本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# Amazon Braket 的安全性
的雲端安全性 AWS 是最高優先順序。身為 AWS 客戶,您可以受益於資料中心和網路架構,這些架構是為了滿足最安全敏感組織的需求而建置。
安全性是 AWS 與您之間的共同責任。[共同責任模式](https://aws.amazon.com/compliance/shared-responsibility-model/)將其描述為雲端*的*安全性,和雲端*中*的安全性:
+ **雲端的安全性** – AWS 負責保護在 中執行 AWS 服務的基礎設施 AWS 雲端。 AWS 也為您提供可安全使用的服務。作為[AWS 合規計畫](https://aws.amazon.com/compliance/programs/)的一部分,第三方稽核人員會定期測試和驗證我們安全的有效性。若要了解適用於 Amazon Braket 的合規計劃,請參閱[AWS 合規計劃的 服務範圍](https://aws.amazon.com/compliance/services-in-scope/)。
+ **雲端的安全性** – 您的責任取決於您使用 AWS 的服務。您也必須對其他因素負責,包括資料的機密性、您公司的要求和適用法律和法規。
本文件可協助您了解如何在使用 Braket 時套用共同責任模型。下列主題說明如何設定 Braket 以符合您的安全與合規目標。您也會了解如何使用其他 AWS 服務來協助您監控和保護 Braket 資源。
**Topics**
+ [共同承擔安全責任](#braket-shared-security)
+ [資料保護](#braket-data-protection)
+ [資料保留](#braket-data-retention)
+ [管理對 Amazon Braket 的存取](braket-manage-access.md)
+ [Amazon Braket 服務連結角色](braket-slr.md)
+ [Amazon Braket 的合規驗證](compliance-validation.md)
+ [Amazon Braket 中的基礎設施安全性](infrastructure-security.md)
+ [Amazon Braket 硬體供應商的安全性](third-party-security.md)
+ [Amazon Braket 的 Amazon VPC 端點](braket-privatelink.md)
## 共同承擔安全責任
安全性是 AWS 與您之間的共同責任。[共同責任模型](https://aws.amazon.com/compliance/shared-responsibility-model/) 將此描述為雲端*的*安全和雲端*內*的安全:
+ **雲端的安全性** – AWS 負責保護在 AWS 服務 中執行的基礎設施 AWS 雲端。 AWS 也為您提供可安全使用的服務。在 [AWS 合規計劃](https://aws.amazon.com/compliance/programs/)中,第三方稽核員會定期測試並驗證我們的安全功效。若要了解適用於 Amazon Braket 的合規計劃,請參閱[AWS 合規計劃範圍內的服務](https://aws.amazon.com/compliance/services-in-scope/)。
+ **雲端安全** – 您需負責控制在此 AWS 基礎設施上託管的內容。此內容包含 AWS 服務 您使用之 的安全組態和管理任務。
## 資料保護
AWS [共同責任模型](https://aws.amazon.com/compliance/shared-responsibility-model/)適用於 Amazon Braket 中的資料保護。如此模型所述, AWS 負責保護執行所有 的全域基礎設施 AWS 雲端。您負責維護在此基礎設施上託管內容的控制權。您也同時負責所使用 AWS 服務 的安全組態和管理任務。如需資料隱私權的詳細資訊,請參閱[資料隱私權常見問答集](https://aws.amazon.com/compliance/data-privacy-faq/)。如需有關歐洲資料保護的相關資訊,請參閱*AWS 安全性部落格*上的[AWS 共同責任模型和 GDPR](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) 部落格文章。
基於資料保護目的,我們建議您保護 AWS 帳戶 登入資料,並使用 AWS IAM Identity Center 或 AWS Identity and Access Management (IAM) 設定個別使用者。如此一來,每個使用者都只會獲得授與完成其任務所必須的許可。我們也建議您採用下列方式保護資料:
+ 每個帳戶均要使用多重要素驗證 (MFA)。
+ 使用 SSL/TLS 與 AWS 資源通訊。我們需要 TLS 1.2 並建議使用 TLS 1.3。
+ 使用 設定 API 和使用者活動記錄 AWS CloudTrail。如需有關使用 CloudTrail 追蹤擷取 AWS 活動的資訊,請參閱*AWS CloudTrail 《 使用者指南*》中的[使用 CloudTrail 追蹤](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html)。
+ 使用 AWS 加密解決方案,以及其中的所有預設安全控制 AWS 服務。
+ 使用進階的受管安全服務 (例如 Amazon Macie),協助探索和保護儲存在 Amazon S3 的敏感資料。
