Protección de datos en AWS Entity Resolution - AWS Entity Resolution
El cifrado de datos en reposo para AWS Entity ResolutionAdministración de claves

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Protección de datos en AWS Entity Resolution

La AWS modelo de responsabilidad compartida modelo de se aplica a la protección de datos en AWS Entity Resolution. Como se describe en este modelo, AWS es responsable de proteger la infraestructura global en la que se ejecutan todos los Nube de AWS. Usted es responsable de mantener el control sobre el contenido que está alojado en esta infraestructura. También es responsable de las tareas de configuración y administración de la seguridad del Servicios de AWS que utilices. Para obtener más información sobre la privacidad de los datos, consulte la sección Privacidad de datos FAQ. Para obtener información sobre la protección de datos en Europa, consulte la AWS Modelo de responsabilidad compartida y entrada de GDPR blog sobre AWS Blog de seguridad.

Para fines de protección de datos, le recomendamos que proteja Cuenta de AWS credenciales y configure los usuarios individuales con AWS IAM Identity Center o AWS Identity and Access Management (IAM). De esta manera, solo se otorgan a cada usuario los permisos necesarios para cumplir sus obligaciones laborales. También recomendamos proteger sus datos de la siguiente manera:

  • Utilice la autenticación multifactorial (MFA) con cada cuenta.

  • UtiliceSSL/TLSpara comunicarse con AWS recursos. Necesitamos TLS 1.2 y recomendamos TLS 1.3.

  • Configure API y registre la actividad de los usuarios con AWS CloudTrail. Para obtener información sobre el uso de CloudTrail senderos para capturar AWS actividades, consulte Trabajar con CloudTrail senderos en la AWS CloudTrail Guía del usuario.

  • Uso AWS soluciones de cifrado, junto con todos los controles de seguridad predeterminados Servicios de AWS.

  • Utilice servicios de seguridad administrados avanzados, como Amazon Macie, que lo ayuden a detectar y proteger los datos confidenciales almacenados en Amazon S3.

  • Si necesita entre FIPS 140 y 3 módulos criptográficos validados para acceder AWS a través de una interfaz de línea de comandos oAPI, utilice un FIPS punto final. Para obtener más información sobre los FIPS puntos finales disponibles, consulte la Norma Federal de Procesamiento de Información (FIPS) 140-3.

Se recomienda encarecidamente no introducir nunca información confidencial o sensible, como, por ejemplo, direcciones de correo electrónico de clientes, en etiquetas o campos de formato libre, tales como el campo Nombre. Esto incluye cuando trabaja con AWS Entity Resolution u otro Servicios de AWS utilizando la consolaAPI, AWS CLI, o AWS SDKs. Cualquier dato que ingrese en etiquetas o campos de formato libre utilizados para nombres se puede emplear para los registros de facturación o diagnóstico. Si proporciona una URL a un servidor externo, le recomendamos encarecidamente que no incluya información sobre las credenciales URL para validar su solicitud a ese servidor.

El cifrado de datos en reposo para AWS Entity Resolution

AWS Entity Resolution proporciona cifrado de forma predeterminada para proteger los datos confidenciales de los clientes en reposo mediante AWS claves de cifrado propias.

AWSclaves propias — AWS Entity Resolution utiliza estas claves de forma predeterminada para cifrar automáticamente los datos de identificación personal. No puede ver, administrar ni usar AWS claves propias o auditar su uso. Sin embargo, no es necesario que tome ninguna medida para proteger las claves que cifran sus datos. Para obtener más información, consulte las claves AWS propias en la AWS Key Management Service Guía para desarrolladores.

El cifrado de los datos en reposo de forma predeterminada ayuda a reducir la sobrecarga operativa y la complejidad que implica la protección de los datos confidenciales. Al mismo tiempo, puede utilizarla para crear aplicaciones seguras que cumplan con los estrictos requisitos normativos y de conformidad con el cifrado.

Como alternativa, también puede proporcionar una KMS clave de cifrado gestionada por el cliente al crear el recurso de flujo de trabajo correspondiente.

