本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
AWS DevOps 代理程式安全性
本文件提供有關安全考量、資料保護、存取控制和 AWS DevOps Agent 合規功能的資訊。使用此資訊來了解 AWS DevOps Agent 如何設計來滿足您的安全和合規要求。
多層安全性
AWS DevOps Agent 會在多層實作安全性。即使將更廣泛的許可授予代理程式的 IAM 角色,代理程式也會強制執行自己的內部存取控制,以限制其動作的範圍。例如,如果客戶將完整的 Amazon S3 存取 IAM 政策新增至客服人員的 IAM 角色, AWS DevOps 代理程式將確保只讀取AWSLogs字首之後的日誌以進行故障診斷。
在設定 AWS DevOps 代理程式的 IAM 許可,以及在多層實作安全性時,我們建議遵循最低權限原則。深度防禦可確保單一錯誤設定不會危及環境的安全性。
客服人員空間
Agent Spaces 做為主要安全界限 in AWS DevOps Agent。每個客服人員空間:
使用自己的組態和許可獨立操作
定義客服人員可以存取 AWS 的帳戶和資源
建立與第三方平台的連線
Agent Spaces 會維持嚴格的隔離,以確保安全性,並防止不同環境或團隊的意外存取。
區域處理和資料流程
AWS DevOps 代理程式使用區域處理功能在全球營運。代理程式會從設定之代理程式空間內授予存取權的所有 AWS 帳戶 AWS 的區域擷取操作資料。此多區域跨帳戶資料收集可確保完整的事件分析,同時遵守推論處理的地理界限。
Amazon Bedrock 用量和跨區域推論
AWS DevOps 代理程式會自動選取您地理位置內的最佳區域,以處理您的推論請求。這可將可用的運算資源、模型可用性最大化,並提供最佳客戶體驗。您的資料只會儲存在建立 Agent Space 的區域,不過,輸入提示和輸出結果可能會在該區域之外進行處理,如下列清單所述。所有資料都會透過 Amazon 的安全網路進行加密傳輸。
AWS DevOps 代理程式會將您的推論請求安全地路由到發出請求的地理區域內的可用運算資源,如下所示:
源自歐盟的推論請求將在歐盟內處理。
來自美國的推論請求將在美國境內處理。
來自澳洲的推論請求將在澳洲處理。
來自日本的推論請求將在日本內處理。
如果推論請求源自未列出的區域,則預設會在美國境內進行處理。
DevOps 代理程式和 Bedrock 不受服務控制政策 (SCPs) 或 Control Tower 中的客戶政策影響,這些政策會將客戶內容限制在特定區域
Bedrock 可能會使用地理中原始區域以外的區域來執行無狀態推論,以最佳化效能和可用性
身分與存取管理
身分驗證方法
AWS DevOps Agent 提供兩種身分驗證方法來登入 AWS DevOps Agent Space Web 應用程式:
AWS Identity Center 整合 – 主要身分驗證方法使用 OAuth 2.0 搭配僅使用 HTTP 的 Cookie 的工作階段型身分驗證。 AWS Identity Center 可以透過標準 OIDC 和 SAML 通訊協定與外部身分提供者聯合,包括 Okta、Ping Identity 和 Microsoft Entra ID 等提供者。此方法支援透過您的身分提供者進行多重驗證。 AWS Identity Center 預設為工作階段持續時間最長 12 小時,並可設定為所需的持續時間。
IAM 身分驗證連結 – 一種替代方法可讓您使用衍生自現有 AWS 管理主控台工作階段的 JWT 型權杖,從 AWS 管理主控台直接存取 Web 應用程式。此選項有助於在實作完整的 Identity Center 整合之前評估 AWS DevOps 代理程式,以及在透過 Identity Center 型身分驗證無法存取 AWS DevOps 代理程式 Web 應用程式時取得管理存取權。工作階段限制為 10 分鐘。
IAM 角色
AWS DevOps Agent 使用 IAM 角色來定義存取許可:
主要帳戶角色 – 授予代理程式存取您建立代理程式空間之 AWS 帳戶中的資源,以及存取次要帳戶角色。
次要帳戶角色 – 授予代理程式對連接到代理程式空間之其他 AWS 帳戶中資源的存取權。
Web 應用程式角色 – 授予使用者存取 Web 應用程式中 AWS 的 DevOps 代理程式調查資料和調查結果的權限。
這些角色應根據最低權限原則進行設定,只授予調查所需的唯讀許可。
資料保護
資料加密
AWS DevOps 代理程式會加密所有客戶資料:
靜態加密 – 所有資料都會使用 AWS受管金鑰加密。
傳輸中加密 – 所有擷取的日誌、指標、知識項目、票證中繼資料和其他資料都會在客服人員的私有網路和外部網路內傳輸時加密。
