13、AWS 数据存储与网络安全全解析

AWS 数据存储与网络安全全解析

1. AWS 数据存储安全概述

在当今数字化时代，数据安全至关重要。AWS 提供了一系列强大的工具和服务，帮助用户保护其数据存储的安全性。我们将从几个关键方面来探讨 AWS 如何保障数据安全。

1.1 AWS Lambda 环境变量加密

AWS Lambda 通常不用于长期存储，但提供给 Lambda 函数的环境变量可能包含敏感数据。为避免数据泄露，AWS 允许对这些环境变量进行加密，有以下两种方式：
- 使用 CMK 加密 ：与 AWS S3 和 AWS ECR 类似，环境变量可以在服务器端加密。用户可以选择让 AWS 使用其拥有的 CMK 处理加密，或者通过提供现有 CMK 的引用，自行管理 CMK 的权限和生命周期，并使用最小权限原则（PoLP）保护 CMK。
- 使用外部助手加密 ：加密助手在将变量添加到 Lambda 之前，在命令端对其进行加密，为环境变量增加了一层额外的保护，确保变量在 AWS 控制台中不以未加密形式显示。

1.2 AWS Elastic Block Store（EBS）加密

如果服务运行在 EC2 上（直接运行或通过 Amazon Elastic Kubernetes Service [EKS] 以 EC2 作为工作节点），可以使用 AWS KMS 加密支持这些 EC2 实例的 EBS 卷。EBS 卷的数据密钥会被缓存，以提高速度和可靠性。当实例连接到卷时，它可以在不向基于 KMS 的 CMK 发出请求的情况下访问 EBS 卷中的数据。但每次实例终止后，可能需要向 CMK 发