Claves administradas por el cliente: AWS Entity Resolution admite el uso de una KMS clave simétrica administrada por el cliente que usted crea, posee y administra para permitir el cifrado de sus datos confidenciales. Como usted tiene el control total de este cifrado, puede realizar dichas tareas como:

  • Establecer y mantener políticas de claves

  • Establecer y mantener IAM políticas y subvenciones

  • Habilitar y deshabilitar políticas de claves

  • Rotar el material criptográfico

  • Agregar etiquetas.

  • Crear alias de clave

  • Programar la eliminación de claves

Para obtener más información, consulte la clave gestionada por el cliente en el AWS Key Management Service Guía para desarrolladores.

Para obtener más información acerca de AWS KMS, consulte ¿Qué es el servicio de administración de AWS claves?

Administración de claves

Cómo AWS Entity Resolution utiliza subvenciones en AWS KMS

AWS Entity Resolution requiere una concesión para usar la clave gestionada por el cliente. Al crear un flujo de trabajo coincidente cifrado con una clave gestionada por el cliente, AWS Entity Resolution crea una subvención en tu nombre enviando una CreateGrantsolicitud a AWS KMS. Becas en AWS KMS se utilizan para dar AWS Entity Resolution acceso a una KMS clave de la cuenta de un cliente. AWS Entity Resolution requiere la autorización para utilizar la clave gestionada por el cliente en las siguientes operaciones internas:

  • Envíe GenerateDataKeylas solicitudes a AWS KMS para generar claves de datos cifradas por la clave gestionada por el cliente.

  • Envíe las solicitudes de descifrado a AWS KMS para descifrar las claves de datos cifrados para que puedan usarse para cifrar sus datos.

Puede revocar el acceso a la concesión o eliminar el acceso del servicio a la clave administrada por el cliente en cualquier momento. Si lo hace, AWS Entity Resolution no podrá acceder a ninguno de los datos cifrados por la clave gestionada por el cliente, lo que afectará a las operaciones que dependen de esos datos. Por ejemplo, si eliminas el acceso al servicio a tu clave mediante la concesión e intentas iniciar un trabajo para un flujo de trabajo coincidente cifrado con una clave de cliente, la operación devolverá un AccessDeniedException error.

Creación de una clave administrada por el cliente

Puede crear una clave simétrica gestionada por el cliente mediante el AWS Management Console, o el AWS KMS APIs.

Para crear una clave simétrica administrada por el cliente

AWS Entity Resolution admite el cifrado mediante KMSclaves de cifrado simétricas. Siga los pasos para crear una clave simétrica gestionada por el cliente en el AWS Key Management Service Guía para desarrolladores.

Declaración de política clave

Las políticas de clave controlan el acceso a la clave administrada por el cliente. Cada clave administrada por el cliente debe tener exactamente una política de clave, que contiene instrucciones que determinan quién puede usar la clave y cómo puede utilizarla. Cuando crea la clave administrada por el cliente, puede especificar una política de clave. Para obtener más información, consulte Administrar el acceso a las claves administradas por el cliente en la AWS Key Management Service Guía para desarrolladores.

Para usar tu clave gestionada por el cliente con tu AWS Entity Resolution recursos, la política clave debe permitir las siguientes API operaciones:

  • kms:DescribeKey— Proporciona información como la claveARN, la fecha de creación (y la fecha de eliminación, si corresponde), el estado de la clave y la fecha de origen y caducidad (si la hubiera) del material clave. Incluye campos que, por ejemploKeySpec, ayudan a distinguir los distintos tipos de KMS claves. También muestra el uso de la clave (cifrado, firma o generación y verificaciónMACs) y los algoritmos que admite la KMS clave. AWS Entity Resolution valida que el KeySpec es SYMMETRIC_DEFAULT y el es. KeyUsage ENCRYPT_DECRYPT

  • kms:CreateGrant: añade una concesión a una clave administrada por el cliente. Otorga el acceso de control a una KMS clave específica, que permite el acceso a las operaciones de concesión AWS Entity Resolution requiere. Para obtener más información sobre el uso de las subvenciones, consulte la AWS Key Management Service Guía para desarrolladores.

