Amazon Snowball 边缘数据保护 - Amazon Snowball Edge 开发者指南
在云中保护数据保护您设备上的数据
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon Snowball 边缘数据保护

Amazon Snowball 符合 Amazon 分担责任模式,其中包括数据保护的法规和指导方针。 Amazon 负责保护运行所有 Amazon 服务的全球基础架构。 Amazon 保持对托管在此基础架构上的数据的控制,包括用于处理客户内容和个人数据的安全配置控制。 Amazon 作为数据控制者或数据处理者的客户和 APN 合作伙伴应对他们输入的任何个人数据负责。 Amazon Web Services 云

出于数据保护目的,我们建议您保护 Amazon Web Services 账户 凭证并使用 Amazon Identity and Access Management (IAM) 设置个人用户,以便仅向每个用户提供履行其工作职责所需的权限。我们还建议您通过以下方式保护数据:

  • 对每个账户使用多重身份验证 (MFA)。

  • 使用 SSL/TLS 与资源通信。 Amazon 建议使用 TLS 1.2 或更高版本。

  • 使用设置 API 和用户活动日志 Amazon CloudTrail。

  • 使用 Amazon 加密解决方案以及 Amazon 服务中的所有默认安全控制。

  • 使用高级托管安全服务(例如 Amazon Macie),它有助于发现和保护存储在 Amazon S3 中的个人数据。

  • 如果您在 Amazon 通过命令行界面或 API 进行访问时需要经过 FIPS 140-2 验证的加密模块,请使用 FIPS 端点。有关可用的 FIPS 端点的更多信息,请参阅美国联邦信息处理标准(FIPS)第 140-2 版

我们强烈建议您切勿将敏感的可识别信息(例如您客户的账号)放入自由格式字段(例如名称字段)。这包括您使用控制台、 Amazon CLI API Amazon Snowball 或 Amazon SDK 使用其他 Amazon 服务时。您输入到 Amazon Snowball 或其他服务中的任何数据都可能被选取以包含在诊断日志中。当您向外部服务器提供 URL 时,请勿在 URL 中包含凭证信息来验证您对该服务器的请求。

有关数据保护的更多信息,请参阅Amazon 安全性博客 上的Amazon 责任共担模式和 GDPR 博客文章。

在云中保护数据

Amazon Snowball 在您将数据导入或导出到 Amazon S3、创建订购 Snow Family 设备的任务以及更新设备时,保护您的数据。以下各节介绍在使用 Snowball Edge、在线或 Amazon 在云端进行交互时如何保护自己的数据。

主题

    保护您设备上的数据

    保护您的 Amazon Snowball 边缘

    以下是我们建议您在使用 Amazon Snowball Edge 时考虑的一些安全要点,以及有关设备到达处理时我们采取的其他安全预防措施的一些高级信息。 Amazon

    我们推荐以下安全方法:

    • 您应尽力防止您的作业凭证泄露。任何有权访问作业清单和解锁代码的人员都可以访问为该作业发送的设备的内容。

    • 请勿将设备留在装货码头。若留在装货码头,它会遭到风吹雨打。尽管每台 Amazon Snowball Edge 设备都很坚固,但天气可能会损坏最坚固的硬件。请尽快报告被盗、丢失或破损的设备。越早报告此类问题,就可以越早发送另一台设备来完成您的作业。

    我们执行以下安全步骤:

    • 在使用 Amazon S3 Adapter 传输数据时,不会保留对象元数据。唯一保持不变的元数据为 filenamefilesize。设置所有其他元数据,如以下示例所示:-rw-rw-r-- 1 root root [filesize] Dec 31 1969 [path/filename]

    • 在使用文件接口传输数据时,会保留对象元数据。

    • 当设备到达时 Amazon,我们会检查它是否有任何篡改迹象,并验证可信平台模块 (TPM) 是否未检测到任何更改。 Amazon Snowball Edge 使用多层安全措施来保护您的数据,包括防篡改外壳、256 位加密以及旨在为您的数据提供安全性和完整监管链的行业标准 TPM。

    • 处理并验证完数据传输作业后, Amazon 将遵循美国国家标准与技术研究院(NIST)的介质清理准则对 Snowball 设备执行软件擦除。

    验证 NFC 标签

    Snowball Edge Compute Optimited 和 Snowball Edge Storage Optimized(用于数据传输)设备内置了 NFC 标签。您可以使用 Amazon Snowball Edge Verification App(在 Android 上可用)扫描这些标签。扫描并验证这些 NFC 标签可帮助您在使用设备之前验证设备是否未被篡改。

    验证 NFC 标签包括使用 Snowball Edge 客户端生成特定于设备的二维码来验证您要扫描的标签是否针对正确的设备。

    以下过程介绍如何验证 Snowball Edge 设备上的 NFC 标签。在开始之前,请确保您已执行入门练习的以下前五个步骤::

    1. 创建您的 Snowball Edge 作业。有关更多信息,请参阅创建订购 Snow Family 设备的任务

    2. 接收设备。有关更多信息,请参阅接收 Snowball Edge

    3. 连接到本地网络。有关更多信息,请参阅连接到您的本地网络

    4. 获取凭证和工具。有关更多信息,请参阅获取访问 Snow Family 设备的凭证

    5. 下载并安装 Snowball Edge 客户端 有关更多信息,请参阅下载并安装 Snowball Edge 客户端

    验证 NFC 标签

    1. 运行 snowballEdge get-app-qr-code Snowball Edge 客户端命令。如果您对集群中的节点运行了此命令,请提供序列号(--device-sn)以获取单个节点的二维码。对集群中的每个节点重复此步骤。有关使用此命令的更多信息,请参阅获取用于 NFC 验证的 QR 代码

      二维码将作为 .png 文件保存到您选择的位置。

    2. 导航到您保存的 .png 文件,然后将其打开,以便使用应用程序扫描二维码。

    3. 您可以在 Android 上使用 Amazon Snowball 边缘验证应用程序扫描这些标签。

      注意

      Amazon Snowball Edge Verification 应用程序不可下载,但如果您的设备已安装该应用程序,则可以使用该应用程序。

    4. 启动该应用程序,然后按照屏幕上的说明进行操作。

    您现在已成功扫描并验证设备的 NFC 标签。

    如果您在扫描时遇到问题,请尝试以下操作:

    • 确认您的设备具有 Snowball Edge Compute Optimized 选项(带或不带 GPU)。

    • 如果您在其他设备上安装了该应用,请尝试使用该设备。

    • 将设备移至房间的隔离区域,远离其他 NFC 标签的干扰,然后重试。

    • 如果问题仍然存在,请联系 Amazon Web Services Support