+ 如果您在 AWS 透過命令列界面或 API 存取 時需要 FIPS 140-3 驗證的密碼編譯模組,請使用 FIPS 端點。如需有關 FIPS 和 FIPS 端點的更多相關資訊,請參閱[聯邦資訊處理標準 (FIPS) 140-3](https://aws.amazon.com/compliance/fips/)。
我們強烈建議您絕對不要將客戶的電子郵件地址等機密或敏感資訊,放在標籤或自由格式的文字欄位中,例如**名稱**欄位。這包括當您使用 Amazon Braket 或使用主控台、API AWS CLI或 AWS SDKs的其他 AWS 服務 時。您在標籤或自由格式文字欄位中輸入的任何資料都可能用於計費或診斷日誌。如果您提供外部伺服器的 URL,我們強烈建議請勿在驗證您對該伺服器請求的 URL 中包含憑證資訊。
## 資料保留
90 天後,Amazon Braket 會自動移除與量子任務相關聯的所有量子任務 IDs 和其他中繼資料。由於此資料保留政策,這些任務和結果無法再透過從 Amazon Braket 主控台進行搜尋來擷取,但會保留在您的 S3 儲存貯體中。
如果您需要存取存放在 S3 儲存貯體中超過 90 天的歷史量子任務和結果,您必須單獨記錄任務 ID 和與該資料相關聯的其他中繼資料。請務必在 90 天前儲存資訊。您可以使用儲存的資訊來擷取歷史資料。
# 管理對 Amazon Braket 的存取
本章說明執行 Amazon Braket 或限制特定使用者和角色存取所需的許可。您可以授予 (或拒絕) 帳戶中任何使用者或角色所需的許可。若要這樣做,請將適當的 Amazon Braket 政策連接到您帳戶中的該使用者或角色,如以下各節所述。
作為先決條件,您必須[啟用 Amazon Braket](https://docs.aws.amazon.com/braket/latest/developerguide/braket-enable-overview.html)。若要啟用 Braket,請務必以具有 (1) 管理員許可或 (2) 獲指派 **AmazonBraketFullAccess** 政策的使用者或角色身分登入,並具有建立 Amazon Simple Storage Service (Amazon S3) 儲存貯體的許可。
**Topics**
+ [Amazon Braket 資源](#resources)
+ [筆記本和角色](#notebooks-and-roles)
+ [AWS Amazon Braket 的 受管政策](security-iam-aws-managed-policies.md)
+ [限制使用者存取特定裝置](restrict-access.md)
+ [限制使用者存取特定筆記本執行個體](restrict-access-notebook-instances.md)
+ [限制使用者存取特定 S3 儲存貯體](restrict-access-s3-buckets.md)
## Amazon Braket 資源
Braket 會建立一種資源類型:*quantum-task* 資源。此 AWS 資源類型的資源名稱 (ARN) 如下所示:
+ **資源名稱:***AWS:Service::Braket*
+ **ARN Regex:***arn:\$1\$1Partition\$1:braket:\$1\$1Region\$1:\$1\$1Account\$1:quantum-task/\$1\$1RandomId\$1*
## 筆記本和角色
您可以在 Braket 中使用 noteboook 資源類型。筆記本是 Braket 可以共用的 Amazon SageMaker AI 資源。若要搭配 Braket 使用筆記本,您必須指定名稱開頭為 的 IAM 角色`AmazonBraketServiceSageMakerNotebook`。
若要建立筆記本,您必須使用具有管理員許可或具有下列內嵌政策的角色。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "CreateTheRole",
"Effect": "Allow",
"Action": "iam:CreateRole",
"Resource": "arn:aws:iam::*:role/service-role/AmazonBraketServiceSageMakerNotebookRole*"
},
{
"Sid": "CreateThePolicy",
"Effect": "Allow",
"Action": "iam:CreatePolicy",
"Resource": [
"arn:aws:iam::*:policy/service-role/AmazonBraketServiceSageMakerNotebookAccess*",
"arn:aws:iam::*:policy/service-role/AmazonBraketServiceSageMakerNotebookRole*"
]
},
{
"Sid": "AttachTheRolePolicy",
"Effect": "Allow",
"Action": "iam:AttachRolePolicy",
"Resource": "arn:aws:iam::*:role/service-role/AmazonBraketServiceSageMakerNotebookRole*",
"Condition": {
"ArnLike": {
"iam:PolicyARN": [
"arn:aws:iam::aws:policy/AmazonBraketFullAccess",
"arn:aws:iam::*:policy/service-role/AmazonBraketServiceSageMakerNotebookAccess*",
"arn:aws:iam::*:policy/service-role/AmazonBraketServiceSageMakerNotebookRole*"
