本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# Elastic Beanstalk 中的数据保护
分 AWS [担责任模型](https://aws.amazon.com/compliance/shared-responsibility-model/)适用于中的数据保护 AWS Elastic Beanstalk。如本模型所述 AWS ,负责保护运行所有内容的全球基础架构 AWS 云。您负责维护对托管在此基础结构上的内容的控制。您还负责您所使用的 AWS 服务 的安全配置和管理任务。有关数据隐私的更多信息,请参阅[数据隐私常见问题](https://aws.amazon.com/compliance/data-privacy-faq/)。有关欧洲数据保护的信息,请参阅 *AWS Security Blog* 上的 [AWS Shared Responsibility Model and GDPR](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) 博客文章。
出于数据保护目的,我们建议您保护 AWS 账户 凭证并使用 AWS IAM Identity Center 或 AWS Identity and Access Management (IAM) 设置个人用户。这样,每个用户只获得履行其工作职责所需的权限。还建议您通过以下方式保护数据:
+ 对每个账户使用多重身份验证(MFA)。
+ 用于 SSL/TLS 与 AWS 资源通信。我们要求使用 TLS 1.2,建议使用 TLS 1.3。
+ 使用设置 API 和用户活动日志 AWS CloudTrail。有关使用 CloudTrail 跟踪捕获 AWS 活动的信息,请参阅《*AWS CloudTrail 用户指南》*中的[使用跟 CloudTrail 踪](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html)。
+ 使用 AWS 加密解决方案以及其中的所有默认安全控件 AWS 服务。
+ 使用高级托管安全服务(例如 Amazon Macie),它有助于发现和保护存储在 Amazon S3 中的敏感数据。
+ 如果您在 AWS 通过命令行界面或 API 进行访问时需要经过 FIPS 140-3 验证的加密模块,请使用 FIPS 端点。有关可用的 FIPS 端点的更多信息,请参阅《美国联邦信息处理标准(FIPS)第 140-3 版》[https://aws.amazon.com/compliance/fips/](https://aws.amazon.com/compliance/fips/)。
强烈建议您切勿将机密信息或敏感信息(如您客户的电子邮件地址)放入标签或自由格式文本字段(如**名称**字段)。这包括你使用控制台、API 或与 Elastic Beanstalk AWS 服务 或其他人合作时。 AWS CLI AWS SDKs在用于名称的标签或自由格式文本字段中输入的任何数据都可能会用于计费或诊断日志。如果您向外部服务器提供 URL,强烈建议您不要在网址中包含凭证信息来验证对该服务器的请求。
有关其他 Elastic Beanstalk 安全主题,请参阅[AWS Elastic Beanstalk 安全](security.md)。
**Topics**
+ [
# 使用加密保护数据
](security-data-protection-encryption.md)
+ [
# 互联网络流量隐私
](security-data-protection-internetwork.md)
# 使用加密保护数据
您可以使用不同形式的数据加密来保护您的 Elastic Beanstalk 数据。数据保护是指*在传输*过程中(当数据往返于 Elastic Beanstalk 时*)和*静态数据(存储在数据中心时 AWS )保护数据。
## 传输中加密
您可以通过两种方式在传输过程中实现数据保护:使用安全套接字层 (SSL) 加密连接,或使用客户端加密(对象在发送之前先进行加密)。这两种方法都可有效地保护您的应用程序数据。为了保护连接,请在您的应用程序、其开发人员和管理员以及最终用户发送或接收任何对象时使用 SSL 对其进行加密。有关加密往返于您的应用程序的 Web 流量的详细信息,请参阅[为 Elastic Beanstalk 环境配置 HTTPS](configuring-https.md)。
客户端加密不是用于保护您上传的应用程序版本和源包中的源代码的有效方法。Elastic Beanstalk 需要访问这些对象,因此无法对其进行加密。因此,请确保保护开发或部署环境与 Elastic Beanstalk 之间的连接。
## 静态加密
要保护应用程序的静态数据,请了解应用程序使用的存储服务中的数据保护。例如,请参阅《Amazon RDS 用户指南》**中的 [Amazon RDS 中的数据保护](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/DataDurability.html)、《Amazon Simple Storage Service 用户指南》**中的 [Amazon S3 中的数据保护](https://docs.aws.amazon.com/AmazonS3/latest/userguide/DataDurability.html)或《Amazon Elastic File System 用户指南》**中的[在 EFS 中加密数据和元数据](https://docs.aws.amazon.com/efs/latest/ug/encryption.html)。
Elastic Beanstalk 将各种对象存储在加密的亚马逊简单存储服务 (Amazon S3) 存储桶中,该存储桶是为你创建环境的每个区域创建 AWS 的。由于 Elastic Beanstalk 保留了 Amazon S3 提供的默认加密,其会创建加密的 Amazon S3 存储桶。有关详细信息,请参阅[将 Elastic Beanstalk 和 Amazon S3 结合使用](AWSHowTo.S3.md)。您提供一些存储对象,并将它们发送到 Elastic Beanstalk,例如,应用程序版本和源包。Elastic Beanstalk 会生成其他对象,例如日志文件。除了 Elastic Beanstalk 存储的数据外,您的应用程序还 and/or 可以在其操作过程中传输存储数据。
若要保护存储在附加到您环境实例的 Amazon Elastic Block Store(Amazon EBS)卷中存储的数据,请在您的 AWS 账户和区域中默认启用 Amazon EBS 加密。启用后,所有新的 Amazon EBS 卷及其快照都将使用 AWS Key Management Service 密钥自动加密。有关更多信息,请参阅《Amazon EBS User Guide》**中的 [Encryption by default](https://docs.aws.amazon.com/ebs/latest/userguide/encryption-by-default.html)。
有关数据保护的更多信息,请参阅 *AWS 安全性博客* 上的 [AWS 责任共担模式和 GDPR](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) 博客文章。
有关其他 Elastic Beanstalk 安全主题,请参阅[AWS Elastic Beanstalk 安全](security.md)。
# 互联网络流量隐私
您可以使用 Amazon Virtual Private Cloud (Amazon VPC) 在 Elastic Beanstalk 应用程序中的资源之间创建边界,并控制它们、本地网络和 Internet 之间的流量。有关详细信息,请参阅[将 Elastic Beanstalk 和 Amazon VPC 结合使用](vpc.md)。
有关 Amazon VPC 安全性的更多信息,请参阅 *Amazon VPC 用户指南* 中的 [安全性](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Security.html)。
有关数据保护的更多信息,请参阅 *AWS 安全性博客* 上的 [AWS 责任共担模式和 GDPR](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) 博客文章。
有关其他 Elastic Beanstalk 安全主题,请参阅[AWS Elastic Beanstalk 安全](security.md)。