- Amazon Q 教程
- Amazon Q - 首頁
- Amazon Q - 簡介
- Amazon Q 企業版使用者指南
- Amazon Q 企業版 - 工作流程
- Amazon Q 企業版 - 關鍵概念
- Amazon Q 企業版 - 訂閱層級和索引型別
- Amazon Q 企業版 - 服務配額
- Amazon Q 企業版 - 文件屬性
- Amazon Q 企業版 - 設定
- Amazon Q 企業版 - Identity Center 目錄
- Amazon Q 企業版 - Identity Center 整合應用程式
- Amazon Q 企業版 - Identity 聯合身份驗證應用程式
- Amazon Q 企業版 - 資料來源聯結器
- Amazon Q 企業版 - 增強應用程式
- Amazon Q 企業版 - 功能
- Amazon Q 企業版 - 安全
- Amazon Q 企業版 - 監控
- Amazon Q 企業版 API 參考
- Amazon Q 企業版 - API 概述
- Amazon Q 企業版 - API 參考
- Amazon Q 企業版 - 支援的操作
- Amazon Q 企業版 - 支援的資料型別
- Amazon Q 企業版 - 常用引數
- Amazon Q 企業版 - 常用錯誤
Amazon Q 企業版 - 安全
AWS 的雲安全是最高優先順序,安全責任由 AWS 和您共同承擔。
在本章中,我們將學習如何配置 Amazon Q 企業版以滿足您的安全和合規性目標,您還將學習如何使用 AWS 服務來監控和保護您的 Amazon Q 企業版資源。
資料保護
透過保護憑證並使用 IAM Identity Center 或 IAM 設定單個使用者來保護您的 AWS 賬戶。以下是保護資料的方法:
- 為每個賬戶使用多因素身份驗證 (MFA)。
- 使用 SSL/TLS 與 AWS 資源通訊。我們要求使用 TLS 1.2,並推薦使用 TLS 1.3。
- 使用 AWS CloudTrail 設定 API 和使用者活動日誌。
- 使用 AWS 加密解決方案以及 AWS 服務中的所有預設安全控制。
- 使用 Amazon Macie 發現和保護 Amazon S3 中的敏感資料。
- 如果您需要 FIPS 140-3 驗證的加密,請在透過 CLI 或 API 訪問 AWS 時使用 FIPS 端點。
Amazon VPC 端點 (AWS PrivateLink)
介面端點是 AWS PrivateLink,用於私下訪問 Amazon Q 企業版 API,無需網際網路閘道器、NAT、VPN 或 Direct Connect。無需公共 IP 地址。
建立介面 VPC 端點
您可以使用 Amazon VPC 控制檯或 AWS 命令列介面 (AWS CLI) 為 Amazon Q 企業版建立介面端點。
使用以下服務名稱為 Amazon Q 企業版建立介面端點:
aws.api.region.qbusiness
建立 VPC 端點後,使用包含 endpoint-url 引數的 AWS CLI 命令指定 Amazon Q 企業版 API 的介面端點。
aws qbusiness list-applications --endpoint-url https://VPC endpoint
VPC 端點是在建立介面端點時生成的 DNS 名稱,格式為 *vpce-{ID}-{REGION}.qbusiness.{REGION}.vpce.amazonaws.com*。
啟用私有 DNS 以使用其預設區域 DNS 名稱(例如,*qbusiness.{REGION}.api.aws*)向 Amazon Q 企業版發出 API 請求。
建立 VPC 端點策略
端點策略是您可以附加到介面端點的 IAM 資源。端點策略指定以下資訊:
- 可以執行操作的主體/授權使用者(AWS 賬戶、IAM 使用者和 IAM 角色)
- 可以執行的操作
- 可以對哪些資源執行操作。
示例:Amazon Q 企業版操作的 VPC 端點策略。
{
"Statement":[
{
"Principal":"*",
"Effect":"Allow",
"Action":[
"qbusiness:*"
],
"Resource":"*"
}
]
}
身份與訪問管理
IAM 身份和訪問管理是一項 AWS 服務,可安全地控制對 AWS 資源的訪問,管理身份驗證和授權,無需額外費用。
- 目標使用者:AWS 身份和訪問管理的使用方式取決於您在 Amazon Q 中的角色和任務,例如:
- 服務使用者:如果您使用 Amazon Q 服務來完成工作,則您的管理員會為您提供所需的憑證和許可權。
- 服務管理員:如果您負責公司中的 Amazon Q 資源,您可能擁有對 Amazon Q 的完全訪問許可權。
- IAM 管理員:如果您是 IAM 管理員,您可能需要了解如何編寫策略以管理對 Amazon Q 的訪問。
- 使用身份進行身份驗證:身份驗證是使用您的憑證登入 AWS。您需要以 root 使用者、IAM 使用者或 IAM 角色的身份登入。
- AWS 賬戶 root 使用者:建立 AWS 賬戶時,您會獲得一個具有對所有 AWS 服務和資源的完全訪問許可權的主身份。這稱為 root 使用者。
- 聯合身份:聯合身份是來自您公司目錄、網路提供商或其他身份源的使用者,他們使用提供的憑證訪問 AWS 服務。
- IAM 使用者和組:IAM 使用者是您 AWS 賬戶中的一個身份,對一個人或應用程式具有特定許可權;IAM 組是一個指定 IAM 使用者集合的身份。
