【云安全】AWS Nitro系统的安全设计 --无AWS操作员访问

根据设计，Nitro系统没有操作员访问权限。没有任何系统或人员登录EC2 Nitro主机、访问EC2实例的内存或访问存储在本地加密实例存储或远程加密EBS卷上的任何客户数据的机制。如果任何AWS操作员（包括具有最高权限的操作员）需要在EC2服务器上执行维护工作，他们只能使用一组经过验证、授权、记录和审核的管理API。这些API都没有为操作员提供在EC2服务器上访问客户数据的能力。由于这些都是在Nitro系统中设计和测试的技术限制，AWS操作员无法绕过这些控制和保护。

与大多数工程决策一样，选择在没有操作员访问机制的情况下设计Nitro系统需要权衡。在极少数情况下，可能会出现微妙的问题，因为我们的生产硬件上没有通用的访问功能，AWS操作员无法就地调试。在这种罕见的情况下，我们必须根据客户的要求与他们合作，在专用的非生产Nitro调试硬件上重现这些微妙的问题。这可能比我们的运营商能够就地调试更不方便，但我们坚信这对我们的客户来说是更好的选择。因此，我们必须在产品发布之前坚持系统质量和测试的最高标准。