資料儲存和保留
資料會存放在建立代理程式空間的區域,而推論處理可能會在您的地理位置內進行,如上述 Amazon Bedrock 用量一節所述。
個人身分識別資訊 (PII)
在彙總調查、建議評估或聊天回應期間收集的資料時,AWS DevOps 代理程式不會篩選 PII 資訊。建議先修訂 PII 資料,再儲存在可觀測性日誌中。
客服人員日誌和稽核記錄
客服人員日誌
事件調查和預防功能都會維護詳細的日誌:
記錄採取的每個推理步驟和動作
建立客服人員決策程序的完整透明度
客服人員一旦記錄就無法修改,將攻擊降至最低,例如提示注入隱藏重要動作
包含調查頁面中的所有聊天訊息
AWS CloudTrail 整合
託管 AWS 帳戶中的 AWS CloudTrail 會自動擷取 All AWS DevOps 代理程式 API 呼叫。使用 CloudTrail 收集的資訊,您可以判斷:
向客服人員提出的請求
提出請求的 IP 位址
提出要求的人員
所提出的時間
提示注入保護
當攻擊者將惡意指示嵌入外部資料時,會發生提示注入攻擊。 例如網頁或文件 生成式 AI 系統稍後將處理的 。 AWS DevOps 代理程式會原生使用許多資料來源作為其正常操作的一部分, 包括日誌、 資源標籤、 和其他操作資料。 AWS DevOps 代理程式會透過以下保護措施,防範即時注入攻擊, 但請務必確保所有連線的資料來源和使用者對這些資料來源的存取都受到信任。如需詳細資訊,請參閱共同責任模型一節。
提示注入防護:
有限的寫入功能 – 代理程式可用的工具無法變更資源,但開立票證和支援案例除外。這可防止惡意指示修改您的基礎設施或應用程式。
帳戶界限強制執行 – AWS DevOps 代理程式只能在主要和連線次要 AWS 帳戶中指派給代理程式的角色允許的界限內操作。代理程式無法存取或修改超出其設定範圍的資源。
AI 安全保護 – AWS DevOps Agent 使用具有 AI 安全層級 3 (ASL-3) 保護的模型。這些保護包括分類器,可在影響代理程式行為之前偵測和防止提示注入攻擊。
不可避免的稽核線索 – 代理程式日誌會記錄所採取的每個推理步驟和動作。一旦記錄日誌項目,代理程式就無法修改日誌項目,防止提示注入攻擊隱藏惡意動作。
雖然 AWS DevOps 代理程式提供多層保護,防止快速注入攻擊,但某些組態可能會增加風險:
自訂 MCP 伺服器工具 – bring-your-own MCP 功能可讓您將自訂工具引入代理程式,這可能會帶來額外的快速注入機會。自訂工具可能不具有與 native AWS DevOps 代理程式工具相同的安全控制,惡意指示可能會以非預期的方式利用這些工具。如需詳細資訊,請參閱共同責任模型一節。
授權使用者攻擊 – 獲授權在 AWS 帳戶界限或連線工具內操作的使用者嘗試對代理程式進行攻擊的機率較高。這些使用者可以修改代理程式使用的資料來源,例如日誌或資源標籤,以便更輕鬆地嵌入代理程式將處理的惡意指示。
若要降低這些風險:
在 Agent Spaces 中部署自訂 MCP 伺服器之前,請仔細檢閱和測試這些伺服器。
確保只允許他們執行唯讀動作
確認 MCP 伺服器存取的外部工具使用者是受信任的實體,與 MCP 連接的 as AWS DevOps 代理程式依賴於這些工具使用者與 AWS DevOps 代理程式之間建立的隱含信任關係
在授予使用者存取提供資料給代理程式的系統時,套用最低權限原則
定期稽核哪些 MCP 伺服器連接到您的 代理程式空間
由於從允許清單 URLs 擷取的任何內容都可能嘗試操縱代理程式的行為,因此只在您的允許清單中包含信任的來源。
整合安全性
AWS DevOps 代理程式支援多種整合類型,每個類型都有自己的安全模型:
原生雙向整合 – 內建整合,可將資料傳送至代理程式並從代理程式接收更新。這會使用廠商的身分驗證方法
MCP 伺服器 – 利用 OAuth 2.0 身分驗證流程和 API 金鑰與外部系統安全通訊的遠端模型內容通訊協定伺服器。
Webhook 觸發條件 – 調查來自遠端服務的觸發條件,例如票證或可觀測性系統。Webhooks 使用雜湊型訊息驗證碼 (HMAC) 來確保安全。
傳出通訊 – Slack 和票證系統等整合會收到客服人員的更新,但尚不支援雙向通訊。
註冊供應商
某些外部工具會在帳戶層級進行身分驗證,並在帳戶中的所有客服人員空間之間共用。當您註冊這些工具時,您可以在帳戶層級驗證一次,然後每個 Agent Space 都可以連線到該已註冊連線中的特定資源。
下列工具使用帳戶層級註冊:
GitHub – 使用 OAuth 流程進行身分驗證。在帳戶層級註冊 GitHub 之後,每個 Agent Space 都可以連線到 GitHub 組織內的特定儲存庫。
