Protección de datos en Amazon Forecast - Amazon Forecast
Cifrado en reposoCifrado en tránsito y procesamientoCómo utiliza Amazon Forecast las subvenciones en AWS KMSCrear una clave administrada por el clienteSupervisión de las claves de cifrado para Amazon Forecast Service

Amazon Forecast ya no está disponible para nuevos clientes. Los clientes actuales de Amazon Forecast pueden seguir utilizando el servicio con normalidad. Más información

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Protección de datos en Amazon Forecast

El modelo de se aplica a protección de datos en Amazon Forecast. Como se describe en este modelo, AWS es responsable de proteger la infraestructura global en la que se ejecutan todos los Nube de AWS. Usted es responsable de mantener el control sobre el contenido alojado en esta infraestructura. Usted también es responsable de las tareas de administración y configuración de seguridad para los Servicios de AWS que utiliza. Para obtener más información sobre la privacidad de los datos, consulte la sección Privacidad de datos FAQ. Para obtener información sobre la protección de datos en Europa, consulte el modelo de responsabilidad AWS compartida y la entrada del GDPR blog sobre AWS seguridad.

Con fines de protección de datos, le recomendamos que proteja Cuenta de AWS las credenciales y configure los usuarios individuales con AWS IAM Identity Center o AWS Identity and Access Management (IAM). De esta manera, solo se otorgan a cada usuario los permisos necesarios para cumplir sus obligaciones laborales. También recomendamos proteger sus datos de la siguiente manera:

  • Utilice la autenticación multifactorial (MFA) con cada cuenta.

  • UseSSL/TLSpara comunicarse con AWS los recursos. Necesitamos TLS 1.2 y recomendamos TLS 1.3.

  • Configure API y registre la actividad del usuario con AWS CloudTrail. Para obtener información sobre el uso de CloudTrail senderos para capturar AWS actividades, consulte Cómo trabajar con CloudTrail senderos en la Guía del AWS CloudTrail usuario.

  • Utilice soluciones de AWS cifrado, junto con todos los controles de seguridad predeterminados Servicios de AWS.

  • Utilice servicios de seguridad administrados avanzados, como Amazon Macie, que lo ayuden a detectar y proteger los datos confidenciales almacenados en Amazon S3.

  • Si necesita entre FIPS 140 y 3 módulos criptográficos validados para acceder a AWS través de una interfaz de línea de comandos o unaAPI, utilice un FIPS terminal. Para obtener más información sobre los FIPS puntos finales disponibles, consulte la Norma federal de procesamiento de información () FIPS 140-3.

Se recomienda encarecidamente no introducir nunca información confidencial o sensible, como, por ejemplo, direcciones de correo electrónico de clientes, en etiquetas o campos de formato libre, tales como el campo Nombre. Esto incluye cuando trabaja con Forecast u otro tipo de Servicios de AWS uso de la consolaAPI, AWS CLI, o AWS SDKs. Cualquier dato que ingrese en etiquetas o campos de formato libre utilizados para nombres se puede emplear para los registros de facturación o diagnóstico. Si proporciona una URL a un servidor externo, le recomendamos encarecidamente que no incluya información sobre las credenciales URL para validar la solicitud a ese servidor.

Cifrado en reposo

En Amazon Forecast, la configuración de cifrado se proporciona durante las operaciones CreateDataset y CreatePredictor. Si se proporciona una configuración de cifrado en la CreateDataset operación, en la CreateDatasetImportJob operación se utilizará su CMK IAM función de cifrado en reposo.

Por ejemplo, si proporciona sus claves KMSKeyArn y una RoleArn en la EncryptionConfig declaración de la CreateDataset operación, Forecast asumirá esa función y utilizará la clave para cifrar el conjunto de datos. Si no se proporciona ninguna configuración, Forecast utiliza las claves de servicio predeterminadas para el cifrado. Además, si proporciona la EncryptionConfig información de la CreatePredictor operación, todas las operaciones subsiguientes (por ejemplo CreatePredictorExplanability CreatePredictorBacktestExportJob, CreateForecast y) utilizarán la misma configuración para realizar el cifrado en reposo. De nuevo, si no proporciona una configuración de cifrado, Forecast utilizará el cifrado de servicio predeterminado.