]
}
}
}
]
}
```
------
若要建立角色,請遵循[建立筆記本](https://docs.aws.amazon.com/braket/latest/developerguide/braket-get-started-create-notebook.html)頁面中提供的步驟,或讓您的管理員為您建立。確定已連接 **AmazonBraketFullAccess** 政策。
建立角色之後,您可以為未來啟動的所有筆記本重複使用該角色。
# AWS Amazon Braket 的 受管政策
AWS 受管政策是由 AWS AWS 受管政策建立和管理的獨立政策旨在為許多常用案例提供許可,以便您可以開始將許可指派給使用者、群組和角色。
請記住, AWS 受管政策可能不會授予特定使用案例的最低權限許可,因為這些許可可供所有 AWS 客戶使用。我們建議您定義特定於使用案例的[客戶管理政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies),以便進一步減少許可。
您無法變更 AWS 受管政策中定義的許可。如果 AWS 更新受 AWS 管政策中定義的許可,則更新會影響政策連接的所有主體身分 (使用者、群組和角色)。當新的 AWS 服務 啟動或新的 API 操作可用於現有服務時, AWS 最有可能更新 AWS 受管政策。
如需詳細資訊,請參閱 *IAM 使用者指南*中的 [AWS 受管政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)。
**Topics**
+ [AWS 受管政策:AmazonBraketFullAccess](#about-amazonbraketfullaccess)
+ [AWS 受管政策:AmazonBraketJobsExecutionPolicy](#about-amazonbraketjobsexecution)
+ [AWS 受管政策:AmazonBraketServiceRolePolicy](#about-amazonbraketservicerolepolicy)
+ [AWS 受管政策的 Amazon Braket 更新](#braket-aws-managed-policy-updates)
## AWS 受管政策:AmazonBraketFullAccess
**AmazonBraketFullAccess** 政策會授予 Amazon Braket 操作的許可,包括這些任務的許可:
+ **從 Amazon Elastic Container Registry 下載容器** – 讀取和下載用於 Amazon Braket Hybrid Jobs 功能的容器映像。容器必須符合格式 "arn:aws:ecr::repository/amazon-braket"。
+ **保留 AWS CloudTrail 日誌**:針對所有*描述*、*取得*和*列出*除了開始和停止查詢、測試指標篩選條件和篩選日誌事件以外的動作。 AWS CloudTrail 日誌檔案包含您帳戶中發生的所有 Amazon Braket API活動記錄。
+ **利用角色來控制資源** – 在帳戶中建立服務連結角色。服務連結角色可以代表您存取 AWS 資源。它只能由 Amazon Braket 服務使用。此外,將 IAM 角色傳遞至 Amazon Braket `CreateJob`API並建立角色,並將範圍為 AmazonBraketFullAccess 的政策連接至角色。
+ **建立日誌群組、日誌事件和查詢日誌群組,以維護帳戶的用量日誌檔案** – 建立、存放和檢視帳戶中 Amazon Braket 用量的記錄資訊。查詢混合任務日誌群組上的指標。包含適當的 Braket 路徑,並允許放置日誌資料。在 CloudWatch 中放置指標資料。
+ 在 **Amazon S3 儲存貯體中建立和存放資料,並列出所有儲存貯體** – 若要建立 S3 儲存貯體,請列出您帳戶中的 S3 儲存貯體,並將物件放入您帳戶中名稱開頭為 *amazon-braket- *的任何儲存貯體,並從中取得物件。Braket 需要這些許可,才能將包含已處理量子任務結果的檔案放入儲存貯體,並從儲存貯體擷取它們。
+ **傳遞 IAM 角色** – 將 IAM 角色傳遞至 `CreateJob` API。
+ ** Amazon SageMaker AI 筆記本** – 建立和管理範圍為資源的SageMaker筆記本執行個體,來源為 "arn:aws:sagemaker::notebook-instance/amazon-braket-"。
+ ** 驗證服務配額** – 若要建立 SageMaker AI 筆記本和 Amazon Braket Hybrid 任務,您的資源計數不得超過[您帳戶的配額](braket-quotas.md)。
+ ** 檢視產品定價** – 在提交工作負載之前,先檢閱並規劃量子硬體成本。
若要檢視此政策的許可,請參閱 *AWS 受管政策參考*中的 [AmazonBraketFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonBraketFullAccess.html)。
## AWS 受管政策:AmazonBraketJobsExecutionPolicy
**AmazonBraketJobsExecutionPolicy** 政策會授予 Amazon Braket 混合任務中使用的執行角色許可,如下所示:
+ **從 Amazon Elastic Container Registry 下載容器** - 讀取和下載用於 Amazon Braket Hybrid Jobs 功能的容器映像的許可。容器必須符合格式 "arn:aws:ecr:\$1:\$1:repository/amazon-braket\$1"。
