IAM Identity Center 中的数据保护 - Amazon IAM Identity Center
传输中加密数据隐私数据留存
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

IAM Identity Center 中的数据保护

Amazon 责任共担模型适用于 Amazon IAM Identity Center 中的数据保护。如该模式中所述,Amazon 负责保护运行所有 Amazon 云的全球基础设施。您负责维护对托管在此基础结构上的内容的控制。您还负责您所使用 Amazon 服务的安全配置和管理任务。有关数据隐私的更多信息,请参阅数据隐私常见问题。有关欧洲数据保护的信息,请参阅 Amazon Security Blog 上的 Amazon Shared Responsibility Model and GDPR 博客文章。

我们建议您通过以下方式保护您的数据:

  • 在 IAM Identity Center 中启用多重身份验证(MFA)。

  • 使用 TLS 与 Amazon 资源进行通信。我们要求使用 TLS 1.2,建议使用 TLS 1.3。

  • 使用 Amazon CloudTrail 设置 API 和用户活动日记账记录。有关使用 CloudTrail 跟踪来捕获 Amazon 活动的信息,请参阅《Amazon CloudTrail 用户指南》中的使用 CloudTrail 跟踪

  • 使用 Amazon 加密解决方案以及 Amazon 服务中的所有默认安全控制。

强烈建议您切勿将机密信息或敏感信息(如您客户的电子邮件地址)放入标签或自由格式文本字段(如名称字段)。这包括使用控制台、API、Amazon CLI 或 Amazon SDK 处理 Amazon IAM Identity Center 或其他 Amazon 服务时。在用于名称的标签或自由格式文本字段中输入的任何数据都可能会用于诊断日志。

传输中加密

IAM Identity Center 使用传输层安全性协议(TLS)1.2 或 TLS 1.3 加密协议自动加密所有网络间数据,从而保护往返服务的过程中的传输中数据。使用 IAM 进行身份验证并发送到 IAM Identity Center API、Identity Store API 或 OIDC API 的直接 HTTPS 请求,使用 Amazon 签名版本 4 算法进行签名以建立安全连接。

数据隐私

借助 IAM Identity Center,您保留对组织数据的控制权。存储在 IAM Identity Center 中的用户和组身份仅当您通过 IAM Identity Center 启用它们,并且这些服务需要时,才会与其他 Amazon 服务(例如 Amazon 托管应用程序)共享。

有关更多信息,请参阅 Amazon 数据隐私常见问题解答

数据留存

IAM Identity Center 会存储您的数据,例如用户和组身份以及元数据,直到您从服务中删除它们。当您删除 IAM Identity Center 实例时,其中包含的数据也会被删除。