本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# Amazon Lake Formation 中的安全
云安全 Amazon 是重中之重。作为 Amazon 客户,您可以受益于专为满足大多数安全敏感型组织的要求而构建的数据中心和网络架构。
安全是双方共同承担 Amazon 的责任。[责任共担模式](https://www.amazonaws.cn/compliance/shared-responsibility-model/)将其描述为云*的* 安全性和云*中* 的安全性:
+ **云安全** — Amazon 负责保护在 Amazon 云中运行 Amazon 服务的基础架构。 Amazon 还为您提供可以安全使用的服务。作为 [Amazon 合规性计划](https://www.amazonaws.cn/compliance/programs/)的一部分,第三方审核人员将定期测试和验证安全性的有效性。要了解适用于 Amazon Lake Formation的合规计划,请参阅[按合规计划划分的范围内的Amazon 服务](https://www.amazonaws.cn/compliance/services-in-scope/)。
+ **云端安全**-您的责任由您使用的 Amazon 服务决定。您还需要对其他因素负责,包括您的数据的敏感性、您公司的要求以及适用的法律法规。
此文档将帮助您了解如何在使用 Lake Formation 时应用责任共担模式。以下主题说明如何配置 Lake Formation 以实现您的安全性和合规性目标。您还将学习如何使用其他 Amazon 服务来帮助您监控和保护您的 Lake Formation 资源。
**Topics**
+ [
# Lake Formation 中的数据保护
](data-protection.md)
+ [
# Amazon Lake Formation 中的基础设施安全
](infrastructure-security.md)
+ [
# 防止跨服务混淆座席
](cross-service-confused-deputy-prevention.md)
+ [
# L Amazon ake Formation 中的安全事件记录
](monitoring-overview.md)
# Lake Formation 中的数据保护
分 Amazon [分担责任模型](https://www.amazonaws.cn/compliance/shared-responsibility-model/)适用于中的数据保护。如本模型所述 Amazon ,负责保护运行所有内容的全球基础架构 Amazon Web Services 云。您负责维护对托管在此基础结构上的内容的控制。您还负责您所使用的 Amazon Web Services 服务 的安全配置和管理任务。有关数据隐私的更多信息,请参阅[数据隐私常见问题](https://www.amazonaws.cn/compliance/data-privacy-faq/)。
出于数据保护目的,我们建议您保护 Amazon Web Services 账户 凭证并使用 Amazon IAM Identity Center 或 Amazon Identity and Access Management (IAM) 设置个人用户。这样,每个用户只获得履行其工作职责所需的权限。还建议您通过以下方式保护数据:
+ 对每个账户使用多重身份验证(MFA)。
+ 用于 SSL/TLS 与 Amazon 资源通信。我们要求使用 TLS 1.2,建议使用 TLS 1.3。
+ 使用设置 API 和用户活动日志 Amazon CloudTrail。有关使用 CloudTrail 跟踪捕获 Amazon 活动的信息,请参阅*Amazon CloudTrail 用户指南*中的[使用跟 CloudTrail 踪](https://docs.amazonaws.cn/awscloudtrail/latest/userguide/cloudtrail-trails.html)。
+ 使用 Amazon 加密解决方案以及其中的所有默认安全控件 Amazon Web Services 服务。
+ 使用高级托管安全服务(例如 Amazon Macie),它有助于发现和保护存储在 Amazon S3 中的敏感数据。
+ 如果您在 Amazon 通过命令行界面或 API 进行访问时需要经过 FIPS 140-3 验证的加密模块,请使用 FIPS 端点。有关可用的 FIPS 端点的更多信息,请参阅《美国联邦信息处理标准(FIPS)第 140-3 版》[https://www.amazonaws.cn/compliance/fips/](https://www.amazonaws.cn/compliance/fips/)。
强烈建议您切勿将机密信息或敏感信息(如您客户的电子邮件地址)放入标签或自由格式文本字段(如**名称**字段)。这包括您使用控制台、API 或以其他 Amazon Web Services 服务 方式使用控制台 Amazon CLI、API 或时 Amazon SDKs。在用于名称的标签或自由格式文本字段中输入的任何数据都可能会用于计费或诊断日志。如果您向外部服务器提供 URL,强烈建议您不要在网址中包含凭证信息来验证对该服务器的请求。
# 静态加密
Amazon Lake Formation 支持以下领域的数据加密:
+ Amazon Simple Storage Service (Amazon S3) 数据湖中的数据。
Lake Formation 支持使用 [Amazon Key Management Service](https://docs.amazonaws.cn/kms/latest/developerguide/overview.html) (Amazon KMS) 进行数据加密。数据通常通过 Amazon Glue 提取、转换、加载 (ETL) 作业写入数据湖。有关如何加密 Amazon Glue 作业写入的数据的信息,请参阅《Amazon Glue 开发人员指南》中的[加密爬网程序、作业和开发端点写入的数据](https://docs.amazonaws.cn/glue/latest/dg/encryption-security-configuration.html)。**
+ Amazon Glue Data Catalog,这是 Lake Formation 存储描述数据湖中数据的元数据表的地方。
有关更多信息,请参阅《Amazon Glue 开发人员指南》中的[加密数据目录](https://docs.amazonaws.cn/glue/latest/dg/encrypt-glue-data-catalog.html)。**