+ **建立日誌群組和日誌事件和查詢日誌群組,以維護帳戶的用量日誌檔案** – 建立、存放和檢視帳戶中 Amazon Braket 用量的記錄資訊。查詢混合任務日誌群組上的指標。包含適當的 Braket 路徑,並允許放置日誌資料。在 CloudWatch 中放置指標資料。
+ **將資料儲存在 Amazon S3 ** 儲存貯體中 – 列出您帳戶中的 S3 儲存貯體、將物件放入您的帳戶中以 *amazon-braket- *開頭的任何儲存貯體,並從其名稱中取得物件。Braket 需要這些許可,才能將包含已處理量子任務結果的檔案放入儲存貯體,並從儲存貯體擷取它們。
+ **傳遞 IAM 角色** – 將 IAM 角色傳遞至 CreateJobAPI。角色必須符合 arn:aws:iam::\$1:role/service-role/AmazonBraketJobsExecutionRole\$1 格式。
若要檢視此政策的許可,請參閱 *AWS 受管政策參考*中的 [AmazonBraketJobsExecutionPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonBraketJobsExecutionPolicy.html)。
## AWS 受管政策:AmazonBraketServiceRolePolicy
**AmazonBraketServiceRolePolicy** 政策會授予 Amazon Braket 操作的許可,包括這些任務的許可:
+ **Amazon S3** – 列出您帳戶中儲存貯體,並將物件放入您帳戶中名稱開頭為 的任何儲存貯體,並從中取得物件的許可`amazon-braket-`。
+ **Amazon CloudWatch Logs** – 列出和建立日誌群組、建立關聯日誌串流,以及將事件放入為 Amazon Braket 建立之日誌群組的許可。
如需服務連結角色的詳細資訊,請參閱 [Amazon Braket 服務連結角色](braket-slr.md)。
若要檢視此政策的許可,請參閱 *AWS 受管政策參考*中的 [AmazonBraketServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonBraketServiceRolePolicy.html)。
## AWS 受管政策的 Amazon Braket 更新
下表提供有關從此服務開始追蹤 Amazon Braket AWS 受管政策更新的詳細資訊。
| **變更** | **Description** | **日期** |
| --- | --- | --- |
| [ AmazonBraketServiceRolePolicy](#about-amazonbraketservicerolepolicy) - 資源管理政策 | 已將**「aws:ResourceAccount」:「\$1\$1aws:PrincipalAccount\$1」**條件範圍新增至 Amazon S3 和 CloudWatch 日誌動作。 | 2025 年 7 月 11 日 |
| [AmazonBraketFullAccess](#about-amazonbraketfullaccess) - Braket 的完整存取政策 | 新增**「pricing:GetProducts」**動作。 | 2025 年 4 月 14 日 |
| [AmazonBraketFullAccess](#about-amazonbraketfullaccess) - Braket 的完整存取政策 | 已將**「aws:ResourceAccount」:「\$1\$1aws:PrincipalAccount\$1」**條件範圍新增至 S3 動作。 | 2025 年 3 月 7 日 |
| [AmazonBraketFullAccess](#about-amazonbraketfullaccess) - Braket 的完整存取政策 | 新增 **servicequotas:GetServiceQuota** 和 **cloudwatch:GetMetricData** 動作。 | 2023 年 3 月 24 日 |
| [AmazonBraketFullAccess](#about-amazonbraketfullaccess) - Braket 的完整存取政策 | 新增 **s3:ListAllMyBuckets** 許可,以檢視和檢查使用的 Amazon S3 儲存貯體。 | 2022 年 3 月 31 日 |
| [AmazonBraketFullAccess](#about-amazonbraketfullaccess) - Braket 的完整存取政策 | AmazonBraketFullAccess 的 Braket 調整 iam:PassRole 許可,以包含 `service-role/` 路徑。 | 2021 年 11 月 29 日 |
| [AmazonBraketJobsExecutionPolicy](#about-amazonbraketjobsexecution) - Amazon Braket 混合任務的混合任務執行政策 | Braket 更新了混合任務執行角色 ARN,以包含 `service-role/` 路徑。 | 2021 年 11 月 29 日 |
| Braket 已開始追蹤變更 | Braket 開始追蹤其 AWS 受管政策的變更。 | 2021 年 11 月 29 日 |
# 限制使用者存取特定裝置
若要限制特定 Braket 裝置的使用者存取,您可以將*拒絕許可*政策新增至特定IAM角色。
下列動作可以受到限制:
+ `CreateQuantumTask` - 拒絕在指定裝置上建立量子任務。
+ `CreateJob` - 拒絕在特定裝置上建立混合任務。
