CJIS 安全策略概述了“保护 CJI（刑事司法信息）的整个生命周期的适当控制措施，无论是静态信息还是传输中的信息”，而不管底层信息技术模型是什么。通过使用基于 AWS 构建的解决方案，代理商可以在 AWS 云中管理和保护其应用程序和数据的安全。

AWS 提供构建块，公共安全机构及其应用程序合作伙伴可以利用这些构建块根据 CJIS 安全策略构建高度可用、弹性和安全的应用程序。AWS 客户对其数据保持完全的所有权和控制权，这通过访问简单、强大的原生云工具而实现，而这些工具允许他们管理敏感客户数据的整个生命周期。客户对数据存储的位置以及用户保护传输中和静态数据安全的方法实施排他性控制，并管理对基于 AWS 构建的信息系统的访问。

正确保护刑事司法信息（CJI）并保持遵守 CJIS 安全策略需要一系列安全控制措施，旨在确保只有经过授权的个人才能访问 CJI。最低权限原则是基于“需要了解、有权了解”标准的 CJIS 安全策略最基本的基础之一。AWS 客户可以通过安全地加密其 CJI 并将对 CJI 的所有访问限制为仅限有权访问加密密钥的人来实施最低权限。为客户提供 AWS 服务和工具，使其代理商和可信赖的合作伙伴能够保留对其自身刑事司法数据的完全控制权和所有权，例如 AWS Key Management Service（KMS）和 AWS Nitro System。

AWS KMS 使用根据 FIPS 140-3 进行验证的硬件安全模块（HSM），并允许客户创建、拥有和管理其自己的用于所有加密的客户主密钥。这些客户主密钥永远不会以未加密的方式离开 AWS KMS FIPS 验证的硬件安全模块，并且 AWS 工作人员也不会知道这些密钥。

AWS Nitro System 使用专门为运行虚拟机监控程序而设计的专用硬件和服务器（仅此而已），以移除传统服务器上所有额外和不必要的端口、组件和功能。AWS Nitro 系统的安全模式被锁定并禁止管理访问，从而消除人为错误和篡改的可能性。客户还可以选择 AWS Nitro Enclaves，其特点是没有持久存储、没有交互访问、没有外部网络来创建隔离的计算环境，从而进一步保护和安全处理高度敏感的数据。

由于将经过 FIPS 140-3 验证的硬件安全模块用于对称加密密钥的 AWS Nitro System 和 AWS Key Management Service 取得了技术进步，已经不再需要使用传统的方法，即依靠物理安全和背景检查来确定个人“访问”未加密的 CJI 的资格。虽然传统方法有助于根据 CJIS 安全策略实现最低合规性，但与使用强加密实践和部署“最低权限”原则将 CJI 访问限制为需要了解、有权了解和明确授权的用户所能实现的安全性相比，这是不可比拟的。这使得客户和应用程序提供商能够构建解决方案，消除所有 AWS 员工对 CJI 以及存储、处理和传输 CJI 的设备的物理和逻辑访问。