- Amazon Q 教程
- Amazon Q - 首页
- Amazon Q - 简介
- Amazon Q 企业版用户指南
- Amazon Q 企业版 - 工作流程
- Amazon Q 企业版 - 关键概念
- Amazon Q 企业版 - 订阅层级和索引类型
- Amazon Q 企业版 - 服务配额
- Amazon Q 企业版 - 文档属性
- Amazon Q 企业版 - 设置
- Amazon Q 企业版 - Identity Center 目录
- Amazon Q 企业版 - Identity Center 集成应用程序
- Amazon Q 企业版 - Identity 联合身份验证应用程序
- Amazon Q 企业版 - 数据源连接器
- Amazon Q 企业版 - 增强应用程序
- Amazon Q 企业版 - 功能
- Amazon Q 企业版 - 安全
- Amazon Q 企业版 - 监控
- Amazon Q 企业版 API 参考
- Amazon Q 企业版 - API 概述
- Amazon Q 企业版 - API 参考
- Amazon Q 企业版 - 支持的操作
- Amazon Q 企业版 - 支持的数据类型
- Amazon Q 企业版 - 常用参数
- Amazon Q 企业版 - 常用错误
Amazon Q 企业版 - 安全
AWS 的云安全是最高优先级,安全责任由 AWS 和您共同承担。
在本章中,我们将学习如何配置 Amazon Q 企业版以满足您的安全和合规性目标,您还将学习如何使用 AWS 服务来监控和保护您的 Amazon Q 企业版资源。
数据保护
通过保护凭证并使用 IAM Identity Center 或 IAM 设置单个用户来保护您的 AWS 账户。以下是保护数据的方法:
- 为每个账户使用多因素身份验证 (MFA)。
- 使用 SSL/TLS 与 AWS 资源通信。我们要求使用 TLS 1.2,并推荐使用 TLS 1.3。
- 使用 AWS CloudTrail 设置 API 和用户活动日志。
- 使用 AWS 加密解决方案以及 AWS 服务中的所有默认安全控制。
- 使用 Amazon Macie 发现和保护 Amazon S3 中的敏感数据。
- 如果您需要 FIPS 140-3 验证的加密,请在通过 CLI 或 API 访问 AWS 时使用 FIPS 端点。
Amazon VPC 端点 (AWS PrivateLink)
接口端点是 AWS PrivateLink,用于私下访问 Amazon Q 企业版 API,无需互联网网关、NAT、VPN 或 Direct Connect。无需公共 IP 地址。
创建接口 VPC 端点
您可以使用 Amazon VPC 控制台或 AWS 命令行界面 (AWS CLI) 为 Amazon Q 企业版创建接口端点。
使用以下服务名称为 Amazon Q 企业版创建接口端点:
aws.api.region.qbusiness
创建 VPC 端点后,使用包含 endpoint-url 参数的 AWS CLI 命令指定 Amazon Q 企业版 API 的接口端点。
aws qbusiness list-applications --endpoint-url https://VPC endpoint
VPC 端点是在创建接口端点时生成的 DNS 名称,格式为 *vpce-{ID}-{REGION}.qbusiness.{REGION}.vpce.amazonaws.com*。
启用私有 DNS 以使用其默认区域 DNS 名称(例如,*qbusiness.{REGION}.api.aws*)向 Amazon Q 企业版发出 API 请求。
创建 VPC 端点策略
端点策略是您可以附加到接口端点的 IAM 资源。端点策略指定以下信息:
- 可以执行操作的主体/授权用户(AWS 账户、IAM 用户和 IAM 角色)
- 可以执行的操作
- 可以对哪些资源执行操作。
示例:Amazon Q 企业版操作的 VPC 端点策略。
{
"Statement":[
{
"Principal":"*",
"Effect":"Allow",
"Action":[
"qbusiness:*"
],
"Resource":"*"
}
]
}
身份与访问管理
IAM 身份和访问管理是一项 AWS 服务,可安全地控制对 AWS 资源的访问,管理身份验证和授权,无需额外费用。
- 目标用户:AWS 身份和访问管理的使用方式取决于您在 Amazon Q 中的角色和任务,例如:
- 服务用户:如果您使用 Amazon Q 服务来完成工作,则您的管理员会为您提供所需的凭证和权限。
- 服务管理员:如果您负责公司中的 Amazon Q 资源,您可能拥有对 Amazon Q 的完全访问权限。
- IAM 管理员:如果您是 IAM 管理员,您可能需要了解如何编写策略以管理对 Amazon Q 的访问。
- 使用身份进行身份验证:身份验证是使用您的凭证登录 AWS。您需要以 root 用户、IAM 用户或 IAM 角色的身份登录。
- AWS 账户 root 用户:创建 AWS 账户时,您会获得一个具有对所有 AWS 服务和资源的完全访问权限的主身份。这称为 root 用户。
- 联合身份:联合身份是来自您公司目录、网络提供商或其他身份源的用户,他们使用提供的凭证访问 AWS 服务。
- IAM 用户和组:IAM 用户是您 AWS 账户中的一个身份,对一个人或应用程序具有特定权限;IAM 组是一个指定 IAM 用户集合的身份。