+ `GetDevice` - 拒絕取得指定裝置的詳細資訊。
下列範例限制存取 的所有 QPUs AWS 帳戶 `123456789012`。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"braket:CreateQuantumTask",
"braket:CreateJob",
"braket:GetDevice"
],
"Resource": [
"arn:aws:braket:*:*:device/qpu/*"
],
"Condition": {
"StringEquals": {
"aws:PrincipalAccount": "123456789012"
}
}
}
]
}
```
------
**注意**
從政策中排除`braket:GetDevice`動作,以透過 Braket 主控台啟用使用者對裝置屬性的讀取存取權,例如裝置可用性、校正資料和定價。
若要調整此程式碼,請將受限裝置Amazon的資源編號 (ARN) 取代為上一個範例中顯示的字串。此字串提供 **資源**值。在 Braket 中,裝置代表您可以呼叫以執行量子任務的 QPU 或模擬器。可用的裝置會列在 [裝置頁面上](https://docs.aws.amazon.com/braket/latest/developerguide/braket-devices.html)。有兩個結構描述用於指定對這些裝置的存取:
+ `arn:aws:braket::*:device/qpu//`
+ `arn:aws:braket::*:device/quantum-simulator//`
**以下是各種裝置存取類型的範例**
+ 若要選取所有區域的所有 QPUs: `arn:aws:braket:*:*:device/qpu/*`
+ 僅選取 us-west-2 區域中的所有 QPUs: `arn:aws:braket:us-west-2:*:device/qpu/*`
+ 相當於,若要選取 us-west-2 區域中的所有 QPUs (因為裝置是服務資源,而不是客戶資源): `arn:aws:braket:us-west-2:*:device/qpu/*`
+ 若要限制對所有隨需模擬器裝置的存取: `arn:aws:braket:*:*:device/quantum-simulator/*`
+ 若要限制從特定提供者存取裝置 (例如,存取RigettiQPU裝置): `arn:aws:braket:*:*:device/qpu/rigetti/*`
+ 若要限制對TN1裝置的存取: `arn:aws:braket:*:*:device/quantum-simulator/amazon/tn1`
+ 若要限制對所有`Create`動作的存取: `braket:Create*`
# 限制使用者存取特定筆記本執行個體
若要限制特定使用者存取特定 Braket 筆記本執行個體,您可以將*拒絕許可*政策新增至特定角色、使用者或群組。
下列範例使用[政策變數](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_variables.html)來有效限制 中啟動、停止和存取特定筆記本執行個體的許可 AWS 帳戶 `123456789012`,該執行個體是根據應具有存取權的使用者來命名 (例如,使用者`Alice`可存取名為 的筆記本執行個體`amazon-braket-Alice`)。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "DenyCreateDeleteUpdateNotebookInstances",
"Effect": "Deny",
"Action": [
"sagemaker:CreateNotebookInstance",
"sagemaker:DeleteNotebookInstance",
"sagemaker:UpdateNotebookInstance",
"sagemaker:CreateNotebookInstanceLifecycleConfig",
"sagemaker:DeleteNotebookInstanceLifecycleConfig",
"sagemaker:UpdateNotebookInstanceLifecycleConfig"
],
"Resource": "*"
},
{
"Sid": "DenyDescribeStartStopNotebookInstances",
"Effect": "Deny",
"Action": [
"sagemaker:DescribeNotebookInstance",
"sagemaker:StartNotebookInstance",
"sagemaker:StopNotebookInstance"
],
"NotResource": [
"arn:aws:sagemaker:*:123456789012:notebook-instance/amazon-braket-${aws:username}"
]
},
{
"Sid": "DenyNotebookInstanceUrl",
"Effect": "Deny",
"Action": [
"sagemaker:CreatePresignedNotebookInstanceUrl"
],
"NotResource": [
"arn:aws:sagemaker:*:123456789012:notebook-instance/amazon-braket-${aws:username}*"
]
}
]
}
```
------
# 限制使用者存取特定 S3 儲存貯體
若要限制特定使用者存取特定 Amazon S3 儲存貯體,您可以將拒絕政策新增至特定角色、使用者或群組。
