本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Amazon Snowball 边缘数据保护
Amazon Snowball 符合 Amazon 分担责任模式
出于数据保护目的,我们建议您保护 Amazon Web Services 账户 凭证并使用 Amazon Identity and Access Management (IAM) 设置单个用户,这样每位用户只能获得履行其工作职责所需的权限。我们还建议您通过以下方式保护数据:
-
对每个账户使用多重身份验证 (MFA)。
-
使用SSL/TLS与 Amazon 资源通信。我们推荐 TLS 1.2 或更高版本。
-
使用API进行设置和用户活动记录 Amazon CloudTrail。
-
使用 Amazon 加密解决方案以及 Amazon 服务中的所有默认安全控制。
-
使用高级托管安全服务(例如 Amazon Macie),它有助于发现和保护存储在 Amazon S3 中的个人数据。
-
如果您在 Amazon 通过命令行界面或访问时需要 FIPS 140-2 经过验证的加密模块API,请使用端点。FIPS有关可用FIPS端点的更多信息,请参阅联邦信息处理标准 (FIPS) 140-2
。
我们强烈建议您切勿将敏感的可识别信息(例如您客户的账号)放入自由格式字段(例如名称字段)。这包括您使用控制台、API Amazon CLI、 Amazon Snowball 或使用其他 Amazon 服务时 Amazon SDKs。您输入到 Amazon Snowball 或其他服务中的任何数据都可能被选取以包含在诊断日志中。当您URL向外部服务器提供时,请不要在中包含凭据信息URL以验证您对该服务器的请求。
有关数据保护的更多信息,请参阅责任Amazon 共担模型和Amazon
在云中保护数据
Amazon Snowball 在您将数据导入或导出到 Amazon S3、创建订购 Snow Family 设备的任务以及更新设备时,保护您的数据。以下各节介绍在使用 Snowball Edge、在线或 Amazon 在云端进行交互时如何保护自己的数据。
主题
保护您设备上的数据
保护您的 Amazon Snowball 边缘
以下是我们建议您在使用 Amazon Snowball Edge 时考虑的一些安全要点,以及有关设备到达处理时我们采取的其他安全预防措施的一些高级信息。 Amazon
我们推荐以下安全方法:
-
您应尽力防止您的作业凭证泄露。任何有权访问作业清单和解锁代码的人员都可以访问为该作业发送的设备的内容。
-
请勿将设备留在装货码头。若留在装货码头,它会遭到风吹雨打。尽管每台 Amazon Snowball Edge 设备都坚固耐用,但天气可能会损坏最坚固的硬件。请尽快报告被盗、丢失或破损的设备。越早报告此类问题,就可以越早发送另一台设备来完成您的作业。
我们执行以下安全步骤:
-
在使用 Amazon S3 Adapter 传输数据时,不会保留对象元数据。唯一保持不变的元数据为
filename
和filesize
。设置所有其他元数据,如以下示例所示:-rw-rw-r-- 1 root root [filesize] Dec 31 1969 [path/filename]
-
在使用文件接口传输数据时,会保留对象元数据。
-
当设备到达时 Amazon,我们会检查它是否有任何篡改迹象,并验证可信平台模块未检测到任何更改(TPM)。 Amazon Snowball Edge 使用多层安全措施来保护您的数据,包括防篡改外壳、256 位加密以及TPM旨在为您的数据提供安全性和完整监管链的行业标准。
-
处理和验证数据传输任务后,按照美国国家标准与技术研究院 (NIST) 的媒体清理指南,对 Snowball 设备 Amazon 执行软件擦除。
验证标签 NFC
Snowball Edge Compute Optimited 和 Snowball Edge 存储优化(用于数据传输)NFC设备内置了标签。您可以使用 Amazon Snowball Edge Verification App(在 Android 上可用)扫描这些标签。扫描和验证这些NFC标签可以帮助您在使用设备之前验证设备是否未被篡改。
验证NFC标签包括使用 Snowball Edge 客户端生成设备专用的二维码,以验证您正在扫描的标签是否适用于正确的设备。
以下过程介绍如何在 Snowball Edge 设备上验证NFC标签。在开始之前,请确保您已执行入门练习的以下前五个步骤::
-
创建您的 Snowball Edge 作业。有关更多信息,请参阅创建订购 Snow Family 设备的任务
-
接收设备。有关更多信息,请参阅 接收 Snowball Edge。
-
连接到本地网络。有关更多信息,请参阅 将 Snow Family 设备连接到您的本地网络。
-
获取凭证和工具。有关更多信息,请参阅 获取访问 Snow Family 设备的凭证。
-
下载并安装 Snowball Edge 客户端 有关更多信息,请参阅 下载并安装 Snowball Edge 客户端。
验证NFC标签
-
运行
snowballEdge get-app-qr-code
Snowball Edge 客户端命令。如果您对集群中的节点运行了此命令,请提供序列号(--device-sn
)以获取单个节点的二维码。对集群中的每个节点重复此步骤。有关使用此命令的更多信息,请参阅获取用于验证 Snowball Edge 标签的二维码 NFC。二维码将作为 .png 文件保存到您选择的位置。
-
导航到您保存的 .png 文件,然后将其打开,以便使用应用程序扫描二维码。
-
您可以在 Android 上使用 Amazon Snowball 边缘验证应用程序扫描这些标签。
注意
边 Amazon Snowball 缘验证应用程序不可下载,但如果您的设备已安装该应用程序,则可以使用该应用程序。
-
启动该应用程序,然后按照屏幕上的说明进行操作。
现在,您已成功扫描并验证了设备的NFC标签。
如果您在扫描时遇到问题,请尝试以下操作:
-
确认您的设备具有 Snowball Edge Compute Optimized 选项(带或GPU不带)。
如果您在其他设备上安装了该应用,请尝试使用该设备。
-
将设备移到房间的隔离区域,远离其他NFC标签的干扰,然后重试。
-
如果问题仍然存在,请联系 Amazon Web Services Support
。