Amazon Web Services Systems Manager 中的数据保护 - Amazon Web Services Systems Manager
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Amazon Web Services Systems Manager 中的数据保护

数据保护是指保护数据,而运输中(当它往返于 Systems Manager 时)和静态(而它存储在Amazon数据中心)。

这些区域有:Amazon 责任共担模式适用于Amazon Web Services Systems Manager。如本模型所述,Amazon负责保护运行所有Amazon云。您负责维护对托管在此基础设施上的内容的控制。此内容包括针对Amazon使用的服务。有关数据隐私的更多信息,请参阅数据隐私常见问题

出于数据保护目的,我们建议您保护Amazon账户凭证并使用 AWS Identity and Access Management (IAM) 设置单独的用户账户。这仅向每个用户授予履行其工作职责所需的权限。我们还建议您通过以下方式保护您的数据:

  • 对每个账户使用 Multi-Factor Authentication (MFA)。

  • 使用 SSL/TLS 与 Amazon 资源进行通信。建议使用 TLS 1.2 或更高版本。

  • 使用 Amazon CloudTrail 设置 API 和用户活动日志记录。

  • 使用 Amazon 加密解决方案以及 Amazon 服务中的所有默认安全控制。

  • 使用高级托管安全服务(例如 Amazon Macie),它有助于发现和保护存储在 Amazon S3 中的个人数据。

  • 如果在通过命令行界面或 API 访问 Amazon 时需要经过 FIPS 140-2 验证的加密模块,请使用 FIPS 终端节点。有关可用的 FIPS 终端节点的更多信息,请参阅美国联邦信息处理标准 (FIPS) 第 140-2 版

我们强烈建议您切勿将敏感的可识别信息(例如您客户的账号)放入自由格式字段(例如 Name (名称) 字段)。这包括使用 Systems Manager 或其他Amazon服务使用控制台、API、AmazonCLI,或Amazon开发工具包。您输入到 Systems Manager 或其他服务中的任何数据都可能被选取以包含在诊断日志中。当您向外部服务器提供 URL 时,请勿在 URL 中包含凭证信息来验证您对该服务器的请求。

数据加密

静态加密

Parameter Store 参数

您可以在参数存储中创建的参数类型(Amazon Web Services Systems Manager,包括StringStringList, 和SecureString

加密SecureString参数值,参数存储使用Amazon中的 KMS 密钥Amazon Key Management Service(Amazon KMS)。Amazon KMS使用客户管理的密钥或Amazon托管密钥对参数值进行加密Amazon托管数据库。

重要

请勿将敏感数据存储在 StringStringList 参数中。对于必须保持加密状态的所有敏感数据,请仅使用 SecureString 参数类型。

有关更多信息,请参阅 什么是参数?使用 IAM 策略限制对 Systems Manager 参数的访问

Amazon S3 存储桶中的内容

作为您的 Systems Manager 操作的一部分,您可以选择上传或存储数据到一个或多个 Amazon Simple Storage Service (Amazon S3) 存储桶中。

有关 S3 存储桶加密的信息,请参阅使用加密保护数据Amazon S3 中的数据保护中的Amazon Simple Storage Service 开发人员指南

以下是在 Systems Manager 活动中,您可以上传或存储在 S3 存储桶中的数据类型:

  • 运行命令中命令的输出,一种Amazon Web Services Systems Manager

  • 分发服务器中的软件包,具有Amazon Web Services Systems Manager

  • 修补程序管理器中的修补操作日志(一种Amazon Web Services Systems Manager

  • Patch Manager 补丁覆盖列表

  • 在 Automation 中的 Runbook 工作流中运行的脚本或 Ansible Playbooks,具有Amazon Web Services Systems Manager

  • Chef InSpec 配置文件与合规性中的扫描结合使用,具有Amazon Web Services Systems Manager

  • Amazon CloudTrail 日志

  • 会话管理器中的会话历史记录日志,具有Amazon Web Services Systems Manager

  • 来自资源管理器的报告,一种Amazon Web Services Systems Manager

  • 来自 OpsCenter 的 OpsSenter 的数据,这是一种Amazon Web Services Systems Manager

  • 用于 Automation 工作流的 Amazon CloudFormation 模板

  • 来自资源数据同步扫描的合规性数据

  • 在 State Manager 中创建或编辑关联的请求的输出(一种功能)Amazon Web Services Systems Manager,在托管实例上

  • 您可以使用Amazon托管 SSM 文档AWS-RunDocument

CloudWatch Logs 日志日志组

作为您的 Systems Manager 操作的一部分,您可以选择将数据流式传输到一个或多个 Amazon CloudWatch Logs 组。

有关 CloudWatch Logs 日志组加密的信息,请参阅对 CloudWatch 日志中的日志数据加密中的Amazon CloudWatch Logs 用户指南

以下是在您的 Systems Manager 活动中,您可以流式传输到 CloudWatch Logs 日志组中的数据类型:

  • 运行命令命令的输出

  • 脚本的输出使用aws:executeScript自动化运行手册中的操作

  • 会话 Manager 会话历史记录日志

  • 来自托管实例上 SSM 代理的日志

传输中加密

建议您使用传输层安全性 (TLS) 等加密协议加密在客户端和实例之间传输的敏感数据。

Systems Manager 为传输中的数据加密提供以下支持。

连接到 Systems Manager API 终端节点

Systems Manager API 终端节点仅支持基于 HTTPS 的安全连接。当 Systems Manager 使用Amazon Web Services Management Console、AmazonSDK 或 Systems Manager API 中,所有通信都使用传输层安全性 (TLS) 进行加密。有关 API 终端节点的完整列表,请参阅区域和终端节点中的Amazon Web Services 一般参考

托管实例

Amazon提供了 Amazon Elastic Compute Cloud (Amazon EC2) 实例之间的安全和私有连接。此外,我们会将 AEAD 算法与 256 位加密技术一起使用,以便自动对同一虚拟私有云 (VPC) 或对等 VPC 中支持实例之间的传输中流量进行加密。此加密功能将使用基础硬件的分载功能,对网络性能不会造成影响。支持的实例包括:C5n、G4、I3en、M5dn、M5dn、M5n、P3dn、P3dn、P3dn、P3dn、P3dn、M5dn、P3dn、P3dn、P3dn、M5n、P3dn、

会话管理器会话

默认情况下,会话管理器使用 TLS 1.2 来加密您的账户中用户的本地计算机与您的 EC2 实例之间传输的会话数据。您还可以选择进一步加密传输中的数据,使用Amazon已创建的 KMS 密钥Amazon KMS。

Run Command 访问

默认情况下,使用 Run Command 对实例的远程访问是使用 TLS 1.2 加密的,创建连接的请求是使用 SigV4 签名的。

互联网络流量隐私

您可以使用 Amazon Virtual Private Cloud (Amazon VPC) 在托管实例中的资源之间创建边界,并控制它们、本地网络和 Internet 之间的流量。有关详细信息,请参阅。(可选)创建 Virtual Private Cloud 终端节点

有关 Amazon Virtual Private Cloud 安全性的更多信息,请参阅安全中的Amazon VPC 用户指南