下列範例會限制擷取物件並將物件放入特定S3儲存貯體 (`arn:aws:s3:::amazon-braket-us-east-1-123456789012-Alice`) 的許可,也會限制這些物件的清單。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"s3:ListBucket"
],
"NotResource": [
"arn:aws:s3:::amazon-braket-us-east-1-123456789012-Alice"
]
},
{
"Effect": "Deny",
"Action": [
"s3:GetObject"
],
"NotResource": [
"arn:aws:s3:::amazon-braket-us-east-1-123456789012-Alice/*"
]
}
]
}
```
------
若要限制存取特定筆記本執行個體的儲存貯體,您可以將上述政策新增至筆記本執行角色。
# Amazon Braket 服務連結角色
當您啟用 Amazon Braket 時,會在您的帳戶中建立*服務連結角色*。
服務連結角色是一種獨特的 IAM 角色類型,在此情況下會直接連結至 Amazon Braket。Amazon Braket 服務連結角色預先定義為包含 Braket AWS 服務 代表您呼叫其他 時所需的所有許可。
服務連結角色可讓您更輕鬆地設定 Amazon Braket,因為您不必手動新增必要的許可。Amazon Braket 定義其服務連結角色的許可。除非您變更這些定義,否則只有 Amazon Braket 可以擔任其角色。定義的許可包括*信任政策和**許可政策*。許可原則無法附加到其他任何 IAM 實體。
Amazon Braket 設定的服務連結角色是 AWS Identity and Access Management (IAM) [服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html#id_roles_terms-and-concepts)功能的一部分。如需有關 AWS 服務 其他支援服務連結角色的資訊,請參閱[AWS 使用 IAM 的服務](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html),並在**服務連結角色**欄中尋找具有**是**的服務。選擇有連結的**是**,以檢視該服務的服務連結角色文件。
如需服務連結角色受 AWS 管政策的詳細資訊,請參閱 [AmazonBraketServiceRolePolicy](security-iam-aws-managed-policies.md#about-amazonbraketservicerolepolicy)。
# Amazon Braket 的合規驗證
**注意**
AWS 合規報告不涵蓋第三方硬體供應商的 QPUs,他們可以選擇進行自己的獨立稽核。
若要了解 是否 AWS 服務 在特定合規計劃範圍內,請參閱[AWS 服務 合規計劃範圍內](https://aws.amazon.com/compliance/services-in-scope/)然後選擇您感興趣的合規計劃。如需一般資訊,請參閱[AWS 合規計劃](https://aws.amazon.com/compliance/programs/)。
您可以使用 下載第三方稽核報告 AWS Artifact。如需詳細資訊,請參閱[在 中下載報告 AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html)。
您使用 時的合規責任 AWS 服務 取決於資料的機密性、您公司的合規目標,以及適用的法律和法規。如需使用 時合規責任的詳細資訊 AWS 服務,請參閱 [AWS 安全文件](https://docs.aws.amazon.com/security/)。
# Amazon Braket 中的基礎設施安全性
Amazon Braket 是受管服務,受到 AWS 全球網路安全的保護。如需 AWS 安全服務以及 如何 AWS 保護基礎設施的相關資訊,請參閱[AWS 雲端安全](https://aws.amazon.com/security/)。若要使用基礎設施安全的最佳實務設計您的 AWS 環境,請參閱*安全支柱 AWS Well-Architected Framework* 中的[基礎設施保護](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html)。
您可以使用 AWS 發佈的 API 呼叫,透過網路存取 Amazon Braket。使用者端必須支援下列專案:
+ Transport Layer Security (TLS)。我們需要 TLS 1.2 並建議使用 TLS 1.3。
+ 具備完美轉送私密(PFS)的密碼套件,例如 DHE (Ephemeral Diffie-Hellman)或 ECDHE (Elliptic Curve Ephemeral Diffie-Hellman)。現代系統(如 Java 7 和更新版本)大多會支援這些模式。
您可以從任何網路位置呼叫這些 API 操作,但 Braket 確實支援以資源為基礎的存取政策,其中包括根據來源 IP 地址的限制。您也可以使用 Braket 政策來控制來自特定 Amazon Virtual Private Cloud (Amazon VPC) 端點或特定 VPCs存取。實際上,這只會隔離網路中特定 VPC 對指定 Braket 資源 AWS 的網路存取。
# Amazon Braket 硬體供應商的安全性
Amazon Braket 上的 QPUs由第三方硬體供應商託管。當您在 QPU 上執行量子任務時,Amazon Braket 會在將電路傳送至指定的 QPU 進行處理時,使用 DeviceARN 做為識別符。
