HTML CSS JAVASCRIPT PYTHON PYTHON2 JAVA C C++ C# SQL Excel Linux AI BOOTSTRAP PHP 教程库 参考手册 技术文章 测验 练习 HOWTO FAQ
❮ 上一节 下一节 ❯

Amazon Q Business - 安全

AWS 的云安全是最高优先级,安全是 AWS 和您共同的责任。

在本章中,我们将学习如何配置 Amazon Q Business 以满足您的安全性和合规性目标,您还将学习如何使用 AWS 服务来监控和保护您的 Amazon Q Business 资源。

数据保护

通过保护凭证并使用 IAM Identity Center 或 IAM 设置单个用户来保护您的 AWS 帐户。以下是保护数据的方法:

  • 对每个帐户使用多因素身份验证 (MFA)。
  • 使用 SSL/TLS 与 AWS 资源进行通信。我们需要 TLS 1.2,并推荐使用 TLS 1.3。
  • 使用 AWS CloudTrail 设置 API 和用户活动日志记录。
  • 使用 AWS 加密解决方案以及 AWS 服务中的所有默认安全控制。
  • 使用 Amazon Macie 发现并保护 Amazon S3 中的敏感数据。
  • 如果您需要 FIPS 140-3 验证的加密,请在通过 CLI 或 API 访问 AWS 时使用 FIPS 终端节点。

Amazon VPC 终端节点 (AWS PrivateLink)

接口终端节点是 AWS PrivateLink,用于私下访问 Amazon Q Business API,无需互联网网关、NAT、VPN 或 Direct Connect。无需公有 IP 地址。

创建接口 VPC 终端节点

您可以使用 Amazon VPC 控制台或 AWS 命令​​行界面 (AWS CLI) 为 Amazon Q Business 创建接口终端节点。

使用以下服务名称为 Amazon Q Business 创建接口终端节点:

aws.api.region.qbusiness

在创建 VPC 终端节点后,使用带有端点 URL 参数的 AWS CLI 命令为 Amazon Q Business API 指定接口终端节点。

aws qbusiness list-applications --endpoint-url https://VPC 终端节点

VPC 终端节点是创建接口终端节点时生成的 DNS 名称,格式为vpce-{ID}-{REGION}.qbusiness.{REGION}.vpce.amazonaws.com.

启用私有 DNS,使用其默认区域 DNS 名称向 Amazon Q Business 发出 API 请求,例如 qbusiness.{REGION}.api.aws.

创建 VPC 端点策略

端点策略是可以附加到接口端点的 IAM 资源。端点策略指定以下信息:

  • 可以执行操作的主体/授权用户(AWS 账户、IAM 用户和 IAM 角色)
  • 可以执行的操作
  • 可以对其执行操作的资源。

示例:Amazon Q Business 操作的 VPC 终端节点策略。

{
"Statement":[
    {
        "Principal":"*",
        "Effect":"Allow",
        "Action":[
            "qbusiness:*"
        ],
        "Resource":"*"
    }
]
}

身份与访问管理

IAM 身份和访问管理是一项 AWS 服务,可安全地控制对 AWS 资源的访问,管理身份验证和授权,无需额外费用。

  • 受众:AWS 身份和访问管理的使用情况因您在 Amazon Q 中的角色和任务而异。例如:
    • 服务用户:如果您使用 Amazon Q 服务来完成工作,则管理员会为您提供所需的凭证和权限。
    • 服务管理员:如果您负责公司的 Amazon Q 资源,您可能拥有对 Amazon Q 的完全访问权限。
    • IAM 管理员:如果您是 IAM 管理员,您可能希望了解有关如何编写策略来管理对 Amazon Q 的访问的详细信息。
  • 使用身份进行身份验证:身份验证是使用您的凭证登录 AWS。您需要以根用户、IAM 用户或 IAM 角色身份登录。
  • AWS 账户根用户:创建 AWS 账户时,您将获得一个可以完全访问所有 AWS 服务和资源的主身份。这称为根用户。
  • 联合身份:联合身份是来自您的公司目录、Web 提供商或其他身份源的用户,可使用提供的凭证访问 AWS 服务。
  • IAM 用户和组:IAM 用户是您的 AWS 账户中具有针对某个人员或应用程序的特定权限的身份,而 IAM 组是指定 IAM 用户集合的身份。
  • IAM 角色:IAM 角色是您的 AWS 账户中具有特定权限的身份,但不与特定人员绑定。
    • 联合用户访问:要为联合身份分配权限,您需要创建一个角色并为该角色定义权限。
    • 临时 IAM 用户权限:IAM 用户或角色可以担任 IAM 角色,临时承担特定任务的不同权限。
    • 跨账户访问:您可以使用 IAM 角色允许其他账户中的某人访问您账户中的资源。
    • 跨服务访问:某些 AWS 服务使用其他 AWS 服务中的功能进行跨服务访问。
    • 在 Amazon EC2 上运行的应用程序:使用 IAM 角色管理 EC2 实例应用程序的临时凭证,而不是存储访问密钥。
  • 使用策略管理访问:策略是 AWS 中的一个对象,当与身份或资源关联时,它定义其权限。通过创建策略并将其附加到身份或资源来控制 AWS 中的访问。
  • 基于身份的策略:基于身份的策略是定义权限的文档,可以附加到 IAM 用户、组或角色。
  • 基于资源的策略:基于资源的策略是定义对特定资源(例如 IAM 角色或 Amazon S3 存储桶)的访问权限的规则。
  • 访问控制列表 (ACL):ACL 决定谁可以访问资源。它们类似于策略,但格式不同。
  • 其他策略类型:AWS 支持其他不太常见的策略类型,例如权限边界、服务控制策略 (SCP)、会话策略。
  • 多种策略类型:当应用多种规则时,很难知道允许哪些规则。