- IAM 角色:IAM 角色是您 AWS 账户中的一个身份,具有特定权限,但不与特定人员绑定。
- 联合用户访问:要为联合身份分配权限,您需要创建一个角色并为该角色定义权限。
- 临时 IAM 用户权限:IAM 用户或角色可以承担 IAM 角色以临时承担不同权限以执行特定任务。
- 跨账户访问:您可以使用 IAM 角色允许不同账户中的某人访问您账户中的资源。
- 跨服务访问:某些 AWS 服务使用其他 AWS 服务中的功能具有跨服务访问权限。
- 在 Amazon EC2 上运行的应用程序:使用 IAM 角色管理 EC2 实例应用程序的临时凭证,而不是存储访问密钥。
- 使用策略管理访问:策略是 AWS 中的一个对象,当与身份或资源关联时,它定义了它们的权限。通过创建策略并将其附加到身份或资源来控制对 AWS 的访问。
- 基于身份的策略:基于身份的策略是定义权限并可以附加到 IAM 用户、组或角色的文档。
- 基于资源的策略:基于资源的策略是定义对特定资源(例如 IAM 角色或 Amazon S3 存储桶)的访问权限的规则。
- 访问控制列表 (ACL):ACL 决定谁可以访问资源。它们类似于策略,但格式不同。
- 其他策略类型:AWS 支持其他不太常见的策略类型,例如权限边界、服务控制策略 (SCP)、会话策略。
- 多种策略类型:当应用多个规则时,很难知道允许什么。
合规性验证
AWS 合规性取决于数据敏感性、公司目标和法律法规。AWS 提供以下资源来帮助您实现合规性:
- 安全和合规性快速入门指南:这些指南可帮助您在 AWS 上设置安全和合规的环境。
- 在 Amazon Web Services 上实现 HIPAA 安全和合规性的架构:这篇白皮书描述了公司如何使用 AWS 创建符合 HIPAA 标准的应用程序。
- AWS 合规性资源:此合集的工作簿和指南可能适用于您的行业和地区。
- AWS 客户合规性指南:这些指南概述了 AWS 安全最佳实践,并符合 NIST、PCI 和 ISO 框架。
- 在 AWS Config 开发者指南中使用规则评估资源:AWS Config 服务评估您的资源配置与内部实践、行业准则和法规的合规性程度。
- AWS Security Hub:Security Hub 可让您全面了解 AWS 安全性,并检查您是否符合行业标准。
- Amazon GuardDuty:GuardDuty 通过监控可疑活动来检测对 AWS 资源的威胁,帮助您满足 PCI DSS 等合规性要求。
- AWS Audit Manager:Audit Manager 可帮助您跟踪 AWS 使用情况,从而简化风险和合规性管理。
弹性
AWS 拥有一个具有区域和可用区的全球基础设施。这些区域是独立的、互联的和冗余的,使您可以构建高可用性、容错和可扩展的应用程序,这些应用程序可以在区域之间自动切换,而不会出现停机。
基础设施安全
Amazon Q 企业版受 AWS 全球网络安全程序保护。您可以使用 AWS 发布的 API 调用通过网络访问 Amazon Q 企业版。客户端必须支持以下内容:
- 传输层安全 (TLS) 1.0 或更高版本。我们建议使用 TLS 1.2 或更高版本。
- 具有完美前向保密性 (PFS) 的密码套件,例如 DHE(短暂 Diffie-Hellman)或 ECDHE(椭圆曲线短暂 Diffie-Hellman)。
跨服务混淆代理预防
混淆代理问题发生在特权较低的实体诱骗特权较高的实体执行其无权执行的操作时。
使用 aws:SourceArn 和完整的 ARN 或通配符字符 (*) 用于未知部分来防止混淆代理问题。
如果 aws:SourceArn 值不包含账户 ID(例如 Amazon S3 存储桶 ARN),则必须使用两个全局条件上下文密钥来限制权限。
aws:SourceArn 的值必须是 ResourceDescription。
在 Amazon Q 企业版中使用 aws:SourceArn 和 aws:SourceAccount 全局条件上下文密钥来防止混淆代理问题。
{
"Version": "2012-10-17",
"Statement": {
"Sid": "ConfusedDeputyPreventionExamplePolicy",
"Effect": "Allow",
"Principal": {
"Service": "qbusiness.amazonaws.com"
},
"Action": "qbusiness:ActionName",
"Resource": [
"arn:aws:qbusiness:::ResourceName/*"
],
"Condition": {
"ArnLike": {
"aws:SourceArn": "arn:aws:qbusiness:*:123456789012:*"
},
"StringEquals": {
"aws:SourceAccount": "123456789012"
}
}
}
}
配置和漏洞分析
AWS 负责基本的安全任务,例如更新操作系统和数据库、配置防火墙以及从灾难中恢复。这些任务已由可信赖的第三方检查和批准。
安全最佳实践
Amazon Q 企业版提供安全功能来告知您的安全策略。请将最佳实践作为指导原则(而不是完整的解决方案),并根据您的环境进行调整。
遵循最小权限原则
Amazon Q 使用 IAM 角色来控制对应用程序的访问。仅为作业赋予必要的权限,并在应用程序发生变化时定期审查和更新权限。
基于角色的访问控制 (RBAC) 权限
管理员应严格控制 Amazon Q 应用程序的基于角色的访问控制 (RBAC) 权限。