本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 中的資料保護 ROSA
[的責任概觀 ROSA](rosa-responsibilities.md) 文件和[AWS 共同責任模型](https://aws.amazon.com/compliance/shared-responsibility-model/)定義 中的資料保護 ROSA。 AWS 負責保護執行所有 的全域基礎設施 AWS 雲端。Red Hat 負責保護叢集基礎設施和基礎服務平台。客戶負責控制在此基礎設施上託管的內容。此內容包含 AWS 服務 您使用之 的安全組態和管理任務。如需有關資料隱私權的詳細資訊,請參閱[資料隱私權常見問答集](https://aws.amazon.com/compliance/data-privacy-faq)。如需歐洲資料保護的相關資訊,請參閱安全部落格上的[AWS 共同責任模型和 GDPR](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr) 部落格文章。 * AWS *
基於資料保護目的,我們建議您保護 AWS 帳戶 登入資料,並使用 AWS Identity and Access Management () 設定個別使用者IAM。如此一來,每個使用者都只會獲得授與完成其任務所必須的許可。我們也建議您採用下列方式保護資料:
+ 每個帳戶均要使用多重要素驗證 (MFA)。
+ 使用 SSL/TLS 與 AWS 資源通訊。我們需要 TLS 1.2 並建議使用 TLS 1.3。
+ 使用 設定 API 和使用者活動記錄 AWS CloudTrail。
+ 使用 AWS 加密解決方案,以及其中的所有預設安全控制 AWS 服務。
+ 使用進階受管安全服務 Amazon Macie,例如 ,協助探索和保護存放在其中的敏感資料 Amazon S3。
+ 如果您在 AWS 透過命令列界面或 API 存取 時需要 FIPS 140-2 驗證的密碼編譯模組,請使用 FIPS 端點。如需有關 FIPS 和 FIPS 端點的更多相關資訊,請參閱[聯邦資訊處理標準 (FIPS) 140-2 概觀](https://aws.amazon.com/compliance/fips/)。
我們強烈建議您絕對不要將客戶帳戶號碼等敏感的識別資訊,放在自由格式的欄位中,例如**名稱**欄位。這包括當您 AWS 服務 使用 ROSA 或使用主控台、API AWS CLI或其他 AWS SDKs 時。您輸入的任何資料 ROSA 或其他 服務都可能被選入診斷日誌中。當您提供外部伺服器的 URL 時,請勿在驗證您對該伺服器請求的 URL 中包含登入資料資訊。
**Topics**
+ [資料加密](data-protection-encryption.md)
# 使用加密保護資料
資料保護是指在傳輸中 (進出時 ROSA) 和靜態 (存放在 AWS 資料中心的磁碟上) 時保護資料。
Red Hat OpenShift Service on AWS 為 ROSA 控制平面、基礎設施和工作者節點提供連接至 Amazon EC2 執行個體的 Amazon Elastic Block Store (Amazon EBS) 儲存磁碟區安全存取,以及為持久性儲存提供 Kubernetes 持久性磁碟區。 ROSA 會加密靜態和傳輸中的磁碟區資料,並使用 AWS Key Management Service (AWS KMS) 協助保護您的加密資料。服務使用 Amazon S3 儲存容器映像登錄檔,依預設會進行靜態加密。
**重要**
因為 ROSA 是受管服務, AWS 而 Red Hat 會管理 ROSA 使用的基礎設施。客戶不應嘗試從 AWS 主控台或 CLI 手動關閉 ROSA 使用的 Amazon EC2 執行個體。此動作可能會導致客戶資料遺失。
## Amazon EBS後端儲存磁碟區的資料加密
Red Hat OpenShift Service on AWS 使用 Kubernetes 持久性磁碟區 (PV) 架構,允許叢集管理員佈建具有持久性儲存的叢集。持久性磁碟區,以及控制平面、基礎設施和工作者節點,都由連接至 Amazon EC2 執行個體的 Amazon Elastic Block Store (Amazon EBS) 儲存磁碟區提供支援。
對於 支援的 ROSA 持久性磁碟區和節點 Amazon EBS,加密操作會在託管 EC2 執行個體的伺服器上進行,以確保靜態資料和執行個體與其連接儲存體之間傳輸中資料的安全性。如需詳細資訊,請參閱* Amazon EC2 《 使用者指南*》中的[Amazon EBS 加密](https://docs.aws.amazon.com/ebs/latest/userguide/ebs-encryption.html)。
