AWS Serverless 保护您的传输中和静态数据
保护您的传输中和静态数据
保护数据的首要步骤是加密。
这样做的原因是,URL 参数(如请求路径和查询字符串)并非总是加密的。
加密是将明文数据转换为不可读格式的过程。
如果您使用标准输出写入日志,则会面临暴露未加密敏感数据的风险。
在处理敏感数据之前,应对其进行加密,以维护端到端加密。
此外,避免在 HTTP 请求路径/查询字符串中发送或存储未加密的敏感数据。
请记住,您负责输入和输出。
要保护 Lambda 函数的安全,请使用具有有限范围的 IAM 权限和角色。
创建完成特定任务的小型函数,并且不要共享 IAM 角色。
使用 IAM 角色在服务之间授予权限。
保护您的传输中和静态数据视频
W3schools.com 与 Amazon Web Services 合作,为我们的学生提供数字培训内容。
数据保护最佳实践
要加密数据,您可以使用 AWS Key Management Service (KMS)。
此外,您可以依赖无服务器数据保护的最佳实践。
- 了解如何使用 AWS 托管服务来减轻您的安全负担。
- 在分布式系统的每个集成点都要考虑安全性。
- 使用 IAM 权限和角色限制对 Lambda 函数和其他 AWS 服务的访问。
- 创建执行范围活动的较小的 Lambda 函数。
- 不要在函数之间共享 IAM 角色。
- 使用环境变量或 AWS Secrets Manager 将数据传递给 Lambda 函数。
避免在 HTTP 请求中发送或存储未加密的敏感数据。
此外,避免在 Lambda 函数的标准输出中发送或存储未加密的敏感数据。
数据加密选项摘要
下表显示了 AWS 数据存储的加密选项。
| 数据存储 | 静态数据加密 |
|---|---|
| Amazon S3 | |
| 使用以下选项配置服务器端加密: | |
| 1. Amazon S3 管理的密钥 | |
| 2. 存储在 AWS Key Management Service (KMS) 中的客户主密钥 (CMKs) | |
| 3. 客户提供的密钥 | |
| Amazon DynamoDB | |
| 静态数据,使用存储在 AWS KMS 中的加密密钥进行保护。 | |
| 创建表时,您可以使用 AWS 服务密钥或客户控制的密钥。 | |
| Amazon ElastiCache for Redis | 通过 AWS KMS 可选加密,使用 AWS 管理的密钥或客户提供的密钥。 |
相关阅读
使用服务器端加密 (SSE) 和 AWS KMS 保护 Amazon SQS 数据Amazon SNS 添加服务器端加密 (SSE)