合规性验证

AWS 合规性取决于数据敏感性、公司目标和法律。 AWS 提供以下资源来帮助实现合规性:

  • 安全与合规性快速入门指南:这些指南可帮助您在 AWS 上设置安全且合规的环境。
  • Amazon Web Services 上的 HIPAA 安全与合规性架构:本白皮书介绍了公司如何使用 AWS 创建符合 HIPAA 要求的应用程序。
  • AWS 合规性资源:此工作簿和指南集合可能适用于您的行业和位置。
  • AWS 客户合规性指南:这些指南概述了 AWS 安全最佳实践,并与 NIST、PCI 和 ISO 框架保持一致。
  • AWS Config 开发人员指南中的使用规则评估资源:AWS Config 服务评估您的资源配置对内部实践、行业指南和法规的遵守情况。
  • AWS 安全中心:安全中心为您提供完整的视图您的 AWS 安全性并检查您是否符合行业标准。
  • Amazon GuardDuty:GuardDuty 通过监控可疑活动来检测对您的 AWS 资源的威胁,帮助您满足 PCI DSS 等合规性要求。
  • AWS Audit Manager:Audit Manager 可帮助您跟踪 AWS 使用情况,以简化风险和合规性管理。

弹性

AWS 拥有具有区域和可用区的全球基础设施。这些区域是独立的、连接的和冗余的,允许您构建高可用性、容错性和可扩展的应用程序,这些应用程序可以在区域之间自动切换而无需停机。

基础设施安全

Amazon Q Business 受到 AWS 全球网络安全程序的保护。您可以使用 AWS 发布的 API 调用通过网络访问 Amazon Q Business。客户端必须支持以下内容:

  • 传输层安全性 (TLS) 1.0 或更高版本。我们建议使用 TLS 1.2 或更高版本。
  • 具有完全前向保密 (PFS) 的密码套件,例如 DHE (Ephemeral Diffie-Hellman) 或 ECDHE (Elliptic Curve Ephemeral Diffie-Hellman)。

跨服务混淆代理预防

当权限较低的实体诱骗权限较高的实体执行不允许执行的操作时,就会发生混淆代理问题。

使用带有完整 ARN 的 aws:SourceArn 或通配符 (*) 表示未知部分,以防止混淆代理问题。

如果 aws:SourceArn 值不包含账户 ID(例如 Amazon S3 存储桶 ARN),则必须使用两个全局条件上下文键来限制权限。

aws:SourceArn 的值必须是ResourceDescription。

在 Amazon Q Business 中使用 aws:SourceArn 和 aws:SourceAccount 全局条件上下文键来防止混淆代理问题。

{
    "Version": "2012-10-17",
    "Statement": {
        "Sid": "ConfusedDeputyPreventionExamplePolicy",
        "Effect": "Allow",
        "Principal": {
        "Service": "qbusiness.amazonaws.com"
        },
        "Action": "qbusiness:ActionName",
        "Resource": [
        "arn:aws:qbusiness:::ResourceName/*"
        ],
        "Condition": {
        "ArnLike": {
            "aws:SourceArn": "arn:aws:qbusiness:*:123456789012:*"
        },
        "StringEquals": {
            "aws:SourceAccount": "123456789012"
        }
        }
    }
}

配置和漏洞分析

AWS 负责基本的安全任务,例如更新操作系统和数据库、配置防火墙以及从灾难中恢复。这些任务已由受信任的第三方检查和批准。

安全最佳实践

Amazon Q Business 提供安全功能来告知您的安全策略。遵循最佳实践作为指导方针,而不是完整的解决方案,并使其适应您的环境。

应用最小特权原则

Amazon Q 使用 IAM 角色来控制对应用程序的访问。仅向角色授予作业所需的权限,并在应用程序发生变化时定期审查和更新权限。

基于角色的访问控制 (RBAC) 权限

管理员应严格控制 Amazon Q 应用程序的基于角色的访问控制 (RBAC) 权限。

❮ 上一节 下一节 ❯