AWS Serverless 保護您的傳輸中和靜態資料
保護您的傳輸中和靜態資料
保護資料的首要步驟是加密。
這樣做的原因是,URL 引數(如請求路徑和查詢字串)並非總是加密的。
加密是將明文資料轉換為不可讀格式的過程。
如果您使用標準輸出寫入日誌,則會面臨暴露未加密敏感資料的風險。
在處理敏感資料之前,應對其進行加密,以維護端到端加密。
此外,避免在 HTTP 請求路徑/查詢字串中傳送或儲存未加密的敏感資料。
請記住,您負責輸入和輸出。
要保護 Lambda 函式的安全,請使用具有有限範圍的 IAM 許可權和角色。
建立完成特定任務的小型函式,並且不要共享 IAM 角色。
使用 IAM 角色在服務之間授予許可權。
保護您的傳輸中和靜態資料影片
W3schools.com 與 Amazon Web Services 合作,為我們的學生提供數字培訓內容。
資料保護最佳實踐
要加密資料,您可以使用 AWS Key Management Service (KMS)。
此外,您可以依賴無伺服器資料保護的最佳實踐。
- 瞭解如何使用 AWS 託管服務來減輕您的安全負擔。
- 在分散式系統的每個整合點都要考慮安全性。
- 使用 IAM 許可權和角色限制對 Lambda 函式和其他 AWS 服務的訪問。
- 建立執行範圍活動的較小的 Lambda 函式。
- 不要在函式之間共享 IAM 角色。
- 使用環境變數或 AWS Secrets Manager 將資料傳遞給 Lambda 函式。
避免在 HTTP 請求中傳送或儲存未加密的敏感資料。
此外,避免在 Lambda 函式的標準輸出中傳送或儲存未加密的敏感資料。
資料加密選項摘要
下表顯示了 AWS 資料儲存的加密選項。
資料儲存 | 靜態資料加密 |
---|---|
Amazon S3 | |
使用以下選項配置伺服器端加密: | |
1. Amazon S3 管理的金鑰 | |
2. 儲存在 AWS Key Management Service (KMS) 中的客戶主金鑰 (CMKs) | |
3. 客戶提供的金鑰 | |
Amazon DynamoDB | |
靜態資料,使用儲存在 AWS KMS 中的加密金鑰進行保護。 | |
建立表時,您可以使用 AWS 服務金鑰或客戶控制的金鑰。 | |
Amazon ElastiCache for Redis | 透過 AWS KMS 可選加密,使用 AWS 管理的金鑰或客戶提供的金鑰。 |
相關閱讀
使用伺服器端加密 (SSE) 和 AWS KMS 保護 Amazon SQS 資料Amazon SNS 新增伺服器端加密 (SSE)