如果您使用 Amazon Braket 存取其中一個第三方硬體提供者操作的量子運算硬體,您的電路及其相關資料將由 操作設施之外的硬體提供者處理 AWS。您可以在 Amazon Braket 主控台的裝置**詳細資訊**區段中找到每個 QPU 可用之實體位置和 AWS 區域的相關資訊。
您的內容已匿名化。只有處理電路所需的內容才會傳送給第三方。 AWS 帳戶 資訊不會傳輸給第三方。
所有資料都會在靜態和傳輸中加密。資料會解密,僅用於處理。Amazon Braket 第三方供應商不允許基於處理電路以外的目的存放或使用您的內容。電路完成後,結果會傳回至 Amazon Braket,並存放在 S3 儲存貯體中。
Amazon Braket 第三方量子硬體供應商的安全性會定期稽核,以確保符合網路安全、存取控制、資料保護和實體安全的標準。
# Amazon Braket 的 Amazon VPC 端點
您可以建立介面 VPC 端點,在 VPC 和 Amazon Braket 之間建立私有連線。介面端點採用 [AWS PrivateLink](https://aws.amazon.com/privatelink/)技術,此技術可讓您在沒有網際網路閘道、NAT 裝置、VPN 連線或 Direct Connect 連線的情況下存取 Braket APIs。VPC 中的執行個體不需要公有 IP 地址,即可與 Braket APIs通訊。
每個介面端點都是由您子網路中的一或多個[彈性網路介面](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html)表示。
使用 時 AWS PrivateLink,VPC 和 Braket 之間的流量不會離開Amazon網路,這會提高您與雲端應用程式共用之資料的安全性,因為它可降低資料對公有網際網路的暴露。如需詳細資訊,請參閱[《Amazon VPC 使用者指南》中的使用介面 VPC 端點存取 AWS 服務](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html)。
**Topics**
+ [Amazon Braket VPC 端點的考量事項](#braket-privatelink-considerations)
+ [設定 Braket 和 PrivateLink](#braket-set-up-privatelink)
+ [有關建立端點的其他資訊](#braket-more-about-endpoints)
+ [使用 Amazon VPC 端點政策控制存取](#braket-control-endpoint-access)
## Amazon Braket VPC 端點的考量事項
設定 Braket 的介面 VPC 端點之前,請務必檢閱《*Amazon VPC 使用者指南*》中的[介面端點先決條件](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#prerequisites-interface-endpoints)。
Braket 支援從您的 VPC 呼叫其所有 [API 動作](https://docs.aws.amazon.com/braket/latest/APIReference/API_Operations.html)。
根據預設,允許透過 VPC 端點完整存取 Braket。如果您指定 VPC 端點政策,則可以控制存取。如需詳細資訊,請參閱《Amazon VPC 使用者指南》**中的[使用端點政策控制 VPC 端點的存取](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html)。
## 設定 Braket 和 PrivateLink
若要 AWS PrivateLink 搭配 Amazon Braket 使用 ,您必須建立 Amazon Virtual Private Cloud (Amazon VPC) 端點做為界面,然後透過 Amazon Braket API服務連線至端點。
以下是此程序的一般步驟,稍後章節會詳細說明這些步驟。
+ 設定並啟動 Amazon VPC 來託管您的 AWS 資源。如果您已有 VPC,則可以略過此步驟。
+ 為 Braket 建立 Amazon VPC 端點
+ 透過端點連接並執行 Braket 量子任務
### 步驟 1:視需要啟動 Amazon VPC
請記住,如果您的帳戶已在操作中具有 VPC,您可以略過此步驟。
VPC 控制您的網路設定,例如 IP 地址範圍、子網路、路由表和網路閘道。基本上,您會在自訂虛擬網路中啟動 AWS 資源。如需有關 Amazon VPC 的詳細資訊,請參閱《[Amazon VPC 使用者指南](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html)》。
開啟 [Amazon VPC 主控台](https://aws.amazon.com/vpc/),並使用子網路、安全群組和網路閘道建立新的 VPC。
### 步驟 2:建立 Braket 的介面 VPC 端點
您可以使用 Amazon VPC 主控台或 AWS Command Line Interface () 為 Braket 服務建立 VPC 端點AWS CLI。如需詳細資訊,請參閱《*Amazon* [VPC 使用者指南》中的建立 VPC 端點](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#create-interface-endpoint-aws)。
