AWS 上的運算子存取

許多 AWS 核心系統和服務都設計不具有操作員存取權限，包括 AWS 金鑰管理服務 (AWS KMS)、亞馬遜 EC2（透過 AWS Nitro 系統）、AWS Lambda 、亞馬遜彈性 Kubernetes 服務 (亞馬遜 EKS) 和 AWS Wickr。 這些服務未提供任何技術方式來讓 AWS 操作員存取客戶資料。相反，透過自動化和安全 API 來管理系統與服務，從而保護客戶資料免於意外甚至強制披露。

AWS 始終使用最低權限模型，以盡量減少有權存取處理客戶資料的系統的人數。這意味著我們確保每位 Amazon 員工僅有權存取完成其所指派任務或工作責任所需的最低系統集，並且僅限於在需要該權限的時間存取。儲存或處理客戶資料或中繼資料的任何系統存取都會得到記錄，監控是否存在異常狀況，並且進行稽核。AWS 防止任何會停用或繞過這些控制項的動作。

我們還將最小權限原則套用於 AWS 系統和服務的狀態。AWS 超越了此領域中的產業標準。 AWS 身分與存取管理 (IAM) 可讓客戶使用 IAM 角色來說明細節的權限，這使客戶能夠仔細控制誰可以存取哪些內容。我們還新增名為「轉送存取工作階段 (FAS)」的附加唯一安全層，該層可確保敏感許可以密碼編譯方式依賴於客戶授權。Amazon EC2 和 Amazon 簡易儲存服務 (Amazon S3) 等 AWS 服務也可讓客戶加密資料，因此即使 AWS 也無法使用客戶直接授權的情況下使用客戶的加密金鑰。 由 FAS 強制執行此步驟，證明客戶已授權此操作。此外，這些動作 (稱為「代表」服務作業) 會記錄並讓客戶在 AWS CloudTrail 中看見。 依設計，不存在可讓 AWS 服務在未經客戶隱含授權的情況下存取其他服務中客戶資源的超級使用者金鑰。

為防止未受監控的操作員存取包含客戶資料的系統，AWS 妥善設計我們的系統，以確保集中記錄和監控所有管理操作。所有操作員動作都可以透過精細的取證詳細資訊追溯到執行該操作的真實人員；沒有可提供匿名性的共用團隊帳戶。即時監控存取是否存在異常活動，包括潛在錯誤或可疑活動，並且 AWS 操作員的經理和領導團隊以及獨立的 AWS 安全組織都會定期提供所有此類活動的摘要。此監控涉及多個層級，包括主機日誌記錄代理程式，可快速將本機事件從主機外推送到由 AWS 安全團隊營運的集中日誌彙總系統；以及在主機代理程式由於任何原因而停止工作時即時提醒。網路層級監控、堡壘服務監控和其他控制項作為適當的補充。

AWS 人員透過安全的介面執行所有操作，這些介面確保操作員擁有最新且安全的工作站、FIPS 驗證的硬體安全字符，並且經過正確的身分認證。這些介面為 AWS 操作員提供臨時的短期憑證，並使用無法覆寫或繞過的機制監控所有活動。這些安全的操作員介面僅允許不會披露客戶資料的有限操作，並對敏感操作強制執行多人核准。

對於有必要存取可能儲存或處理客戶資料的內部資源的情況，例如為進行疑難排解或修正與服務相關的問題，我們新增了額外的控制層來限制、評估和監控操作員存取。

協助客戶處理支援請求的 AWS 支援人員無權存取客戶資料。用於支援目的的所有 AWS IAM 權限都已完整記錄，並可從每個 AWS 客戶都可以停用的專用角色存取。使用這些專用角色的任何使用也都會在 AWS CloudTrail 中登錄。

AWS 營運安全的資料中心，以降低網路攻擊、盜竊或其他實體攻擊的風險。我們使用最低權限原則來檢查存取請求。這些請求必須指定個人需要存取資料中心的哪個層，並且指定存取時間段。 不允許任何電子儲存媒體離開 AWS 資料中心，而未使用 NIST 800-88 中所述的技術進行實體銷毀或消毒。AWS 服務和系統支援網路、記憶體和儲存裝置的永遠啟用加密。在許多情況下，有兩層或更多層的永遠啟用加密，這可確保僅限負責為客戶處理資料的系統可存取這些資料。

AWS 採用組織和技術檢查以及平衡措施來確保不會漏偵測任何安全事件，並且不會有個人或團體破壞重要的安全控制項。我們有意將 AWS 存取控制系統和存取監控系統分開，並由不同的團隊營運。

我們在設計 AWS 時採用了深度防禦安全措施，包括變更控制、不可變日誌功能、職責分離、多方核准、臨時授權機制和不干預操作工具。這些安全措施超越標準安全實務，從而確保 AWS 操作員執行的動作具備安全性和透明性，並且得到記錄和檢閱。

我們實作了許可群組來分配資源的存取權限；實作許可工具欄管理許可群組成員資格；實作安全工具來允許授權操作員無需直接存取服務資源即可執行系統維護和疑難排解。當員工變更角色或離開公司時，我們也會自動更新成員資格。