- IAM 角色:IAM 角色是您 AWS 賬戶中的一個身份,具有特定許可權,但不與特定人員繫結。
- 聯合使用者訪問:要為聯合身份分配許可權,您需要建立一個角色併為該角色定義許可權。
- 臨時 IAM 使用者許可權:IAM 使用者或角色可以承擔 IAM 角色以臨時承擔不同許可權以執行特定任務。
- 跨賬戶訪問:您可以使用 IAM 角色允許不同賬戶中的某人訪問您賬戶中的資源。
- 跨服務訪問:某些 AWS 服務使用其他 AWS 服務中的功能具有跨服務訪問許可權。
- 在 Amazon EC2 上執行的應用程式:使用 IAM 角色管理 EC2 例項應用程式的臨時憑證,而不是儲存訪問金鑰。
- 使用策略管理訪問:策略是 AWS 中的一個物件,當與身份或資源關聯時,它定義了它們的許可權。透過建立策略並將其附加到身份或資源來控制對 AWS 的訪問。
- 基於身份的策略:基於身份的策略是定義許可權並可以附加到 IAM 使用者、組或角色的文件。
- 基於資源的策略:基於資源的策略是定義對特定資源(例如 IAM 角色或 Amazon S3 儲存桶)的訪問許可權的規則。
- 訪問控制列表 (ACL):ACL 決定誰可以訪問資源。它們類似於策略,但格式不同。
- 其他策略型別:AWS 支援其他不太常見的策略型別,例如許可權邊界、服務控制策略 (SCP)、會話策略。
- 多種策略型別:當應用多個規則時,很難知道允許什麼。
合規性驗證
AWS 合規性取決於資料敏感性、公司目標和法律法規。AWS 提供以下資源來幫助您實現合規性:
- 安全和合規性快速入門指南:這些指南可幫助您在 AWS 上設定安全和合規的環境。
- 在 Amazon Web Services 上實現 HIPAA 安全和合規性的架構:這篇白皮書描述了公司如何使用 AWS 建立符合 HIPAA 標準的應用程式。
- AWS 合規性資源:此合集的工作簿和指南可能適用於您的行業和地區。
- AWS 客戶合規性指南:這些指南概述了 AWS 安全最佳實踐,並符合 NIST、PCI 和 ISO 框架。
- 在 AWS Config 開發者指南中使用規則評估資源:AWS Config 服務評估您的資源配置與內部實踐、行業準則和法規的合規性程度。
- AWS Security Hub:Security Hub 可讓您全面瞭解 AWS 安全性,並檢查您是否符合行業標準。
- Amazon GuardDuty:GuardDuty 透過監控可疑活動來檢測對 AWS 資源的威脅,幫助您滿足 PCI DSS 等合規性要求。
- AWS Audit Manager:Audit Manager 可幫助您跟蹤 AWS 使用情況,從而簡化風險和合規性管理。
彈性
AWS 擁有一個具有區域和可用區的全球基礎設施。這些區域是獨立的、互聯的和冗餘的,使您可以構建高可用性、容錯和可擴充套件的應用程式,這些應用程式可以在區域之間自動切換,而不會出現停機。
基礎設施安全
Amazon Q 企業版受 AWS 全球網路安全程式保護。您可以使用 AWS 釋出的 API 呼叫透過網路訪問 Amazon Q 企業版。客戶端必須支援以下內容:
- 傳輸層安全 (TLS) 1.0 或更高版本。我們建議使用 TLS 1.2 或更高版本。
- 具有完美前向保密性 (PFS) 的密碼套件,例如 DHE(短暫 Diffie-Hellman)或 ECDHE(橢圓曲線短暫 Diffie-Hellman)。
跨服務混淆代理預防
混淆代理問題發生在特權較低的實體誘騙特權較高的實體執行其無權執行的操作時。
使用 aws:SourceArn 和完整的 ARN 或萬用字元字元 (*) 用於未知部分來防止混淆代理問題。
如果 aws:SourceArn 值不包含賬戶 ID(例如 Amazon S3 儲存桶 ARN),則必須使用兩個全域性條件上下文金鑰來限制許可權。
aws:SourceArn 的值必須是 ResourceDescription。
在 Amazon Q 企業版中使用 aws:SourceArn 和 aws:SourceAccount 全域性條件上下文金鑰來防止混淆代理問題。
{
"Version": "2012-10-17",
"Statement": {
"Sid": "ConfusedDeputyPreventionExamplePolicy",
"Effect": "Allow",
"Principal": {
"Service": "qbusiness.amazonaws.com"
},
"Action": "qbusiness:ActionName",
"Resource": [
"arn:aws:qbusiness:::ResourceName/*"
],
"Condition": {
"ArnLike": {
"aws:SourceArn": "arn:aws:qbusiness:*:123456789012:*"
},
"StringEquals": {
"aws:SourceAccount": "123456789012"
}
}
}
}
配置和漏洞分析
AWS 負責基本的安全任務,例如更新作業系統和資料庫、配置防火牆以及從災難中恢復。這些任務已由可信賴的第三方檢查和批准。
安全最佳實踐
Amazon Q 企業版提供安全功能來告知您的安全策略。請將最佳實踐作為指導原則(而不是完整的解決方案),並根據您的環境進行調整。
遵循最小許可權原則
Amazon Q 使用 IAM 角色來控制對應用程式的訪問。僅為作業賦予必要的許可權,並在應用程式發生變化時定期審查和更新許可權。
基於角色的訪問控制 (RBAC) 許可權
管理員應嚴格控制 Amazon Q 應用程式的基於角色的訪問控制 (RBAC) 許可權。