks 中記錄和監控
<a name="sec-opsworks-log-mon-opscm"></a>

OpsWorks CM 會將所有 API 動作記錄到 CloudTrail。如需詳細資訊，請參閱下列主題：
+ [使用 記錄 Puppet Enterprise API 呼叫的 OpsWorks AWS CloudTrail](logging-opspup-using-cloudtrail.md)
+ [使用 記錄 AWS OpsWorks for Chef Automate API 呼叫 AWS CloudTrail](logging-opsca-using-cloudtrail.md)

## CM OpsWorks 中的組態和漏洞分析
<a name="sec-config-vulnerability-opscm"></a>

OpsWorks CM 會定期對在 OpsWorks CM 伺服器上執行的作業系統執行核心和安全性更新。使用者可以為自動更新設定從目前日期起算最多兩週的時段。 OpsWorks CM 會推送 Chef 和 Puppet Enterprise 次要版本的自動更新。如需設定 更新的詳細資訊 AWS OpsWorks for Chef Automate，請參閱本指南中的[系統維護 (Chef)](opscm-maintenance.md)。如需設定 OpsWorks for Puppet Enterprise 更新的詳細資訊，請參閱本指南中的[系統維護 (Puppet)](opspup-maintenance.md)。

## CM OpsWorks 的安全最佳實務
<a name="sec-security-bestpractice-opscm"></a>

OpsWorks CM 與所有 AWS 服務一樣，提供安全功能供您在開發和實作自己的安全政策時考慮。以下最佳實務為一般準則，並不代表完整的安全解決方案。這些最佳實務可能不適用或無法滿足您的環境需求，因此請將其視為實用建議就好，而不要當作是指示。
+ **保護您的入門套件和下載的登入憑證。**當您建立新的 OpsWorks CM 伺服器或從 CM OpsWorks 主控台下載新的入門套件和登入資料時，請將這些項目存放在至少需要一個驗證因素的安全位置。認證可提供您伺服器的系統管理員層級存取權。
+ **保護您的組態程式碼。**使用來源儲存庫建議的通訊協定來保護 Chef 或 Puppet 組態程式碼 (食譜和模組)。例如，您可以[限制 AWS CodeCommit中儲存庫的許可權](https://docs.aws.amazon.com/codecommit/latest/userguide/auth-and-access-control.html#auth-and-access-control-iam-access-control-identity-based)，或遵循 [GitHub 網站上的指導方針來保護 GitHub 儲存庫](https://help.github.com/en/github/managing-security-vulnerabilities/adding-a-security-policy-to-your-repository)。
+ **使用 CA 簽署的憑證來連線到節點。**雖然您可以在 OpsWorks CM 伺服器上註冊或引導節點時使用自我簽署憑證，但最佳實務是使用 CA 簽署的憑證。我們建議您使用憑證授權單位 (CA) 所簽署的憑證。
+ **請勿與其他使用者共用 Chef 或 Puppet 管理主控台登入認證**。管理員應為 Chef 或 Puppet 主控台網站的每個使用者建立個別的使用者。
  + [管理 Chef Automate 中的使用者](https://automate.chef.io/docs/users/)
  + [管理 Puppet Enterprise 中的使用者](https://puppet.com/docs/pe/2017.3/rbac_user_roles_intro.html)
+ **設定自動備份和系統維護更新。**在 OpsWorks CM 伺服器上設定自動維護更新，有助於確保您的伺服器執行最新的安全性相關作業系統更新。設定自動備份有助於簡化災難復原，並在發生事件或失敗時加快還原時間。限制對存放 CM 伺服器備份的 Amazon S3 OpsWorks 儲存貯體的存取；不要將存取權授予**每個人**。視需要個別將讀取或寫入存取權授予其他使用者，或在 IAM 中為這些使用者建立安全群組，並將存取權指派給安全群組。
  + [ 系統維護 (Chef)](opscm-maintenance.md)
  + [系統維護 (Puppet)](opspup-maintenance.md)
  + [備份和還原 AWS OpsWorks for Chef Automate 伺服器](opscm-backup-restore.md)
  + [備份和還原 Puppet Enterprise Server 的 OpsWorks](opspup-backup-restore.md)
  + *AWS Identity and Access Management 《 使用者指南*》中的[建立您的第一個 IAM 委派使用者和群組](https://docs.aws.amazon.com/IAM/latest/UserGuide/getting-started_create-delegated-user.html) 
  + 《[Amazon Simple Storage Service 開發人員指南》中的 Amazon S3 安全最佳實務](https://docs.aws.amazon.com/AmazonS3/latest/dev/security-best-practices.html) **