Esto permite AWS Entity Resolution para hacer lo siguiente:

  • Llamar a GenerateDataKey para generar una clave de datos cifrada y almacenarla, ya que la clave de datos no se utiliza inmediatamente para cifrar.

  • Llamar a Decrypt para usar la clave de datos cifrados almacenada para acceder a los datos cifrados.

  • Configurar una entidad principal que se retire para permitir que el servicio RetireGrant.

Los siguientes son ejemplos de declaraciones de política que puede añadir para AWS Entity Resolution:

{
      "Sid" : "Allow access to principals authorized to use AWS Entity Resolution",
      "Effect" : "Allow",
      "Principal" : {
        "AWS" : "*"
      },
      "Action" : ["kms:DescribeKey","kms:CreateGrant"],
      "Resource" : "*",
      "Condition" : {
        "StringEquals" : {
          "kms:ViaService" : "entityresolution.region.amazonaws.com",
          "kms:CallerAccount" : "111122223333"
        }
      }
}

Permisos para los usuarios

Al configurar una KMS clave como clave de cifrado predeterminada, la política de KMS claves predeterminada permite a cualquier usuario con acceso a las KMS acciones necesarias utilizar esta KMS clave para cifrar o descifrar los recursos. Debe conceder a los usuarios permiso para realizar las siguientes acciones a fin de utilizar el cifrado de KMS claves gestionado por el cliente:

  • kms:CreateGrant

  • kms:Decrypt

  • kms:DescribeKey

  • kms:GenerateDataKey

Durante una CreateMatchingWorkflowsolicitud, AWS Entity Resolution enviará una DescribeKeyy una CreateGrantsolicitud a AWS KMS en tu nombre. Esto requerirá que la IAM entidad que realice la CreateMatchingWorkflow solicitud con una KMS clave gestionada por el cliente disponga de los kms:DescribeKey permisos establecidos en la política de KMS claves.

Durante una StartIdMappingJobsolicitud CreateIdMappingWorkflowde venta, AWS Entity Resolution enviará una solicitud DescribeKeyy una CreateGrantsolicitud a AWS KMS en tu nombre. Esto requerirá que la IAM entidad que efectúe la CreateIdMappingWorkflow StartIdMappingJob solicitud con una KMS clave gestionada por el cliente disponga de los kms:DescribeKey permisos establecidos en la política de KMS claves. Los proveedores podrán acceder a la clave gestionada por el cliente para descifrar los datos del AWS Entity Resolution Bucket de Amazon S3.

Los siguientes son ejemplos de declaraciones de política que puede añadir para que los proveedores descifren los datos del AWS Entity Resolution Bucket de Amazon S3:

{
    "Version": "2012-10-17",
    "Statement": [{
        "Effect": "Allow",
        "Principal": {
            "AWS": "arn:aws:iam::715724997226:root" 
        },
        "Action": [
            "kms:Decrypt"
        ],
        "Resource": "<KMSKeyARN>",
        "Condition": {
            "StringEquals": {
                "kms:ViaService": "s3.amazonaws.com"
            }
        }
    }]
}

Sustituya cada <user input placeholder> con tu propia información.

<KMSKeyARN> AWS KMS Nombre de recurso de Amazon.

Del mismo modo, la IAM entidad que invoca la clave StartMatchingJobAPIimprescindible kms:Decrypt y kms:GenerateDataKey los permisos sobre la KMS clave gestionada por el cliente proporcionada en el flujo de trabajo correspondiente.

Para obtener más información sobre cómo especificar los permisos en una política, consulte la AWS Key Management Service Guía para desarrolladores.

Para obtener más información sobre la solución de problemas de acceso a las claves, consulte la AWS Key Management Service Guía para desarrolladores.

