中的資料保護 AWS Proton - AWS Proton
伺服器端靜態加密傳輸中加密AWS Proton 加密金鑰管理AWS Proton 加密內容

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

中的資料保護 AWS Proton

AWS Proton 符合 AWS 共同責任模型,其中包括資料保護的法規和指導方針。 AWS 負責保護執行所有 的全域基礎設施 AWS 服務。 會 AWS 維護對此基礎設施上託管資料的控制。 包括處理客戶內容和個人資料的安全組態控制。 AWS 客戶和 APN 合作夥伴、 做為資料控制者或資料處理者, 對其放入 中的任何個人資料負責 AWS 雲端

基於資料保護目的,建議您保護 AWS 帳戶 登入資料,並使用 AWS Identity and Access Management (IAM) 設定個別使用者帳戶,以便每個使用者只獲得完成其任務所需的許可。我們也建議您採用下列方式保護資料:

  • 每個帳戶均要使用多重要素驗證 (MFA)。

  • 使用 SSL/TLS 與 AWS 資源通訊。建議使用 TLS 1.2 或更新版本。

  • 使用 設定 API 和使用者活動記錄 AWS CloudTrail。

  • 使用 AWS 加密解決方案,以及 中的所有預設安全控制 AWS 服務。

我們強烈建議您絕對不要將敏感的識別資訊,例如客戶的帳戶號碼,放入任意格式的文字欄位中,例如名稱欄位。這包括當您 AWS 服務 使用 AWS Proton 或使用主控台、API AWS CLI或其他 AWS SDKs 時。您輸入資源識別符自由格式文字欄位或與 AWS 資源管理相關的類似項目的任何資料,都可能被選入診斷日誌中。當您提供外部伺服器的 URL 時,請勿在驗證您對該伺服器請求的 URL 中包含憑證資訊。

如需關於資料保護的詳細資訊,請參閱 AWS 安全部落格上的 AWS 共同責任模型和歐盟《一般資料保護規範》(GDPR) 部落格文章。

伺服器端靜態加密

如果您選擇在存放範本套件的 S3 儲存貯體中加密範本套件中的靜態敏感資料,則必須使用 SSE-S3 或 SSE-KMS 金鑰來允許 AWS Proton 擷取範本套件,以便將其連接到已註冊的 AWS Proton 範本。

傳輸中加密

服務之間所有通訊在途中都使用 SSL/TLS 進行加密。

AWS Proton 加密金鑰管理

在其中 AWS Proton,預設會使用 AWS Proton 擁有的金鑰來加密所有客戶資料。如果您提供客戶擁有和管理的 AWS KMS 金鑰,所有客戶資料都會使用客戶提供的金鑰進行加密,如以下段落所述。

當您建立 AWS Proton 範本時,您可以指定您的金鑰, AWS Proton 並使用 登入資料來建立授予,以允許 AWS Proton 使用您的金鑰。

如果您手動淘汰授予,或停用或刪除您指定的金鑰,則 AWS Proton 無法讀取由指定金鑰加密的資料並擲出 ValidationException

AWS Proton 加密內容

AWS Proton 支援加密內容標頭。加密內容是一組選用的金鑰值對,可以包含資料的其他相關內容資訊。如需有關加密內容的更多資訊,請參閱《AWS Key Management Service 開發人員指南》中的 AWS Key Management Service 概念 – 加密內容

加密內容是一組金鑰/值對,其中包含任意的非秘密資料。在加密資料的請求中包含加密內容時, AWS KMS 會以密碼編譯方式將加密內容繫結至加密的資料。若要解密資料,您必須傳遞相同的加密內容。

客戶可以使用加密內容來識別在稽核記錄和日誌中使用其客戶受管金鑰。它也會以純文字顯示在日誌中,例如 AWS CloudTrail 和 Amazon CloudWatch Logs。

AWS Proton 不會採用任何客戶指定或外部指定的加密內容。

AWS Proton 新增下列加密內容。

{
  "aws:proton:template": "<proton-template-arn>",
  "aws:proton:resource": "<proton-resource-arn>" 
}

第一個加密內容會識別資源相關聯的 AWS Proton 範本,並做為客戶受管金鑰許可和授權的限制。

第二個加密內容會識別已加密 AWS Proton 的資源。

下列範例顯示 AWS Proton 加密內容的使用方式。

開發人員建立服務執行個體。

{
  "aws:proton:template": "arn:aws:proton:region_id:123456789012:service-template/my-template",
  "aws:proton:resource": "arn:aws:proton:region_id:123456789012:service/my-service/service-instance/my-service-instance" 
}

建立範本的管理員。

{
  "aws:proton:template": "arn:aws:proton:region_id:123456789012:service-template/my-template",
  "aws:proton:resource": "arn:aws:proton:region_id:123456789012:service-template/my-template"
}