本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Amazon 的数据保护 CloudFront
分Amazon分担责任模型
出于数据保护目的,我们建议您保护 Amazon Web Services 账户 凭证并使用 Amazon IAM Identity Center 或 Amazon Identity and Access Management(IAM)设置单个用户。这样,每个用户只获得履行其工作职责所需的权限。我们还建议您通过以下方式保护数据:
-
对每个账户使用多重身份验证(MFA)。
-
使用 SSL/TLS 与Amazon资源进行通信。我们要求使用 TLS 1.2,建议使用 TLS 1.3。
-
使用Amazon CloudTrail设置 API 和用户活动日志记录。
-
使用 Amazon 加密解决方案以及 Amazon Web Services中的所有默认安全控制。
-
使用高级托管安全服务(例如 Amazon Macie),它有助于发现和保护存储在 Amazon S3 中的敏感数据。
-
如果在通过命令行界面或 API 访问Amazon时需要经过 FIPS 140-2 验证的加密模块,请使用 FIPS 端点。有关可用的 FIPS 端点的更多信息,请参阅《美国联邦信息处理标准(FIPS)第 140-2 版》
。
我们强烈建议您切勿将机密信息或敏感信息(如您客户的电子邮件地址)放入标签或自由格式文本字段(如名称字段)。这包括您使用控制台、API CloudFront 或 SDK 或以其他Amazon Web Services方式使用控制台Amazon CLI、API 或 Amazon SDK 的情况。在用于名称的标签或自由格式文本字段中输入的任何数据都可能会用于计费或诊断日志。如果您向外部服务器提供网址,强烈建议您不要在网址中包含凭证信息来验证对该服务器的请求。
Amazon CloudFront 提供了多种选项,您可以使用这些选项来帮助保护其交付的内容:
-
配置 HTTPS 连接。
-
配置字段级加密以在传输过程中为指定数据提供额外的安全性。
-
限制对内容的访问权限,从而只有特定人员或者特定区域中的人员可以查看这些内容。
以下主题更详细地说明了选项。
传输中加密
要在传输过程中对数据进行加密,您可以 CloudFront 将 Amazon 配置为要求查看者使用 HTTPS 请求您的文件,以便在与查看者 CloudFront通信时对连接进行加密。您还可以配置 CloudFront 为使用 HTTPS 从您的源服务器获取文件,以便在与您的 CloudFront 源通信时对连接进行加密。
有关更多信息,请参阅 将 HTTPS 与 CloudFront。
字段级加密增加了一个额外的安全保护层以及 HTTPS,使您可以在整个系统处理过程中保护特定的数据,以便只有某些应用程序才能查看它。通过在中配置字段级加密 CloudFront,您可以安全地将用户提交的敏感信息上传到您的 Web 服务器。客户端提供的敏感信息在更接近用户的边缘站点中进行加密。这些敏感信息在整个应用程序堆栈中保持加密状态,从而确保仅需要该数据(以及具有用于解密的凭证)的应用程序才能使用该数据。
有关更多信息,请参阅 使用字段级加密帮助保护敏感数据。
CloudFront API 端点cloudfront.amazonaws.com
和cloudfront-fips.amazonaws.com
仅接受 HTTPS 流量。这意味着,当您使用 CloudFront API 发送和接收信息时,您的数据(包括分发配置、缓存策略和源请求策略、密钥组和公钥以及函数中的函数代码)在传输过程中始终 CloudFront 处于加密状态。此外,发送到 CloudFront API 端点的所有请求都使用Amazon凭据进行签名并登录Amazon CloudTrail。
Functions 中的 CloudFront 功能代码和配置在复制到边缘接入点 (POP) 以及由使用的其他存储位置之间时,始终会进行加密 CloudFront。
静态加密
Functions 中的 CloudFront 功能代码和配置始终以加密格式存储在边缘位置 PoP 以及使用的其他存储位置 CloudFront。
限制对内容的访问
许多通过互联网分发内容的公司都希望限制对文档、业务数据、流媒体或面向一部分用户的内容的访问。要使用 Amazon 安全地提供此类内容 CloudFront,您可以执行以下一项或多项操作:
- 使用签名 URL 或 Cookie
-
您可以通过 CloudFront 使用签名 URL 或签名 Cookie 来提供此类私有内容,从而限制对针对选定用户(例如付费用户)的内容的访问。有关更多信息,请参阅 使用签名 URL 和签名 Cookie 提供私有内容。
- 限制对 Amazon S3 存储桶中内容的访问
-
如果您通过使用 CloudFront 签名 URL 或签名 Cookie 等来限制对内容的访问,那么您也不希望人们使用文件的直接 URL 来查看文件。而是希望他们只能通过使用 CloudFront URL 访问文件,这样您的保护才会发挥作用。
如果您使用 Amazon S3 存储桶作为 CloudFront 分配的来源,则可以设置源访问控制 (OAC),从而可以限制对 S3 存储桶的访问。有关更多信息,请参阅限制对 Amazon S3 源的访问。
- 限制对 Application Load Balancer 提供的内容的访问
-
当您使用 Elast CloudFront ic Load Balancing 中的应用程序负载均衡器作为源时,您可以进行配置CloudFront 以防止用户直接访问应用程序负载均衡器。这允许用户仅通过访问Application Load Balancer CloudFront,从而确保您获得使用的好处 CloudFront。有关更多信息,请参阅 限制访问 Application Load Balancer。
- 使用 Amazon WAF Web ACL
-
您可以使用 Web 应用程序防火墙服务 Amazon WAF 创建 Web 访问控制列表 (Web ACL) 来限制对内容的访问。根据您指定的条件,例如请求来源的 IP 地址或查询字符串的值,使用请求的内容或 HTTP 403 状态代码(禁止)来 CloudFront 响应请求。有关更多信息,请参阅 使用 Amazon WAF 保护。
- 使用地理限制
-
您可以使用地理限制 (也称为地理阻止 )禁止特定地理位置的用户访问您通过 CloudFront 分配提供的内容。配置地理限制时有多个选项可供选择。有关更多信息,请参阅 限制您的内容的地理分配。