# 事件检测及响应服务安全性与韧性
<a name="security-idr"></a>

[AWS 责任共担模式](https://aws.amazon.com/compliance/shared-responsibility-model/)会应用于 支持 中的数据保护。如该模式中所述，AWS 负责保护运行所有 AWS 云 的全球基础结构。您负责维护对托管在此基础架构上的内容的控制。此内容包括您所使用的 AWS 服务 的安全配置和管理任务。

有关数据隐私的更多信息，请参阅[数据隐私常见问题](https://aws.amazon.com/compliance/data-privacy-faq)。

有关欧洲数据保护的信息，请参阅 AWS 安全性博客上的博客文章 [AWS Shared Responsibility Model and GDPR](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/)。

出于数据保护目的，我们建议您保护AWS账户凭证并使用 AWS Identity and Access Management (IAM) 设置单独的用户账户。这仅向每个用户授予履行其工作职责所需的权限。我们还建议您通过以下方式保护数据：
+ 对每个账户使用多重身份验证（MFA）。
+ 使用安全套接字层/传输层安全性（SSL/TLS）证书与 AWS 资源通信。建议使用 TLS 1.2 或更高版本。如欲了解相关信息，请参阅[什么是 SSL/TLS 证书？](https://aws.amazon.com/what-is/ssl-certificate/)。
+ 使用 AWS CloudTrail 设置 API 和用户活动日记账记录。有关信息，请参阅。[AWS CloudTrail](https://aws.amazon.com/cloudtrail/)
+ 使用 AWS 加密解决方案以及 AWS 服务中的所有默认安全控制。
+ 使用高级托管安全服务（例如 Amazon Macie），它有助于发现和保护存储在 Amazon S3 中的个人数据。有关 Amazon Macie 的信息，请参阅 [Amazon Macie](https://aws.amazon.com/macie/)。
+ 如果在通过命令行界面或 API 访问 AWS 时需要经过 FIPS 140-2 验证的加密模块，请使用 FIPS 端点。有关可用的 FIPS 端点的信息，请参阅 [Federal Information Processing Standard (FIPS) 140-2](https://aws.amazon.com/compliance/fips/)。

我们强烈建议您切勿将机密信息或敏感信息（例如您客户的电子邮件地址）放入标签或自由格式字段（例如**名称**字段）。这包括使用控制台、API、AWS CLI 或 AWS SDK 处理 支持 或其它 AWS 服务时。您在用于名称的标签或自由格式字段中输入的任何数据都可能会用于计费或诊断日志。当您向外部服务器提供 URL 时，强烈建议您不要在 URL 中包含凭证信息来验证您对该服务器的请求。

## AWS 事件检测及响应服务对您账户的访问权限
<a name="idr-sec-access"></a>

AWS Identity and Access Management (IAM) 是一种 Web 服务，可以帮助您安全地控制对 AWS 资源的访问。可以使用 IAM 来控制谁通过了身份验证（准许登录）并获得授权（具有相应权限）来使用资源。

## AWS 事件检测及响应服务和您的警报数据
<a name="idr-sec-alarms"></a>

默认情况下，事件检测及响应服务会收到您账户中每个 CloudWatch 警报的 Amazon 资源名称（ARN）和状态，然后在您加入的警报变为“警报”状态时启动事件检测及响应流程。如果您想自定义事件检测及响应服务从您账户接收有关警报的哪些信息，请联系您的技术客户经理。