Amazon Systems Manager 中的数据保护

数据保护指在数据传输（发往和离开 Systems Manager 时）和处于静态（存储 Amazon 数据中心内）期间保护数据。

Amazon 责任共担模式适用于 Amazon Systems Manager 中的数据保护。如该模式中所述，Amazon 负责保护运行所有 Amazon Web Services 云的全球基础设施。您负责维护对托管在此基础设施上的内容的控制。您还负责您所使用的 Amazon Web Services 的安全配置和管理任务。有关数据隐私的更多信息，请参阅数据隐私常见问题。

出于数据保护目的，我们建议您保护 Amazon Web Services 账户凭证并使用 Amazon IAM Identity Center 或 Amazon Identity and Access Management（IAM）设置单个用户。这样，每个用户只获得履行其工作职责所需的权限。我们还建议您通过以下方式保护数据：

对每个账户使用多重身份验证 (MFA)。
使用 SSL/TLS 与 Amazon 资源进行通信。我们要求使用 TLS 1.2，建议使用 TLS 1.3。
使用 Amazon CloudTrail 设置 API 和用户活动日记账记录。
使用 Amazon 加密解决方案以及 Amazon Web Services 中的所有默认安全控制。
使用高级托管安全服务（例如 Amazon Macie），它有助于发现和保护存储在 Amazon S3 中的敏感数据。
如果在通过命令行界面或 API 访问 Amazon 时需要经过 FIPS 140-2 验证的加密模块，请使用 FIPS 端点。有关可用的 FIPS 端点的更多信息，请参阅《美国联邦信息处理标准（FIPS）第 140-2 版》。

我们强烈建议您切勿将机密信息或敏感信息（如您客户的电子邮件地址）放入标签或自由格式文本字段（如名称字段）。这包括使用控制台、API、Amazon CLI 或 Amazon SDK 处理 Systems Manager 或其他 Amazon Web Services时。在用于名称的标签或自由格式文本字段中输入的任何数据都可能会用于计费或诊断日志。如果您向外部服务器提供网址，强烈建议您不要在网址中包含凭证信息来验证对该服务器的请求。

数据加密

静态加密

Parameter Store 参数

您可以在 Parameter Store（Amazon Systems Manager 的一项功能）中创建的参数类型包括 String、StringList 和 SecureString。

为加密 SecureString 参数值，Parameter Store 使用 Amazon Key Management Service (Amazon KMS) 中的 Amazon KMS key。Amazon KMS 使用客户托管式密钥或 Amazon 托管式密钥来加密 Amazon 托管式数据库中的参数值。

重要

请勿将敏感数据存储在 String 或 StringList 的参数中。对于必须保持加密状态的所有敏感数据，请仅使用 SecureString 参数类型。

有关更多信息，请参阅什么是参数？和使用 IAM policy 限制对 Systems Manager 参数的访问。

S3 存储桶中的内容

作为 Systems Manager 操作的一部分，您可以选择将数据上传或存储到一个或多个 Amazon Simple Storage Service (Amazon S3) 存储桶中。

有关 S3 存储桶加密的信息，请参阅 Amazon Simple Storage Service 用户指南中的使用加密保护数据和 Amazon S3 中的数据保护。

以下是在 Systems Manager 活动中，您可以上传或存储到 S3 存储桶中的数据类型。

Run Command（Amazon Systems Manager 的一项功能）中的命令的输出
Distributor（Amazon Systems Manager 的一项功能）中的软件包
在 Patch Manager（Amazon Systems Manager 的一项功能）中修补操作日志
Patch Manager 补丁覆盖列表
要在 Automation（Amazon Systems Manager 的一项功能）的运行手册工作流中运行的脚本或 Ansible Playbook
将 Chef InSpec 配置文件与 Compliance（Amazon Systems Manager 的一项功能）中的扫描结合使用
Amazon CloudTrail日志
Session Manager（Amazon Systems Manager 的一项功能）中的会话历史记录日志
来自 Explorer（Amazon Systems Manager 的一项功能）的报告
来自 OpsCenter（Amazon Systems Manager 的一项功能）的 OpsData
用于自动化工作流的 Amazon CloudFormation 模板
来自资源数据同步扫描的合规性数据
托管式节点上 State Manager（Amazon Systems Manager 的一项功能）中关联创建或编辑请求的输出结果
可使用 Amazon 托管 SSM 文档 AWS-RunDocument 运行的自定义 Systems Manager 文档（SSM 文档）

CloudWatch Logs 日志组

作为 Systems Manager 操作的一部分，您可以选择将数据流式传输到一个或多个 Amazon CloudWatch Logs 日志组。

有关 CloudWatch Logs 日志组加密的信息，请参阅 Amazon CloudWatch Logs 用户指南中的使用 Amazon Key Management Service 加密 CloudWatch Logs 中的日志数据。

以下是在 Systems Manager 活动中，您可以流式传输到 CloudWatch Logs 日志组中的数据类型。

Run Command 命令的输出
在自动化运行手册中使用 aws:executeScript 操作的脚本运行的输出
Session Manager 会话历史记录日志
托管式节点上 SSM Agent 中的日志

传输中加密

建议您使用传输层安全性 (TLS) 等加密协议加密在客户端和节点之间传输的敏感数据。

Systems Manager 为传输中的数据加密提供以下支持。

与 Systems Manager API 端点的连接: Systems Manager API 端点仅支持基于 HTTPS 的安全连接。使用 Amazon Web Services Management Console、Amazon SDK 或 Systems Manager API 管理 Systems Manager 资源时，所有通信都使用传输层安全性 (TLS) 进行加密。有关 API 端点的完整列表，请参阅《Amazon Web Services 一般参考》中的 Amazon Web Service endpoints。
托管实例: Amazon 在 Amazon Elastic Compute Cloud (Amazon EC2) 实例之间提供安全的私有连接。此外，我们使用带 256 位加密的 AEAD 算法，自动对同一 Virtual Private Cloud (VPC) 或对等 VPC 中支持实例之间的传输中流量进行加密。此加密功能将使用基础硬件的分载功能，对网络性能不会造成影响。支持的实例包括：C5n、G4、I3en、M5dn、M5n、P3dn、R5dn 和 R5n。
Session Manager 会话: 默认情况下，Session Manager 使用 TLS 1.2 来加密您的账户中用户的本地计算机与您的 EC2 实例之间传输的会话数据。您还可以选择使用已经在 Amazon KMS 中创建的 Amazon KMS key 来进一步加密传输中的数据。Amazon KMS 加密支持 Standard_Stream、InteractiveCommands 和 NonInteractiveCommands 会话类型。
Run Command 访问: 默认情况下，使用 Run Command 对节点进行远程访问所用的加密协议为 TLS 1.2，连接创建请求所用的签名版本为 SigV4。

互联网络流量隐私保护

您可以使用 Amazon Virtual Private Cloud (Amazon VPC) 在托管式节点中的资源之间创建边界，并控制它们、本地网络和互联网之间的流量。有关详细信息，请参阅使用适用于 Systems Manager 的 VPC 端点提高 EC2 实例的安全性。

有关 Amazon Virtual Private Cloud 安全性的更多信息，请参阅 Amazon VPC 用户指南中的 Amazon VPC 中的互联网络流量隐私。

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

安全性

Identity and Access Management