Appearance
Kiro 作为 AWS 托管服务,受 AWS 全球网络安全体系保护。客户端访问 Kiro API 须支持 TLS 1.2(推荐 1.3)及具备完美前向保密(PFS)的密码套件(DHE 或 ECDHE)。所有请求必须使用 IAM 主体的访问密钥签名,或通过 AWS STS 获取临时凭证进行签名。
Kiro 是 AWS 托管服务,受 AWS 全球网络安全体系保护。关于 AWS 安全服务和基础设施保护,请参阅 AWS Cloud Security。关于 AWS 环境基础设施安全最佳实践,请参阅 AWS Well-Architected Framework 安全支柱 — 基础设施保护。
客户端要求
通过网络访问 Kiro 时,客户端必须支持以下要求:
传输层安全(TLS)
- 最低要求:TLS 1.2
- 推荐使用:TLS 1.3
密码套件
- 必须使用具备**完美前向保密(PFS)**的密码套件,例如:
- DHE(Ephemeral Diffie-Hellman,临时 Diffie-Hellman)
- ECDHE(Elliptic Curve Ephemeral Diffie-Hellman,椭圆曲线临时 Diffie-Hellman)
- 大多数现代系统(Java 7 及以上等)均已支持这些模式。
请求签名
所有请求必须使用以下方式之一进行签名:
- 与 IAM 主体关联的访问密钥 ID 和私有访问密钥
- 通过 AWS Security Token Service(AWS STS) 生成的临时安全凭证进行签名
常见问题
Q:为什么 Kiro 要求 TLS 1.2 而不是更低版本?
A:TLS 1.0 和 1.1 存在已知安全漏洞(如 POODLE、BEAST 攻击),AWS 已全面停止对这些旧版本的支持。TLS 1.2 是当前行业最低安全基线,TLS 1.3 在握手速度和安全性上进一步提升,建议有条件时优先使用。
Q:完美前向保密(PFS)的实际意义是什么?
A:PFS 确保即使服务器的长期私钥在未来被泄露,攻击者也无法解密之前截获的加密流量。DHE 和 ECDHE 通过每次会话生成独立的临时密钥对来实现这一特性,是金融、医疗等高安全要求场景的必要配置。
Q:使用 AWS STS 临时凭证有什么优势?
A:临时凭证有内置过期时间(默认 1 小时,最长 12 小时),泄露后的影响范围有限;可通过 IAM 角色实现跨账号访问,无需共享长期密钥;支持细粒度权限控制,符合最小权限原则。对于 Kiro 企业场景,推荐使用基于角色的临时凭证替代长期访问密钥。