若要在主控台中建立 VPC 端點,請開啟 [Amazon VPC 主控台](https://aws.amazon.com/vpc/)、開啟**端點**頁面,然後繼續建立新的端點。請記下端點 ID 以供日後參考。當您對 Braket 進行特定呼叫時,這是 `—endpoint-url`旗標的一部分API。
使用下列服務名稱建立 Braket 的 VPC 端點:
+ `com.amazonaws.substitute_your_region.braket`
如需詳細資訊,請參閱[《Amazon VPC 使用者指南》中的使用介面 VPC 端點存取 AWS 服務](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html)。 **
### 步驟 3:透過端點連線並執行 Braket 量子任務
建立 VPC 端點之後,您可以執行包含 `endpoint-url` 參數的 CLI 命令,以指定 API或 執行時間的介面端點,例如下列範例:
```
aws braket search-quantum-tasks --endpoint-url VPC_Endpoint_ID.braket.substituteYourRegionHere.vpce.amazonaws.com
```
如果您為 VPC 端點啟用私有 DNS 主機名稱,則不需要在 CLI 命令中將端點指定為 URL。相反地,CLI 和 Braket SDK 預設使用的 Amazon Braket API DNS 主機名稱會解析為您的 VPC 端點。其格式如下列範例所示:
```
https://braket.substituteYourRegionHere.amazonaws.com
```
部落格文章名為[使用端點從 Amazon VPC 直接存取 Amazon SageMaker AI 筆記本, AWS PrivateLink](https://aws.amazon.com/blogs/machine-learning/securing-all-amazon-sagemaker-api-calls-with-aws-privatelink/)提供如何設定端點以安全連線至 SageMaker 筆記本的範例,這與 Amazon Braket 筆記本類似。
如果您遵循部落格文章中的步驟,請記得將名稱 ** Amazon Braket ** 取代為 ** Amazon SageMaker AI**。對於**服務名稱**,如果您的區域不是 *us-east-1*,請在該字串中輸入`com.amazonaws.us-east-1.braket`或替換您的正確 AWS 區域 名稱。
## 有關建立端點的其他資訊
+ 如需如何使用私有子網路建立 VPC 的資訊,請參閱[使用私有子網路建立 VPC。](https://docs.aws.amazon.com/batch/latest/userguide/create-public-private-vpc.html)
+ 如需有關使用 Amazon VPC 主控台或 建立和設定端點的資訊 AWS CLI,請參閱《Amazon [VPC 使用者指南》中的建立 VPC 端點](https://docs.aws.amazon.com/vpc/latest/privatelink/create-interface-endpoint.html#create-interface-endpoint-aws)。 **
+ 如需有關使用 建立和設定端點的資訊 CloudFormation,請參閱*CloudFormation 《 使用者指南*》中的 [AWS::EC2::VPCEndpoint](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/aws-resource-ec2-vpcendpoint.html) 資源。
## 使用 Amazon VPC 端點政策控制存取
若要控制 Amazon Braket 的連線存取,您可以將 AWS Identity and Access Management (IAM) 端點政策連接至 Amazon VPC 端點。此政策會指定下列資訊:
+ 可執行動作的委託人 (使用者或角色)。
+ 可執行的動作。
+ 可供執行動作的資源。
如需詳細資訊,請參閱《Amazon VPC 使用者指南》**中的[使用端點政策控制 VPC 端點的存取](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html)。
**範例:Raket 動作的 VPC 端點政策**
下列範例顯示 Braket 的端點政策。連接至端點時,此政策會授予所有資源上所有主體所列出的 Braket 動作的存取權。
```
{
"Statement":[
{
"Principal":"*",
"Effect":"Allow",
"Action":[
“braket:action-1",
“braket:action-2",
“braket:action-3”
],
"Resource":"*"
}
]
}
```
您可以連接多個端點政策來建立複雜的 IAM 規則。如需詳細資訊和範例,請參閱:
+ [Step Functions 的 Amazon Virtual Private Cloud 端點政策](https://docs.aws.amazon.com/step-functions/latest/dg/vpc-endpoints.html#vpc-iam)
+ [為非管理員使用者建立精細 IAM 許可](https://docs.aws.amazon.com/step-functions/latest/dg/concept-create-iam-advanced.html)
+ [使用端點政策控制對 VPC 端點的存取](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-access.html)