Amazon Systems Manager 中的数据保护 - Amazon Systems Manager
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

Amazon Systems Manager 中的数据保护

数据保护指在数据传输(发往和离开 Systems Manager 时)和处于静态(存储 Amazon 数据中心内)期间保护数据。

Amazon责任共担模式适用于 Amazon Systems Manager 中的数据保护。如该模式中所述,Amazon 负责保护运行所有 Amazon Web Services 云 的全球基础设施。您负责维护对托管在此基础设施上的内容的控制。此内容包括您所使用的 Amazon Web Services 的安全配置和管理任务。有关数据隐私的更多信息,请参阅数据隐私常见问题

出于数据保护目的,我们建议您保护 Amazon Web Services 账户 凭证并使用 Amazon Identity and Access Management (IAM) 设置单独的用户账户。这仅向每个用户授予履行其工作职责所需的权限。我们还建议您通过以下方式保护您的数据:

  • 对每个账户使用 Multi-Factor Authentication (MFA)。

  • 使用 SSL/TLS 与 Amazon 资源进行通信。建议使用 TLS 1.2 或更高版本。

  • 使用 Amazon CloudTrail 设置 API 和用户活动日志记录。

  • 使用 Amazon 加密解决方案以及 Amazon 服务中的所有默认安全控制。

  • 使用高级托管安全服务(例如 Amazon Macie),它有助于发现和保护存储在 Simple Storage Service(Amazon S3)中的个人数据。

  • 如果在通过命令行界面或 API 访问 Amazon 时需要经过 FIPS 140-2 验证的加密模块,请使用 FIPS 端点。有关可用的 FIPS 端点的更多信息,请参阅《美国联邦信息处理标准 (FIPS) 第 140-2 版》

我们强烈建议您切勿将机密信息或敏感信息(例如您客户的电子邮件地址)放入标签或自由格式字段(例如名称字段)。这包括使用控制台、API、Amazon CLI 或 Amazon SDK 处理 Systems Manager 或其他 Amazon 服务时。您在用于名称的标签或自由格式字段中输入的任何数据都可能会用于计费或诊断日志。如果向外部服务器提供 URL,强烈建议您不要在 URL 中包含凭证信息来验证您对该服务器的请求。

数据加密

静态加密

Parameter Store 参数

您可以在 Parameter Store(Amazon Systems Manager 的一项功能)中创建的参数类型包括 StringStringListSecureString

为加密 SecureString 参数值,Parameter Store 使用 Amazon Key Management Service (Amazon KMS) 中的 Amazon KMS key。Amazon KMS 使用客户托管式密钥或 Amazon 托管式密钥来加密 Amazon 托管式数据库中的参数值。

重要

请勿将敏感数据存储在 StringStringList 的参数中。对于必须保持加密状态的所有敏感数据,请仅使用 SecureString 参数类型。

有关更多信息,请参阅 什么是参数?使用 IAM 策略限制对 Systems Manager 参数的访问

Amazon S3 存储桶中的内容

作为 Systems Manager 操作的一部分,您可以选择将数据上传或存储到一个或多个 Amazon Simple Storage Service (Amazon S3) 存储桶中。

有关 S3 存储桶加密的信息,请参阅 Amazon Simple Storage Service 用户指南中的使用加密保护数据Amazon S3 中的数据保护

以下是在 Systems Manager 活动中,您可以上传或存储到 S3 存储桶中的数据类型。

  • Run Command(Amazon Systems Manager 的一项功能)中的命令的输出

  • Distributor(Amazon Systems Manager 的一项功能)中的软件包

  • 在 Patch Manager(Amazon Systems Manager 的一项功能)中修补操作日志

  • Patch Manager 补丁覆盖列表

  • 要在自动化(Amazon Systems Manager 的一项功能)的运行手册工作流中运行的脚本或 Ansible Playbook

  • 将 Chef InSpec 配置文件与合规性(Amazon Systems Manager 的一项功能)中的扫描结合使用

  • Amazon CloudTrail 日志

  • Session Manager(Amazon Systems Manager 的一项功能)中的会话历史记录日志

  • 来自 Explorer(Amazon Systems Manager 的一项功能)的报告

  • 来自 OpsCenter(Amazon Systems Manager 的一项功能)的 OpsData

  • 用于自动化工作流的 Amazon CloudFormation 模板

  • 来自资源数据同步扫描的合规性数据

  • 托管式节点上 State Manager(Amazon Systems Manager 的一项功能)中关联创建或编辑请求的输出结果

  • 可使用 Amazon 托管 SSM 文档 AWS-RunDocument 运行的自定义 Systems Manager 文档(SSM 文档)

CloudWatch Logs 日志组

作为 Systems Manager 操作的一部分,您可以选择将数据流式传输到一个或多个 Amazon CloudWatch Logs 日志组。

有关 CloudWatch Logs 日志组加密的信息,请参阅 Amazon CloudWatch Logs 用户指南中的使用 Amazon Key Management Service 加密 CloudWatch Logs 中的日志数据

以下是在 Systems Manager 活动中,您可以流式传输到 CloudWatch Logs 日志组中的数据类型。

  • Run Command 命令的输出

  • 在自动化运行手册中使用 aws:executeScript 操作的脚本运行的输出

  • Session Manager 会话历史记录日志

  • 托管式节点上 SSM Agent 中的日志

传输中加密

建议您使用传输层安全性 (TLS) 等加密协议加密在客户端和节点之间传输的敏感数据。

Systems Manager 为传输中的数据加密提供以下支持。

与 Systems Manager API 端点的连接

Systems Manager API 端点仅支持基于 HTTPS 的安全连接。使用 Amazon Web Services Management Console、Amazon SDK 或 Systems Manager API 管理 Systems Manager 资源时,所有通信都使用传输层安全性 (TLS) 进行加密。有关 API 端点的完整列表,请参阅 Amazon Web Services 一般参考中的 Amazon 服务终端节点

托管实例

Amazon 在 Amazon Elastic Compute Cloud (Amazon EC2) 实例之间提供安全的私有连接。此外,我们使用带 256 位加密的 AEAD 算法,自动对同一 Virtual Private Cloud (VPC) 或对等 VPC 中支持实例之间的传输中流量进行加密。此加密功能将使用基础硬件的分载功能,对网络性能不会造成影响。支持的实例包括:C5n、G4、I3en、M5dn、M5n、P3dn、R5dn 和 R5n。

Session Manager 会话

默认情况下,Session Manager 使用 TLS 1.2 来加密您的账户中用户的本地计算机与您的 EC2 实例之间传输的会话数据。您还可以选择使用已经在 Amazon KMS 中创建的 Amazon KMS key 来进一步加密传输中的数据。Amazon KMS 加密支持 Standard_StreamInteractiveCommandsNonInteractiveCommands 会话类型。

Run Command 访问

默认情况下,使用 Run Command 对节点进行远程访问所用的加密协议为 TLS 1.2,连接创建请求所用的签名版本为 SigV4。

互联网络流量隐私

您可以使用 Amazon Virtual Private Cloud (Amazon VPC) 在托管式节点中的资源之间创建边界,并控制它们、本地网络和互联网之间的流量。有关详细信息,请参阅(可选)创建 VPC 终端节点

有关 Amazon Virtual Private Cloud 安全性的更多信息,请参阅 Amazon VPC 用户指南中的 Amazon VPC 中的互联网络流量隐私