Especificar una clave gestionada por el cliente para AWS Entity Resolution

Puede especificar una clave administrada por el cliente como cifrado de segunda capa para los siguientes recursos:

Flujo de trabajo coincidente: al crear un recurso de flujo de trabajo coincidente, puede especificar la clave de datos introduciendo una KMSArn, que AWS Entity Resolution se utiliza para cifrar los datos personales identificables almacenados por el recurso.

KMSArn— Introduzca una claveARN, que es un identificador clave para un AWS KMS clave gestionada por el cliente.

Puede especificar una clave gestionada por el cliente como cifrado de segunda capa para los siguientes recursos si va a crear o ejecutar un flujo de trabajo de mapeo de ID en dos Cuentas de AWS:

Flujo de trabajo de mapeo de ID o flujo de trabajo de mapeo de ID de inicio: al crear un recurso de flujo de trabajo de mapeo de ID o iniciar un trabajo de flujo de trabajo de mapeo de ID, puede especificar la clave de datos introduciendo una KMSArn, que AWS Entity Resolution se utiliza para cifrar los datos personales identificables almacenados por el recurso.

KMSArn— Introduzca una claveARN, que es un identificador clave para un AWS KMS clave gestionada por el cliente.

Supervisar sus claves de cifrado para AWS Entity Resolution Servicio

Cuando utilizas un AWS KMS clave gestionada por el cliente con su AWS Entity Resolution Recursos de servicio, que puede utilizar AWS CloudTrailo Amazon CloudWatch Logs para realizar un seguimiento de las solicitudes que AWS Entity Resolution envía a AWS KMS.

Los siguientes ejemplos son AWS CloudTrail eventos paraCreateGrant, GenerateDataKeyDecrypt, y DescribeKey para monitorear AWS KMS operaciones convocadas por AWS Entity Resolution para acceder a los datos cifrados por la clave gestionada por el cliente:

CreateGrant

Cuando utiliza un AWS KMS clave gestionada por el cliente para cifrar el recurso de flujo de trabajo correspondiente, AWS Entity Resolution envía una CreateGrant solicitud en su nombre para acceder a la KMS clave de su Cuenta de AWS. La concesión que AWS Entity Resolution las creaciones son específicas del recurso asociado a AWS KMS clave gestionada por el cliente. Además, AWS Entity Resolution utiliza la RetireGrant operación para eliminar una concesión al eliminar un recurso.

El siguiente evento de ejemplo registra la operación CreateGrant:


{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "AssumedRole",
        "principalId": "AROAIGDTESTANDEXAMPLE:Sampleuser01",
        "arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
        "accountId": "111122223333",
        "accessKeyId": "AKIAIOSFODNN7EXAMPLE3",
        "sessionContext": {
            "sessionIssuer": {
                "type": "Role",
                "principalId": "AROAIGDTESTANDEXAMPLE:Sampleuser01",
                "arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
                "accountId": "111122223333",
                "userName": "Admin"
            },
            "webIdFederationData": {},
            "attributes": {
                "mfaAuthenticated": "false",
                "creationDate": "2021-04-22T17:02:00Z"
            }
        },
        "invokedBy": "entityresolution.amazonaws.com"
    },
    "eventTime": "2021-04-22T17:07:02Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "CreateGrant",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "172.12.34.56",
    "userAgent": "ExampleDesktop/1.0 (V1; OS)",
    "requestParameters": {
        "retiringPrincipal": "entityresolution.region.amazonaws.com",
        "operations": [
            "GenerateDataKey",
            "Decrypt",
        ],
        "keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
        "granteePrincipal": "entityresolution.region.amazonaws.com"
    },
    "responseElements": {
        "grantId": "0ab0ac0d0b000f00ea00cc0a0e00fc00bce000c000f0000000c0bc0a0000aaafSAMPLE",
        "keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
    },
    "requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "readOnly": false,
    "resources": [
        {
            "accountId": "111122223333",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "eventCategory": "Management",
    "recipientAccountId": "111122223333"
}

DescribeKey

AWS Entity Resolution utiliza la DescribeKey operación para comprobar si el AWS KMS La clave gestionada por el cliente asociada al recurso coincidente existe en la cuenta y la región.