### Amazon EBS CSI 驅動程式和 Amazon EFS CSI 驅動程式的資料加密
ROSA 預設為使用 Amazon EBS CSI 驅動程式佈建 Amazon EBS 儲存。根據預設, Amazon EBS CSI 驅動程式和 Amazon EBS CSI 驅動程式運算子會安裝在 `openshift-cluster-csi-drivers` 命名空間中的叢集上。 Amazon EBS CSI 驅動程式和運算子可讓您動態佈建持久性磁碟區並建立磁碟區快照。
ROSA 也能夠使用 Amazon EFS CSI 驅動程式和 Amazon EFS CSI 驅動程式運算子佈建持久性磁碟區。 Amazon EFS 驅動程式和運算子也可讓您在 Pod 之間或與 Kubernetes 內外的其他應用程式共用檔案系統資料。
CSI 驅動程式和 Amazon EBS Amazon EFS CSI 驅動程式的磁碟區資料在傳輸中都會受到保護。如需詳細資訊,請參閱 Red Hat 文件中的[使用容器儲存界面 (CSI)](https://access.redhat.com/documentation/en-us/red_hat_openshift_service_on_aws/4/html/storage/using-container-storage-interface-csi)。
**重要**
使用 Amazon EFS CSI 驅動程式動態佈建 ROSA 持久性磁碟區時,評估檔案系統許可時, Amazon EFS 請考慮存取點的使用者 ID、群組 ID (GID) 和次要群組 IDs。 會將使用者和群組 IDs Amazon EFS 取代為存取點上具有使用者和群組 IDs的檔案,並忽略 NFS 用戶端 IDs。因此, 會無 Amazon EFS 提示地忽略`fsGroup`設定。 ROSA 無法使用 取代檔案GIDs`fsGroup`。任何可以存取掛載 Amazon EFS 存取點的 Pod 都可以存取磁碟區上的任何檔案。如需詳細資訊,請參閱* Amazon EFS 《 使用者指南*》中的[使用 Amazon EFS 存取點](https://docs.aws.amazon.com/efs/latest/ug/efs-access-points.html)。
### etcd 加密
ROSA 提供在叢集建立期間啟用`etcd`磁碟區內`etcd`金鑰值加密的選項,新增額外的加密層。`etcd` 加密後,您將產生大約 20% 的額外效能額外負荷。建議您只有在使用案例特別需要加密時,才啟用`etcd`加密。如需詳細資訊,請參閱 ROSA 服務定義中的[加密。](https://access.redhat.com/documentation/en-us/red_hat_openshift_service_on_aws/4/html/introduction_to_rosa/policies-and-service-definition#rosa-sdpolicy-etcd-encryption_rosa-service-definition)
### 金鑰管理
ROSA 使用 KMS keys 為客戶應用程式安全地管理控制平面、基礎設施和工作者資料磁碟區和持久性磁碟區。在叢集建立期間,您可以選擇使用 KMS key 提供的預設 AWS 受管金鑰 Amazon EBS,或指定您自己的客戶受管金鑰。如需詳細資訊,請參閱[使用 KMS 的資料加密](data-protection-key-management.md)。
## 內建映像登錄檔的資料加密
ROSA 提供內建的容器映像登錄檔,透過儲存 Amazon S3 貯體儲存來存放、擷取和共用容器映像。登錄檔是由 OpenShift Image Registry Operator 設定和管理。它提供out-of-the-box解決方案,讓使用者管理執行工作負載的映像,並在現有的叢集基礎設施上執行。如需詳細資訊,請參閱 Red Hat 文件中的[登錄](https://docs.redhat.com/en/documentation/red_hat_openshift_service_on_aws/4/html/registry/index)檔。
