HTML CSS JAVASCRIPT PYTHON PYTHON2 JAVA C C++ C# SQL Excel Linux AI BOOTSTRAP PHP 教程库 参考手册 技术文章 测验 练习 HOWTO FAQ
❮ 上一节 下一节 ❯

Amazon Q Developer - 安全

AWS 的云安全是最高优先级,安全是 AWS 和您共同的责任。

在本章中,我们将学习如何配置 Amazon Q Developer 以满足您的安全性和合规性目标,您还将学习如何使用 AWS 服务来监控和保护您的 Amazon Q Business 资源。

数据保护

通过保护凭证并使用 IAM Identity Center 或 IAM 设置单个用户来保护您的 AWS 帐户。以下是保护数据的方法:

  • 对每个帐户使用多因素身份验证 (MFA)。
  • 使用 SSL/TLS 与 AWS 资源进行通信。我们需要 TLS 1.2,并推荐使用 TLS 1.3。
  • 使用 AWS CloudTrail 设置 API 和用户活动日志记录。
  • 使用 AWS 加密解决方案以及 AWS 服务中的所有默认安全控制。
  • 使用 Amazon Macie 发现和保护 Amazon S3 中的敏感数据。
  • 如果您需要 FIPS 140-3 验证的加密,请在通过 CLI 或 API 访问 AWS 时使用 FIPS 终端节点。

身份和访问管理

IAM 身份和访问管理是一项 AWS 服务,可安全地控制对 AWS 资源的访问,管理身份验证和授权,无需额外费用。

  • 受众:AWS 身份和访问管理的使用情况因您在 Amazon Q 中的角色和任务而异。例如:
    • 服务用户:如果您使用 Amazon Q 服务来完成工作,那么您的管理员为您提供所需的凭证和权限。
    • 服务管理员:如果您负责管理公司的 Amazon Q 资源,您可能拥有对 Amazon Q 的完全访问权限。
    • IAM 管理员:如果您是 IAM 管理员,您可能希望了解有关如何编写策略来管理对 Amazon Q 的访问的详细信息。
  • 使用身份进行身份验证:身份验证是使用您的凭证登录 AWS。您需要以根用户、IAM 用户或 IAM 角色的身份登录。
  • AWS 账户根用户:创建 AWS 账户时,您将获得一个具有所有 AWS 服务和资源完全访问权限的主身份。这称为根用户。
  • 联合身份:联合身份是来自您的公司目录、Web 提供商或其他身份源的用户,可使用提供的凭证访问 AWS 服务。
  • IAM 用户和组:IAM 用户是您的 AWS 账户中对某个人或应用程序具有特定权限的身份,而 IAM 组是指定 IAM 用户集合的身份。
  • IAM 角色:IAM 角色是您的 AWS 账户中具有特定权限的身份,但不与特定人员绑定。
    • 联合用户访问:要为联合身份分配权限,您需要创建角色并为该角色定义权限。
    • 临时 IAM 用户权限:IAM 用户或角色可以承担 IAM 角色,以临时承担特定任务的不同权限。
    • 跨账户访问:您可以使用 IAM 角色允许不同账户中的某人访问您账户中的资源。
    • 跨服务访问:某些 AWS 服务使用其他 AWS 服务中的功能进行跨服务访问。
    • 在 Amazon EC2 上运行的应用程序:使用 IAM 角色管理 EC2 实例应用程序的临时凭证,而不是存储访问密钥。
  • 使用策略管理访问:策略是 AWS 中的一个对象,当与身份或资源关联时,定义其权限。通过创建策略并将其附加到身份或资源来控制 AWS 中的访问。
  • 基于身份的策略:基于身份的策略是定义权限的文档,可以附加到 IAM 用户、组或角色。
  • 基于资源的策略:基于资源的策略是定义对特定资源(例如 IAM 角色或 Amazon S3 存储桶)的访问权限的规则。
  • 访问控制列表 (ACL):ACL 决定谁可以访问资源。它们类似于策略,但格式不同。
  • 其他策略类型:AWS 支持其他不太常见的策略类型,例如权限边界、服务控制策略 (SCP)、会话策略。
  • 多种策略类型:当应用多种规则时,很难知道允许哪些规则。

合规性验证

AWS 合规性取决于数据敏感性、公司目标和法律。 AWS 提供以下资源来帮助实现合规性:

  • 安全性和合规性快速入门指南:这些指南可帮助您在 AWS 上设置安全且合规的环境。
  • 在 Amazon Web Services 上构建 HIPAA 安全性和合规性架构:此白皮书介绍了公司如何使用 AWS 创建符合 HIPAA 要求的应用程序。
  • AWS 合规性资源:此工作簿和指南集合可能适用于您的行业和位置。
  • AWS 客户合规性指南:这些指南概述了 AWS 安全最佳实践,并与 NIST、PCI 和 ISO 框架保持一致。
  • AWS Config 开发人员指南中的使用规则评估资源:AWS Config 服务评估您的资源配置对内部实践、行业指南和法规的遵守情况。
  • AWS 安全中心:安全中心为您提供完整的视图您的 AWS 安全性,并检查您是否符合行业标准。

弹性

AWS 拥有具有区域和可用区的全球基础设施。这些区域是独立的、连接的和冗余的,允许您构建高可用性、容错性和可扩展的应用程序,这些应用程序可以在区域之间自动切换而无需停机。

基础设施安全

Amazon Q Business 受到 AWS 全球网络安全程序的保护。您可以使用 AWS 发布的 API 调用通过网络访问 Amazon Q Business。客户端必须支持以下内容:

  • 传输层安全性 (TLS) 1.0 或更高版本。我们建议使用 TLS 1.2 或更高版本。
  • 具有完美前向保密 (PFS) 的密码套件,例如 DHE (Ephemeral Diffie-Hellman) 或 ECDHE (Elliptic Curve Ephemeral Diffie-Hellman)。

Amazon VPC 终端节点 (AWS PrivateLink)

接口终端节点是 AWS PrivateLink,用于私下访问 Amazon Q Business API,无需互联网网关、NAT、VPN 或 Direct Connect。无需公共 IP 地址。

创建接口 VPC 终端节点

您可以使用 Amazon VPC 控制台或 AWS 命令​​行界面 (AWS CLI) 为 Amazon Q Business 创建接口终端节点。

使用以下服务名称为 Amazon Q Business 创建接口终端节点:

com.amazonaws.region.q

VPC 终端节点是创建接口终端节点时生成的 DNS 名称,格式为 q.us-east-1.amazonaws.com。

❮ 上一节 下一节 ❯