疑難點(diǎn)撥 | AWS 共享責(zé)任模型

Mar 17th, 2025 by Anna

官方指導(dǎo)

AWS 共享責(zé)任模型是指亞馬遜云科技和客戶的共同承擔(dān)安全性和合規(guī)性的責(zé)任的框架。總體上說，AWS 負(fù)責(zé)運(yùn)行、管理和控制從主機(jī)操作系統(tǒng)、虛擬層到服務(wù)運(yùn)營所在設(shè)施的物理組件的安全性。客戶負(fù)責(zé)管理 AWS 實(shí)例操作系統(tǒng)（包括更新和安全補(bǔ)丁）、其它相關(guān)應(yīng)用程序軟件、以及 AWS 提供的安全組防火墻的配置等。

比較分析

AWS 負(fù)責(zé)“云本身的安全”

AWS 負(fù)責(zé)保護(hù)運(yùn)行所有 AWS 云服務(wù)的基礎(chǔ)設(shè)施。該基礎(chǔ)實(shí)施由運(yùn)行 AWS 云服務(wù)的硬件、軟件、網(wǎng)絡(luò)和設(shè)備組成。

客戶負(fù)責(zé)“云內(nèi)部的安全”

客戶責(zé)任并非固定不變，而是跟隨客戶使用的 AWS 云服務(wù)不同而不同。客戶在履行安全責(zé)任時必須完成的配置工作量。

1. 基礎(chǔ)設(shè)施即服務(wù) (IaaS)
客戶需要執(zhí)行所有必要的安全配置和管理任務(wù)。例如實(shí)例操作系統(tǒng)（包括更新和安全補(bǔ)丁）的管理、在實(shí)例上安裝的任何應(yīng)用程序軟件或?qū)嵱霉ぞ撸约懊總€實(shí)例上 AWS 提供的防火墻（稱為安全組）的配置。比如：EC2 實(shí)例。

2. 抽象化服務(wù)（Abstract）
客戶通過訪問終端節(jié)點(diǎn)存儲和檢索數(shù)據(jù)。客戶負(fù)責(zé)管理其數(shù)據(jù)（包括加密選項(xiàng)），對其資產(chǎn)進(jìn)行分類，以及使用 IAM 工具分配適當(dāng)?shù)臋?quán)限。比如：Amazon S3 和 Amazon DynamoDB 等。

3. IT 控制體系
主要包括繼承控制體系、共享控制體系和特定于客戶的控制體系。繼承控制體系是完全繼承自 AWS 的控制體系。共享控制體系適用于基礎(chǔ)設(shè)施層和客戶層，AWS 會提出基礎(chǔ)設(shè)施方面的要求，客戶必須在使用 AWS 服務(wù)時提供自己的控制體系實(shí)施。特定于客戶的控制體系是完全由客戶負(fù)責(zé)，比如基于其部署在 AWS 服務(wù)中的應(yīng)用程序。

備考要點(diǎn)