ROSA 提供公有和私有映像登錄檔。對於企業應用程式,我們建議您使用私有登錄檔來保護映像不受未經授權的使用者使用。為了保護登錄檔的靜態資料, 預設 ROSA 會使用伺服器端加密搭配 Amazon S3 受管金鑰 (SSE-S3)。這不需要您採取任何動作,且不收取額外費用。如需詳細資訊,請參閱* Amazon S3 《 使用者指南*》中的[使用伺服器端加密搭配 Amazon S3 受管加密金鑰 (SSE-S3) 保護資料](https://docs.aws.amazon.com/AmazonS3/latest/userguide/UsingServerSideEncryption.html)。
ROSA 使用 Transport Layer Security (TLS) 通訊協定來保護傳入和傳出映像登錄檔的資料。如需詳細資訊,請參閱 Red Hat 文件中的[登錄](https://docs.redhat.com/en/documentation/red_hat_openshift_service_on_aws/4/html/registry/index)檔。
## 網際網路流量隱私權
Red Hat OpenShift Service on AWS use Amazon Virtual Private Cloud (Amazon VPC) 在 ROSA 叢集中的資源之間建立邊界,並控制它們、內部部署網路和網際網路之間的流量。如需 Amazon VPC 安全性的詳細資訊,請參閱* Amazon VPC 《 使用者指南*》中的 [中的網際網路流量隱私權 Amazon VPC](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Security.html)。
在 VPC 中,您可以將 ROSA 叢集設定為使用 HTTP 或 HTTPS 代理伺服器來拒絕直接網際網路存取。如果您是叢集管理員,也可以在 Pod 層級定義網路政策,將網際網路流量限制為 ROSA 叢集中的 Pod。如需詳細資訊,請參閱[中的基礎設施安全 ROSA](infrastructure-security.md)。
# 使用 KMS 的資料加密
ROSA 使用 AWS KMS 安全地管理加密資料的金鑰。根據預設,控制平面、基礎設施和工作者節點磁碟區會使用 KMS key 提供的 AWS 受管 進行加密 Amazon EBS。這 KMS key 具有別名 `aws/ebs`。使用預設 gp3 儲存類別的持久性磁碟區也會預設使用此項目加密 KMS key。
新建立的 ROSA 叢集設定為使用預設 gp3 儲存類別來加密持久性磁碟區。只有在儲存類別設定為加密時,才能使用任何其他儲存類別建立的持久性磁碟區才會加密。如需 ROSA 預先建置儲存類別的詳細資訊,請參閱 Red Hat 文件中的[設定持久性儲存](https://access.redhat.com/documentation/en-us/red_hat_openshift_service_on_aws/4/html/storage/configuring-persistent-storage#persistent-storage-aws)。
在叢集建立期間,您可以選擇使用預設 Amazon EBS提供的金鑰來加密叢集中的持久性磁碟區,或指定您自己的客戶受管對稱 KMS key。如需建立金鑰的詳細資訊,請參閱《 * AWS KMS 開發人員指南*》中的[建立對稱加密 KMS 金鑰](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html#create-symmetric-cmk)。
您也可以透過定義 來加密叢集內個別容器的持久性磁碟區 KMS key。當您在部署到 時有明確的合規和安全指導方針時,這很有用 AWS。如需詳細資訊,請參閱 Red Hat 文件中的[AWS 使用 在 上加密容器持久性磁碟區 KMS key](https://access.redhat.com/documentation/en-us/red_hat_openshift_service_on_aws/4/html/storage/configuring-persistent-storage#aws-container-persistent-volumes-encrypt_persistent-storage-aws)。
使用您自己的 加密持久性磁碟區時,應考慮下列事項 KMS keys:
+ 當您搭配自己的 KMS 加密時 KMS key,金鑰必須與 AWS 區域 叢集位於相同的 中。
+ 建立和使用您自己的 會產生相關費用 KMS keys。如需詳細資訊,請參閱 [AWS Key Management Service 定價](https://aws.amazon.com/kms/pricing/)。