将数据与您自己的操作员隔离 - Amazon Elastic Compute Cloud
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

将数据与您自己的操作员隔离

Amazon Nitro System 有零操作员访问权限。任何 Amazon 系统或人员都无法登录 Amazon EC2 Nitro 主机、访问 EC2 实例的内存,或访问存储在本地加密实例存储或远程加密 Amazon EBS 卷上的任何客户数据。

处理高度敏感数据时,您可以考虑限制对这些数据的访问,甚至阻止自己的操作员访问 EC2 实例。

您可以创建自定义的可认证 AMI,并将其配置为提供隔离的计算环境。AMI 配置取决于您的工作负载和应用程序要求。在构建 AMI 以创建隔离计算环境时,请考虑以下最佳实践。

  • 移除所有交互式访问权限,以阻止您的操作员或用户访问该实例。

  • 确保 AMI 中仅包含可信软件和代码

  • 在实例内配置网络防火墙以阻止访问。

  • 确保所有存储和文件系统为只读和不可变状态

  • 实例访问限制为经过身份验证、已授权和已记录的 API 调用。