Dynatrace – 使用 OAuth 字符身分驗證。在帳戶層級註冊 Dynatrace 之後,每個客服人員空間都可以連線到特定的 Dynatrace 環境或監控組態。
Slack – 使用 OAuth 字符身分驗證。在帳戶層級註冊 Slack 之後,每個客服人員空間都可以連線到特定的 Slack 頻道頻道。
Datadog – 使用 MCP 搭配 OAuth 流程進行身分驗證。在帳戶層級註冊 Datadog 之後,每個 Agent Space 都可以連線到特定的 Datadog 監控資源。
新複本 – 使用 API 金鑰身分驗證。在帳戶層級註冊 New Relic 之後,每個代理程式空間都可以連線到特定的 New Relic 監控組態。
Splunk – 使用承載字符身分驗證。在帳戶層級註冊 Splunk 之後,每個客服人員空間都可以連線到特定的 Splunk 資料來源。
GitLab – 使用存取權杖身分驗證。在帳戶層級註冊 GitLab 之後,每個 Agent Space 都可以連線到特定的 GitLab 儲存庫。
ServiceNow – 使用 OAuth 用戶端金鑰/金鑰身分驗證。在帳戶層級註冊 ServiceNow 之後,每個客服人員空間都可以連線到特定的 ServiceNow 執行個體或票證佇列。
一般可公開存取的遠端 MCP 伺服器 – 使用 OAuth 流程進行身分驗證。在帳戶層級註冊遠端 MCP 伺服器之後,每個 Agent Space 都可以連線到該伺服器公開的特定資源。
網路連線
AWS DevOps Agent 會連線至您的第三方系統和遠端 MCP 伺服器,以執行調查和其他操作。
從 AWS DevOps 代理程式到系統的傳入流量
AWS DevOps 代理程式會啟動第三方系統和遠端 MCP 伺服器的傳出連線,這些伺服器會以傳入流量的形式抵達您的基礎設施。保護此流量的方式取決於您的工具託管方式:
私有託管工具 – 如果您的工具可從 AWS VPC 內存取,您可以使用 AWS DevOps 代理程式私有連線,讓流量與 AWS 網路和公有網際網路隔離。如需詳細資訊,請參閱連線至私有託管工具。
公有託管工具 – 如果您的工具可透過公有網際網路連線,並使用 IP 允許清單或防火牆規則,您必須允許來自下列 AWS DevOps 代理程式來源 IP 地址的傳入流量:
亞太地區 (雪梨) (ap-southeast-2)
13.237.95.19713.238.84.102
亞太區域 (東京) (ap-northeast-1)
13.192.12.23335.74.181.23057.183.50.158
歐洲 (法蘭克福) (eu-central-1)
18.158.110.14052.57.96.16052.59.55.56
歐洲 (愛爾蘭) (eu-west-1)
34.251.85.2452.30.157.15752.51.192.222
美國東部 (維吉尼亞北部) (us-east-1)
34.228.181.12844.219.176.18754.226.244.221
美國西部 (奧勒岡) (us-west-2)
34.212.16.13352.89.67.21254.187.135.61
從 VPC 到 AWS DevOps 代理程式的傳出流量
對於從 AWS VPC 到 AWS DevOps 代理程式的傳出流量 (例如,使用 透過 Webhook 叫用 DevOps 代理程式),您可以使用 VPC 端點將此網路流量與 AWS 網路隔離。如需詳細資訊,請參閱VPC 端點 (AWS PrivateLink)。
共同責任模型
AWS 責任
AWS 負責:
維護代理程式所擷取資料的安全性
保護可供 代理程式使用的原生工具
保護執行 AWS DevOps Agent 的基礎設施
客户責任
客戶負責:
管理使用者對客服人員空間的存取
限制提供輸入給代理程式之外部系統的受信任使用者存取,例如產生日誌、CloudTrail 事件、票證等的服務和資源 – 可用於嘗試惡意提示注入。
確保所有連線的資料來源都具有不可能被用來嘗試快速注入攻擊的信任資料
確保bring-your-own MCP 伺服器整合可安全運作
確保指派給客服人員的 IAM 角色具有適當的範圍
在可觀測性日誌和其他代理程式資料來源中存放之前,先修訂 PII 資料
遵循建議的做法,將唯讀許可授予連線的資料來源,包括bring-your-own MCP 伺服器
資料用量
AWS 不會使用來自整合資料來源的客服人員資料、聊天訊息或資料來訓練模型或改善產品。 AWS DevOps Agent Space 使用客戶產品內意見回饋來改善客服人員的回應和調查,但不 AWS 用它來改善服務本身。
合規
在預覽版中, AWS DevOps 代理程式不符合標準,包括 SOC 2、PCI-DSS、ISO 27001 或 FedRAMP。 AWS 稍後將宣佈提供哪些合規認證。
