什么是数据边界?
数据边界是亚马逊云科技环境中的一组预防性防护机制,用来确保只有您的可信身份才能访问来自预期网络的可信资源。数据边界防护机制旨在充当始终在线的边界,来帮助保护您在各种亚马逊云科技账户和资源中的数据。这些组织范围的防护机制并不能取代您现有的细粒度访问控制。相反,这些防护机制通过确保所有 Amazon Identity and Access Management(IAM)用户、角色和资源都遵守一组定义的安全标准来帮助改进安全策略。
可信身份:您的亚马逊云科技账户中的主体(IAM 角色或用户),或代表您行事的亚马逊云科技服务。
可信资源:您的亚马逊云科技账户或代表您行事的亚马逊云科技服务所拥有的资源。
预期网络:您的本地数据中心和虚拟私有云(VPC),或代表您行事的亚马逊云科技服务网络。
建立组织范围的数据边界
您可以使用权限防护机制来建立数据边界,限制组织边界之外的访问(通常是使用 Amazon Organizations 创建的组织)。以下是用于在亚马逊云科技云上建立数据边界的三种主要亚马逊网络服务功能:
- 基于资源的策略:附加到资源的策略。例如,您可以将基于资源的策略附加到 Amazon Simple Storage Service(Amazon S3)存储桶、Amazon Simple Queue Service(Amazon SQS)队列和 Amazon Key Management Service(KMS)加密密钥。有关支持基于资源的策略的服务列表,请参阅与 IAM 搭配使用的亚马逊云科技服务。基于资源的策略根据调用主体和主体从中调用的网络来筛选访问权限。
- 服务控制策略(SCP):组织策略,可用于为组织内的主体(IAM 角色或用户)设定最大可用权限。SCP 将限制您的身份访问超出控制范围的资源或网络外部的资源。
- VPC 端点策略:附加到 VPC 端点的策略,用于控制使用 VPC 端点可以访问哪些主体、操作和资源。有关支持 VPC 端点和 VPC 端点策略的服务列表,请参阅与 Amazon PrivateLink 集成的亚马逊云科技服务。VPC 端点策略可以无缝检查进行 API 调用的主体和主体尝试访问的资源。
工作原理
要建立数据边界,先定义控制目标,然后使用基于资源的策略、服务控制策略和 VPC 端点策略来实施这些目标。然后,将这些策略作为组织内的数据边界防护机制应用。
优势
满足安全性与合规性要求
实施组织范围的权限防护机制,帮助防止亚马逊云科技账户、组织单位或整个组织采取不符合您安全性与合规性政策的操作。通过使用预防性控制,您可以确定只有您的可信身份才能访问预期网络中的可信资源。
改进数据丢失防护策略
在数据丢失防护策略中使用数据边界,以检测并帮助防止有意或无意地传输敏感信息供未经授权使用。数据边界提供云原生预防性控制,限制受信任身份按您的意图访问敏感数据。
建立组织范围的数据边界
有了组织范围的数据边界,您可以先向开发人员授予更广泛的权限,让他们快速开始项目。明确定义工作负载后,再逐步确定特定权限和最低权限。
应用场景
仅允许您想要访问的用户访问数据
建立组织范围的数据边界,仅允许您想要访问的用户访问数据。例如,可以帮助您确保只有员工才能访问数据,并且只能从您的公司网络访问,包括本地数据中心或 VPC。此外,还可以帮助防止与外部角色和用户共享资源。
帮助保护敏感信息
利用组织范围的数据边界帮助保护敏感信息。还有助于防止员工使用非公司凭证访问非公司资源,从而导致故意或无意的数据丢失。帮助确保您的员工只能访问公司批准的数据存储。
帮助防止在公司环境外部使用凭证
帮助防止员工在公司环境外部使用公司凭证,包括本地数据中心和 VPC。 建立组织范围边界,帮助防止您的身份在公司网络外部执行任何操作。
资源
博客
在亚马逊云科技上建立数据边界:概述
作者:Ilya Epshteyn,2022 年 5 月 10 日
在亚马逊云科技上建立数据边界:仅允许来自我的组织的可信资源
作者:Laura Reith 和 Tatyana Yatskevich,2023 年 3 月 9 日
在亚马逊云科技上建立数据边界:仅允许可信身份访问公司数据
作者:Tatyana Yatskevich,2022 年 11 月 23 日
IAM 让您轻松管理访问资源的亚马逊云科技服务的权限
作者:Ilya Epshteyn 和 Harsha Sharma,2021 年 5 月 4 日
