- Amazon Q 教程
- Amazon Q - 首頁
- Amazon Q - 簡介
- Amazon Q 商業使用者指南
- Amazon Q 商業版 - 工作流程
- Amazon Q 商業版 - 關鍵概念
- Amazon Q 商業版 - 訂閱層級和索引型別
- Amazon Q 商業版 - 服務配額
- Amazon Q 商業版 - 文件屬性
- Amazon Q 商業版 - 設定
- Amazon Q 商業版 - Identity Center 目錄
- Amazon Q 商業版 - Identity Center 整合應用程式
- Amazon Q 商業版 - Identity 聯合應用程式
- Amazon Q 商業版 - 資料來源聯結器
- Amazon Q 商業版 - 增強應用程式
- Amazon Q 商業版 - 功能
- Amazon Q 商業版 - 安全
- Amazon Q 商業版 - 監控
- Amazon Q 商業版 API 參考
- Amazon Q 商業版 - API 概述
- Amazon Q 商業版 - API 參考
- Amazon Q 商業版 - 支援的操作
- Amazon Q 商業版 - 支援的資料型別
- Amazon Q 商業版 - 常用引數
- Amazon Q 商業版 - 常用錯誤
Amazon Q 開發者 - 安全
AWS 的雲安全是最高優先順序,安全責任由 AWS 和您共同承擔。
本章我們將學習如何配置 Amazon Q 開發者以滿足您的安全和合規性目標,還將學習如何使用 AWS 服務來監控和保護您的 Amazon Q 商業版資源。
資料保護
透過保護憑證並使用 IAM Identity Center 或 IAM 設定單個使用者來保護您的 AWS 賬戶。以下是保護資料的方法:
- 為每個帳戶使用多因素身份驗證 (MFA)。
- 使用 SSL/TLS 與 AWS 資源通訊。我們要求使用 TLS 1.2,並推薦使用 TLS 1.3。
- 使用 AWS CloudTrail 設定 API 和使用者活動日誌記錄。
- 使用 AWS 加密解決方案以及 AWS 服務中的所有預設安全控制。
- 使用 Amazon Macie 發現和保護 Amazon S3 中的敏感資料。
- 如果您需要 FIPS 140-3 驗證的加密,請在透過 CLI 或 API 訪問 AWS 時使用 FIPS 端點。
身份和訪問管理
IAM 身份和訪問管理是 AWS 服務,可安全地控制對 AWS 資源的訪問,管理身份驗證和授權,無需額外費用。
- 目標使用者:AWS 身份和訪問管理的使用因您在 Amazon Q 中的角色和任務而異,例如:
- 服務使用者:如果您使用 Amazon Q 服務來完成工作,則您的管理員會為您提供所需的憑證和許可權。
- 服務管理員:如果您負責公司中的 Amazon Q 資源,您可能擁有對 Amazon Q 的完全訪問許可權。
- IAM 管理員:如果您是 IAM 管理員,您可能需要了解如何編寫策略來管理對 Amazon Q 的訪問。
- 使用身份進行身份驗證:身份驗證是指使用您的憑證登入 AWS。您需要以 root 使用者、IAM 使用者或 IAM 角色的身份登入。
- AWS 賬戶 root 使用者:建立 AWS 賬戶時,您將獲得一個具有對所有 AWS 服務和資源的完全訪問許可權的主身份。這稱為 root 使用者。
- 聯合身份:聯合身份是來自您公司目錄、網路提供商或其他身份源的使用者,他們使用提供的憑證訪問 AWS 服務。
- IAM 使用者和組:IAM 使用者是您 AWS 賬戶中的身份,對一個人或應用程式具有特定許可權;IAM 組是指定 IAM 使用者集合的身份。
- IAM 角色:IAM 角色是您 AWS 賬戶中的身份,具有特定許可權,但不與特定人員繫結。
- 聯合使用者訪問:要為聯合身份分配許可權,您需要建立一個角色併為該角色定義許可權。
- 臨時 IAM 使用者許可權:IAM 使用者或角色可以承擔 IAM 角色以暫時承擔特定任務的不同許可權。
- 跨賬戶訪問:您可以使用 IAM 角色允許不同賬戶中的某人訪問您賬戶中的資源。
- 跨服務訪問:一些 AWS 服務使用其他 AWS 服務的功能,具有跨服務訪問。
- 在 Amazon EC2 上執行的應用程式:使用 IAM 角色管理 EC2 例項應用程式的臨時憑證,而不是儲存訪問金鑰。
- 使用策略管理訪問:策略是 AWS 中的物件,當與身份或資源關聯時,它定義了它們的許可權。透過建立策略並將其附加到身份或資源來控制對 AWS 的訪問。
- 基於身份的策略:基於身份的策略是定義許可權並可以附加到 IAM 使用者、組或角色的文件。
- 基於資源的策略:基於資源的策略是定義對特定資源(例如 IAM 角色或 Amazon S3 儲存桶)的訪問的規則。
- 訪問控制列表 (ACL):ACL 決定誰可以訪問資源。它們類似於策略,但格式不同。
- 其他策略型別:AWS 支援其他不太常見的策略型別,例如許可權邊界、服務控制策略 (SCP)、會話策略。
- 多種策略型別:當應用多個規則時,很難知道允許什麼。
合規性驗證
AWS 合規性取決於資料敏感性、公司目標和法律法規。AWS 提供以下資源來幫助您實現合規性:
- 安全和合規性快速入門指南:這些指南可幫助您在 AWS 上設定安全和合規的環境。
- 在 Amazon Web Services 上構建符合 HIPAA 安全性和合規性的架構:本白皮書介紹了公司如何使用 AWS 建立符合 HIPAA 標準的應用程式。
- AWS 合規性資源:此工作簿和指南集合可能適用於您的行業和地區。
- AWS 客戶合規性指南:這些指南概述了 AWS 安全最佳實踐,並符合 NIST、PCI 和 ISO 框架。
- 使用 AWS Config 開發者指南中的規則評估資源:AWS Config 服務評估您的資源配置在多大程度上符合內部實踐、行業準則和法規。
- AWS Security Hub:Security Hub 提供您 AWS 安全的完整檢視,並檢查您是否符合行業標準。
彈性
AWS 擁有一個擁有區域和可用區的全球基礎設施。這些區域是獨立的、互連的和冗餘的,允許您構建高可用性、容錯和可擴充套件的應用程式,這些應用程式可以在區域之間自動切換而不會中斷。
基礎設施安全
Amazon Q 商業版受 AWS 全球網路安全程式保護。您可以使用 AWS 釋出的 API 呼叫透過網路訪問 Amazon Q 商業版。客戶端必須支援以下內容:
- 傳輸層安全 (TLS) 1.0 或更高版本。我們建議使用 TLS 1.2 或更高版本。
- 具有完美前向保密 (PFS) 的密碼套件,例如 DHE(臨時 Diffie-Hellman)或 ECDHE(橢圓曲線臨時 Diffie-Hellman)。
Amazon VPC 端點 (AWS PrivateLink)
介面端點是 AWS PrivateLink,用於私下訪問 Amazon Q 商業版 API,無需網際網路閘道器、NAT、VPN 或 Direct Connect。無需公共 IP 地址。
建立介面 VPC 端點
您可以使用 Amazon VPC 控制檯或 AWS 命令列介面 (AWS CLI) 為 Amazon Q 商業版建立介面端點。
使用以下服務名稱為 Amazon Q 商業版建立介面端點:
com.amazonaws.region.q
VPC 端點是在建立介面端點時生成的 DNS 名稱,格式為 *q.us-east-1.amazonaws.com*。
廣告