本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 安全支柱
<a name="security-pillar"></a>

雲端安全是 的最高優先順序 AWS。身為 AWS 客戶，您可以受益於資料中心和網路架構，這些架構專為滿足最安全敏感組織的需求而建置。安全性是您和 之間的共同責任 AWS。[‬共同責任模型‭](https://aws.amazon.com/compliance/shared-responsibility-model/)‬ 將此描述為雲端*‬的‭*‬安全和雲端*‬內*‬的安全：
+ **雲端的安全性** – AWS 負責保護在 AWS 服務 中執行的基礎設施 AWS 雲端。 AWS 也為您提供可安全使用的服務。在[AWS 合規計劃](https://aws.amazon.com/compliance/programs/)中，第三方稽核人員會定期測試和驗證 AWS 安全的有效性。若要了解適用於 Neptune 的合規計劃，請參閱[AWS 合規計劃範圍內的服務](https://aws.amazon.com/compliance/services-in-scope/)。
+ **雲端的安全性** – 您的責任取決於您使用 AWS 服務 的 。您也必須對其他因素負責，包括資料的機密性、您公司的要求和適用法律和法規。如需資料隱私權的詳細資訊，請參閱[資料隱私權FAQs](https://aws.amazon.com/compliance/data-privacy-faq)。如需有關歐洲資料保護的資訊，請參閱[AWS 共同責任模型和 GDPR](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) 部落格文章。

 AWS Well-Architected Framework [的安全支柱](https://docs.aws.amazon.com/wellarchitected/latest/framework/security.html)可協助您了解如何在使用 Neptune Analytics 時套用共同責任模型。下列主題說明如何設定 Neptune Analytics 以符合您的安全和合規目標。您也會了解如何使用其他 AWS 服務 來協助您監控和保護 Neptune Analytics 資源。安全支柱包含下列主要重點領域：
+ 資料安全
+ 網路安全
+ 身分驗證和授權

## 實作資料安全性
<a name="data-security"></a>

資料外洩和違規會讓您的客戶面臨風險，並可能對您的公司造成重大負面影響。下列最佳實務有助於保護您的客戶資料免於意外和惡意暴露：
+ 圖形名稱、標籤、IAM 角色和其他中繼資料不應包含機密或敏感資訊，因為該資料可能會出現在帳單或診斷日誌中。
+ 存放為 Neptune 中資料的外部伺服器的 URIs或連結不應包含登入資料資訊來驗證請求。
+ Neptune Analytics 圖形會靜態加密。您可以使用您選擇的預設金鑰或 AWS Key Management Service (AWS KMS) 金鑰來加密圖形。您也可以加密在大量匯入期間匯出至 Amazon S3 的快照和資料。您可以在匯入完成時移除加密。
+ 當您使用 openCypher 語言時，請練習適當的輸入驗證和[參數化](https://docs.aws.amazon.com/neptune-analytics/latest/userguide/best-practices-content.html#best-practices-content-2)技術，以防止 SQL Injection 和其他形式的攻擊。避免使用使用者提供的輸入來建構使用字串串連的查詢。使用參數化查詢或預備陳述式，安全地將輸入參數傳遞至圖形資料庫。如需詳細資訊，請參閱 Neptune 文件中的 [ openCypher 參數化查詢範例](https://docs.aws.amazon.com/neptune/latest/userguide/opencypher-parameterized-queries.html)。

## 保護您的網路
<a name="network-security"></a>

您可以為公有連線啟用 Neptune Analytics 圖形，以便從虛擬私有雲端 (VPC) 外部進行連線。此連線預設為停用。圖形需要 IAM 身分驗證。發起人必須取得身分並具有使用圖形的許可。例如，若要[執行 openCypher 查詢，](https://docs.aws.amazon.com/neptune-analytics/latest/apiref/API_ExecuteQuery.html)呼叫者需要具有特定圖形的讀取、寫入或刪除許可。

您也可以為圖形[建立私有端點](https://docs.aws.amazon.com/neptune-analytics/latest/apiref/API_CreatePrivateGraphEndpoint.html)，以從 VPC 內存取圖形。建立端點時，您可以指定 VPC、子網路和安全群組，以限制呼叫圖形的存取。

為了保護您的傳輸中資料，Neptune Analytics 會透過 HTTPS 強制執行與圖形的 SSL 連線。如需詳細資訊，請參閱 [Neptune Analytics 文件中的 Neptune Analytics 中的資料保護](https://docs.aws.amazon.com/neptune-analytics/latest/userguide/data-protection.html)。

## 實作身分驗證和授權
<a name="authentication"></a>

呼叫 Neptune Analytics 圖形需要 IAM 身分驗證。發起人必須取得身分並擁有足夠的許可，才能在圖形上執行動作。如需 API 動作及其必要許可的說明，請參閱 [Neptune Analytics API 文件](https://docs.aws.amazon.com/neptune-analytics/latest/apiref/API_Operations.html)。您可以[強制執行條件檢查](https://docs.aws.amazon.com/service-authorization/latest/reference/list_amazonneptuneanalytics.html#amazonneptuneanalytics-policy-keys)，依標籤限制存取。

IAM 身分驗證使用 [AWS Signature 第 4 版 (SigV4) 通訊協定](https://docs.aws.amazon.com/AmazonS3/latest/API/sig-v4-authenticating-requests.html)。為了簡化應用程式的使用，我們建議您使用 [AWS SDK](https://aws.amazon.com/developer/tools/)。例如，在 Python 中，針對 [Neptune 圖形使用 Boto3 用戶端](https://boto3.amazonaws.com/v1/documentation/api/latest/reference/services/neptune-graph.html)，這會抽象化 SigV4。

當您將資料載入圖形時，[批次載入](https://docs.aws.amazon.com/neptune-analytics/latest/userguide/batch-load.html)會使用發起人的 IAM 登入資料。發起人必須具有從 Amazon S3 下載資料並設定信任關係的許可，以便 Neptune Analytics 可以擔任角色，從 Amazon S3 檔案將資料載入圖形。

[大量匯入](https://docs.aws.amazon.com/neptune-analytics/latest/userguide/bulk-import.html)可以在圖形建立期間 （由基礎設施團隊執行） 或在現有的空白圖形上執行 （由具有啟動匯入任務許可的資料工程團隊執行）。在這兩種情況下，Neptune Analytics 都會擔任發起人提供做為輸入的 IAM 角色。此角色授予它讀取和列出輸入資料暫存之 Amazon S3 資料夾內容的許可。