- Amazon Q 教程
- Amazon Q - 首页
- Amazon Q - 简介
- Amazon Q 商业用户指南
- Amazon Q 商业版 - 工作流程
- Amazon Q 商业版 - 关键概念
- Amazon Q 商业版 - 订阅层级和索引类型
- Amazon Q 商业版 - 服务配额
- Amazon Q 商业版 - 文档属性
- Amazon Q 商业版 - 设置
- Amazon Q 商业版 - Identity Center 目录
- Amazon Q 商业版 - Identity Center 集成应用程序
- Amazon Q 商业版 - Identity 联合应用程序
- Amazon Q 商业版 - 数据源连接器
- Amazon Q 商业版 - 增强应用程序
- Amazon Q 商业版 - 功能
- Amazon Q 商业版 - 安全
- Amazon Q 商业版 - 监控
- Amazon Q 商业版 API 参考
- Amazon Q 商业版 - API 概述
- Amazon Q 商业版 - API 参考
- Amazon Q 商业版 - 支持的操作
- Amazon Q 商业版 - 支持的数据类型
- Amazon Q 商业版 - 常用参数
- Amazon Q 商业版 - 常用错误
Amazon Q 开发者 - 安全
AWS 的云安全是最高优先级,安全责任由 AWS 和您共同承担。
本章我们将学习如何配置 Amazon Q 开发者以满足您的安全和合规性目标,还将学习如何使用 AWS 服务来监控和保护您的 Amazon Q 商业版资源。
数据保护
通过保护凭证并使用 IAM Identity Center 或 IAM 设置单个用户来保护您的 AWS 账户。以下是保护数据的方法:
- 为每个帐户使用多因素身份验证 (MFA)。
- 使用 SSL/TLS 与 AWS 资源通信。我们要求使用 TLS 1.2,并推荐使用 TLS 1.3。
- 使用 AWS CloudTrail 设置 API 和用户活动日志记录。
- 使用 AWS 加密解决方案以及 AWS 服务中的所有默认安全控制。
- 使用 Amazon Macie 发现和保护 Amazon S3 中的敏感数据。
- 如果您需要 FIPS 140-3 验证的加密,请在通过 CLI 或 API 访问 AWS 时使用 FIPS 端点。
身份和访问管理
IAM 身份和访问管理是 AWS 服务,可安全地控制对 AWS 资源的访问,管理身份验证和授权,无需额外费用。
- 目标用户:AWS 身份和访问管理的使用因您在 Amazon Q 中的角色和任务而异,例如:
- 服务用户:如果您使用 Amazon Q 服务来完成工作,则您的管理员会为您提供所需的凭证和权限。
- 服务管理员:如果您负责公司中的 Amazon Q 资源,您可能拥有对 Amazon Q 的完全访问权限。
- IAM 管理员:如果您是 IAM 管理员,您可能需要了解如何编写策略来管理对 Amazon Q 的访问。
- 使用身份进行身份验证:身份验证是指使用您的凭证登录 AWS。您需要以 root 用户、IAM 用户或 IAM 角色的身份登录。
- AWS 账户 root 用户:创建 AWS 账户时,您将获得一个具有对所有 AWS 服务和资源的完全访问权限的主身份。这称为 root 用户。
- 联合身份:联合身份是来自您公司目录、网络提供商或其他身份源的用户,他们使用提供的凭证访问 AWS 服务。
- IAM 用户和组:IAM 用户是您 AWS 账户中的身份,对一个人或应用程序具有特定权限;IAM 组是指定 IAM 用户集合的身份。
- IAM 角色:IAM 角色是您 AWS 账户中的身份,具有特定权限,但不与特定人员绑定。
- 联合用户访问:要为联合身份分配权限,您需要创建一个角色并为该角色定义权限。
- 临时 IAM 用户权限:IAM 用户或角色可以承担 IAM 角色以暂时承担特定任务的不同权限。
- 跨账户访问:您可以使用 IAM 角色允许不同账户中的某人访问您账户中的资源。
- 跨服务访问:一些 AWS 服务使用其他 AWS 服务的功能,具有跨服务访问。
- 在 Amazon EC2 上运行的应用程序:使用 IAM 角色管理 EC2 实例应用程序的临时凭证,而不是存储访问密钥。
- 使用策略管理访问:策略是 AWS 中的对象,当与身份或资源关联时,它定义了它们的权限。通过创建策略并将其附加到身份或资源来控制对 AWS 的访问。
- 基于身份的策略:基于身份的策略是定义权限并可以附加到 IAM 用户、组或角色的文档。
- 基于资源的策略:基于资源的策略是定义对特定资源(例如 IAM 角色或 Amazon S3 存储桶)的访问的规则。
- 访问控制列表 (ACL):ACL 决定谁可以访问资源。它们类似于策略,但格式不同。
- 其他策略类型:AWS 支持其他不太常见的策略类型,例如权限边界、服务控制策略 (SCP)、会话策略。
- 多种策略类型:当应用多个规则时,很难知道允许什么。
合规性验证
AWS 合规性取决于数据敏感性、公司目标和法律法规。AWS 提供以下资源来帮助您实现合规性:
- 安全和合规性快速入门指南:这些指南可帮助您在 AWS 上设置安全和合规的环境。
- 在 Amazon Web Services 上构建符合 HIPAA 安全性和合规性的架构:本白皮书介绍了公司如何使用 AWS 创建符合 HIPAA 标准的应用程序。
- AWS 合规性资源:此工作簿和指南集合可能适用于您的行业和地区。
- AWS 客户合规性指南:这些指南概述了 AWS 安全最佳实践,并符合 NIST、PCI 和 ISO 框架。
- 使用 AWS Config 开发者指南中的规则评估资源:AWS Config 服务评估您的资源配置在多大程度上符合内部实践、行业准则和法规。
- AWS Security Hub:Security Hub 提供您 AWS 安全的完整视图,并检查您是否符合行业标准。
弹性
AWS 拥有一个拥有区域和可用区的全球基础设施。这些区域是独立的、互连的和冗余的,允许您构建高可用性、容错和可扩展的应用程序,这些应用程序可以在区域之间自动切换而不会中断。
基础设施安全
Amazon Q 商业版受 AWS 全球网络安全程序保护。您可以使用 AWS 发布的 API 调用通过网络访问 Amazon Q 商业版。客户端必须支持以下内容:
- 传输层安全 (TLS) 1.0 或更高版本。我们建议使用 TLS 1.2 或更高版本。
- 具有完美前向保密 (PFS) 的密码套件,例如 DHE(临时 Diffie-Hellman)或 ECDHE(椭圆曲线临时 Diffie-Hellman)。
Amazon VPC 端点 (AWS PrivateLink)
接口端点是 AWS PrivateLink,用于私下访问 Amazon Q 商业版 API,无需互联网网关、NAT、VPN 或 Direct Connect。无需公共 IP 地址。
创建接口 VPC 端点
您可以使用 Amazon VPC 控制台或 AWS 命令行界面 (AWS CLI) 为 Amazon Q 商业版创建接口端点。
使用以下服务名称为 Amazon Q 商业版创建接口端点:
com.amazonaws.region.q
VPC 端点是在创建接口端点时生成的 DNS 名称,格式为 *q.us-east-1.amazonaws.com*。
广告