要将 Amazon S3 位置添加为数据湖中的存储空间,请*向 Lake Formati Amazon on 注册*该位置。然后,您可以使用 Lake Formation 权限对指向此位置的 Amazon Glue Data Catalog 对象以及该位置中的基础数据进行精细访问控制。
Lake Formation 支持注册包含加密数据的 Amazon S3 位置。有关更多信息,请参阅 [注册加密的 Amazon S3 位置](register-encrypted.md)。
# Amazon Lake Formation 中的基础设施安全
作为一项托管服务, Amazon Lake Formation 受[亚马逊网络服务:安全流程概述白皮书中描述的 Amazon 全球网络安全](https://d0.awsstatic.com/whitepapers/Security/AWS_Security_Whitepaper.pdf)程序的保护。
您可以使用 Amazon 已发布的 API 调用通过网络访问 Lake Formation。客户端必须支持传输层安全性协议(TLS)1.0 或更高版本。建议使用 TLS 1.2 或更高版本。客户端还必须支持具有完全向前保密(PFS)的密码套件,例如 Ephemeral Diffie-Hellman(DHE)或 Elliptic Curve Ephemeral Diffie-Hellman(ECDHE)。大多数现代系统(如 Java 7 及更高版本)都支持这些模式。
此外,必须使用访问密钥 ID 和与 IAM 主体关联的秘密访问密钥来对请求进行签名。或者,您可以使用 [Amazon Security Token Service](https://docs.amazonaws.cn/STS/latest/APIReference/Welcome.html)(Amazon STS)生成临时安全凭证来对请求进行签名。
**Topics**
# 防止跨服务混淆座席
混淆代理问题是一个安全性问题,即不具有操作执行权限的实体可能会迫使具有更高权限的实体执行该操作。在中 Amazon,跨服务模仿可能会导致混乱的副手问题。一个服务(*呼叫服务*)调用另一项服务(*所谓的服务*)时,可能会发生跨服务模拟。可以操纵调用服务以使用其权限对另一个客户的资源进行操作,否则该服务不应有访问权限。为了防止这种情况,我们 Amazon 提供了一些工具,帮助您保护所有服务的数据,这些服务委托人已被授予访问您账户中资源的权限。
建议在资源策略中使用 [https://docs.amazonaws.cn/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn](https://docs.amazonaws.cn/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn) 和 [https://docs.amazonaws.cn/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount](https://docs.amazonaws.cn/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount) 全局条件上下文键,以限制 Amazon Lake Formation 为其他服务提供的资源访问权限。如果使用两个全局条件上下文键,在同一策略语句中使用时,`aws:SourceAccount` 值和 `aws:SourceArn` 值中的账户必须使用相同的账户 ID。
目前,Lake Formation 仅支持以下格式的 `aws:SourceArn`:
```
arn:aws:lakeformation:aws-region:account-id:*
```
以下示例演示如何使用 Lake Formation 中的 `aws:SourceArn` 和 `aws:SourceAccount` 全局条件上下文键来防范代理混淆问题。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ConfusedDeputyPreventionExamplePolicy",
"Effect": "Allow",
"Principal": {
"Service": "lakeformation.amazonaws.com"
},
"Action": [
"sts:AssumeRole"
],
"Condition": {
"StringEquals": {
"aws:SourceAccount": "123456789012"
},
"ArnEquals": {
"aws:SourceArn": "arn:aws:lakeformation:aws-region:123456789012:*"
}
}
}
]
}
```
------
# L Amazon ake Formation 中的安全事件记录
Amazon Lake Formation 与 Amazon CloudTrail一项服务集成,该服务提供用户、角色或 Amazon 服务在 Lake Formation 中采取的操作的记录。 CloudTrail 将 Lake Formation 的所有 API 调用捕获为事件。捕获的调用包括来自 Lake Formation 控制台的调用 Amazon Command Line Interface、以及对 Lake Formation API 操作的代码调用。
有关 Lake Formation 中的事件日志记录的更多信息,请参阅[使用记录 Amazon Lake Formation API 调用 Amazon CloudTrail](logging-using-cloudtrail.md)。
**注意**
`GetTableObjects`、`UpdateTableObjects` 和 `GetWorkUnitResults` 大容量是数据面板操作。拨打 APIs这些电话的呼叫当前未记录到 CloudTrail。有关中数据平面操作的更多信息 CloudTrail,请参阅*《Amazon CloudTrail 用户指南》*中的[记录跟踪的数据事件](https://docs.amazonaws.cn/awscloudtrail/latest/userguide/logging-data-events-with-cloudtrail.html)。
Lake Formation 为支持其他 CloudTrail 活动而进行的变更将记录在[的文档历史记录 Amazon Lake Formation](doc-history.md)。