# 自社のオペレーターからデータを分離する AWS Nitro System には、[ゼロオペレーターがアクセス](https://docs.aws.amazon.com/whitepapers/latest/security-design-of-aws-nitro-system/no-aws-operator-access.html)があります。AWS システムまたはユーザーが Amazon EC2 Nitro ホストにログインしたり、EC2 インスタンスのメモリにアクセスしたり、ローカルの暗号化されたインスタンスストレージまたはリモートの暗号化された Amazon EBS ボリュームに保存されている顧客データにアクセスしたりするためのメカニズムはありません。 高度の機密データを処理するときは、自社のオペレーターでも EC2 インスタンスにアクセスできないようにして、そのデータへのアクセスを制限することを検討してください。 分離されたコンピューティング環境を提供するように設定されたカスタム構成証明可能 AMI を作成できます。AMI の設定は、ワークロードとアプリケーションの要件によって異なります。AMI を構築して分離されたコンピューティング環境を作成するときは、以下のベストプラクティスを考慮してください。 + オペレーターまたはユーザーがインスタンスにアクセスできないように、**すべてのインタラクティブアクセスを削除**します。 + **信頼できるソフトウェアとコードのみ**が AMI に含まれているようにします。 + アクセスをブロックするようにインスタンス内の**ネットワークファイアウォールを設定**します。 + すべてのストレージおよびファイルシステムを**読み取り専用かつイミュータブルな状態**にします。 + 認証され、認可され、ログに記録された API コールに**インスタンスへのアクセスを制限**します。