El siguiente evento de ejemplo registra la operación DescribeKey.

{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "AssumedRole",
        "principalId": "AROAIGDTESTANDEXAMPLE:Sampleuser01",
        "arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
        "accountId": "111122223333",
        "accessKeyId": "AKIAIOSFODNN7EXAMPLE3",
        "sessionContext": {
            "sessionIssuer": {
                "type": "Role",
                "principalId": "AROAIGDTESTANDEXAMPLE:Sampleuser01",
                "arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
                "accountId": "111122223333",
                "userName": "Admin"
            },
            "webIdFederationData": {},
            "attributes": {
                "mfaAuthenticated": "false",
                "creationDate": "2021-04-22T17:02:00Z"
            }
        },
        "invokedBy": "entityresolution.amazonaws.com"
    },
    "eventTime": "2021-04-22T17:07:02Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "DescribeKey",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "172.12.34.56",
    "userAgent": "ExampleDesktop/1.0 (V1; OS)",
    "requestParameters": {
        "keyId": "00dd0db0-0000-0000-ac00-b0c000SAMPLE"
    },
    "responseElements": null,
    "requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "readOnly": true,
    "resources": [
        {
            "accountId": "111122223333",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "eventCategory": "Management",
    "recipientAccountId": "111122223333"
}

GenerateDataKey

Cuando habilitas una AWS KMS clave gestionada por el cliente para el recurso de flujo de trabajo correspondiente, AWS Entity Resolution envía una GenerateDataKey solicitud a través de Amazon Simple Storage Service (Amazon S3) a AWS KMS que especifica el AWS KMS clave gestionada por el cliente para el recurso.

El siguiente evento de ejemplo registra la operación GenerateDataKey.

{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "AWSService",
        "invokedBy": "s3.amazonaws.com"
    },
    "eventTime": "2021-04-22T17:07:02Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "GenerateDataKey",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "172.12.34.56",
    "userAgent": "ExampleDesktop/1.0 (V1; OS)",
    "requestParameters": {
        "keySpec": "AES_256",
        "keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
    },
    "responseElements": null,
    "requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "readOnly": true,
    "resources": [
        {
            "accountId": "111122223333",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "eventCategory": "Management",
    "recipientAccountId": "111122223333",
    "sharedEventID": "57f5dbee-16da-413e-979f-2c4c6663475e"
}

Decrypt

Cuando se habilita una AWS KMS clave gestionada por el cliente para el recurso de flujo de trabajo correspondiente, AWS Entity Resolution envía una Decrypt solicitud a través de Amazon Simple Storage Service (Amazon S3) a AWS KMS que especifica el AWS KMS clave gestionada por el cliente para el recurso.

El siguiente evento de ejemplo registra la operación Decrypt.

{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "AWSService",
        "invokedBy": "s3.amazonaws.com"
    },
    "eventTime": "2021-04-22T17:10:51Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "Decrypt",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "172.12.34.56",
    "userAgent": "ExampleDesktop/1.0 (V1; OS)",
    "requestParameters": {
        "keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
        "encryptionAlgorithm": "SYMMETRIC_DEFAULT"
    },
    "responseElements": null,
    "requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "readOnly": true,
    "resources": [
        {
            "accountId": "111122223333",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "eventCategory": "Management",
    "recipientAccountId": "111122223333",
    "sharedEventID": "dc129381-1d94-49bd-b522-f56a3482d088"
}

Consideraciones

AWS Entity Resolution no admite la actualización de un flujo de trabajo coincidente con una nueva KMS clave gestionada por el cliente. En esos casos, puedes crear un nuevo flujo de trabajo con la KMS clave gestionada por el cliente.

Más información

Los siguientes recursos proporcionan más información sobre cifrado de datos en reposo.

Para obtener más información sobre los conceptos básicos del Servicio de administración de AWS claves, consulte la AWS Key Management Service Guía para desarrolladores.

Para obtener más información sobre las prácticas recomendadas de seguridad para el Servicio de administración de AWS claves, consulte la AWS Key Management Service Guía para desarrolladores.