Para todos los datos almacenados en su bucket de Amazon S3, los datos se cifran con la clave de Amazon S3 predeterminada. También puedes usar tu propia AWS KMS clave para cifrar tus datos y dar acceso a Forecast a esta clave. Para más información sobre el cifrado de datos en Amazon S3, consulte Protección de datos mediante cifrado. Para obtener información sobre cómo administrar su propia AWS KMS clave, consulte Administrar claves en la Guía para AWS Key Management Service desarrolladores.

Cifrado en tránsito y procesamiento

Amazon TLS Forecast utiliza AWS certificados para cifrar cualquier dato enviado a otros AWS servicios. Cualquier comunicación con otros AWS servicios se produce de forma interrumpida y los HTTPS puntos de conexión de Forecast solo admiten conexiones seguras a través HTTPS de ella.

Amazon Forecast copia los datos de tu cuenta y los procesa en un AWS sistema interno. Al procesar datos, Forecast cifra los datos con una AWS KMS clave de Forecast o con cualquier AWS KMS clave que usted proporcione.

Cómo utiliza Amazon Forecast las subvenciones en AWS KMS

Amazon Forecast requiere una concesión para utilizar su clave administrada por el cliente.

Forecast crea una concesión utilizando el IAM rol que se transfiere durante EncryptionConfigla CreateDatasetoperación CreatePredictoro. Forecast asume la el rol y realiza una operación de creación de concesiones en su nombre. Consulte Configurar IAM el rol para obtener más información.

Sin embargo, cuando creas un predictor cifrado con una clave gestionada por el cliente, Amazon Forecast crea una subvención en tu nombre enviando una CreateGrantsolicitud a AWS KMS. Las concesiones in AWS KMS se utilizan para dar a Amazon Forecast acceso a una AWS KMS clave de la cuenta de un cliente.

Amazon Forecast requiere la concesión para poder utilizar la clave gestionada por el cliente a la que enviar solicitudes de descifrado con el AWS KMS fin de leer los artefactos del conjunto de datos cifrados. Forecast también utiliza la concesión para enviar GenerateDataKey solicitudes a AWS KMS fin de volver a cifrar los artefactos de entrenamiento y devolverlos a Amazon S3.

Puede revocar el acceso a la concesión o eliminar el acceso del servicio a la clave administrada por el cliente en cualquier momento. Si lo hace, Amazon Forecast no podrá acceder a ninguno de los datos cifrados por la clave administrada por el cliente, lo que afectará a las operaciones que dependen de esos datos. Por ejemplo, si intentas realizar la CreateForecast operación en un predictor cifrado al que Amazon Forecast no puede acceder, la operación devolverá un AccessDeniedException error.

Crear una clave administrada por el cliente

Puede crear una clave simétrica gestionada por el cliente mediante el AWS Management Console o el. AWS KMS API Para crear una clave simétrica administrada por el cliente, siga los pasos para crear claves asimétricas administradas por el cliente de la Guía del desarrollador de AWS Key Management Service .

Las políticas de clave controlan el acceso a la clave administrada por el cliente. Cada clave administrada por el cliente debe tener exactamente una política de clave, que contiene instrucciones que determinan quién puede usar la clave y cómo puede utilizarla. Cuando crea la clave administrada por el cliente, puede especificar una política de clave. Para obtener más información, consulte Administración del acceso a las claves en la Guía para desarrolladores de AWS Key Management Service .

Para utilizar la clave gestionada por el cliente con los recursos de Amazon Forecast, la política de claves debe permitir las siguientes API operaciones:

  • kms: DescribeKey — Proporciona los detalles clave gestionados por el cliente que permiten a Amazon Forecast validar la clave.

  • kms: CreateGrant — Añade una concesión a una clave gestionada por el cliente. Concede acceso de control a una AWS KMS clave específica, que permite el acceso a las operaciones de subvención que Amazon Forecast requiere. Esta operación permite que Amazon Forecast llame a GenerateDataKey para generar una clave de datos cifrada y almacenarla, ya que la clave de datos no se utiliza inmediatamente para el cifrado. Además, la operación permite a Amazon Forecast llamar a Decrypt para que pueda usar la clave de datos cifrados almacenada y acceder a los datos cifrados.

  • kms: RetireGrant - Retira todas las subvenciones concedidas durante la CreateGrant operación una vez finalizada la operación.

nota

Amazon Forecast realiza una validación de kms:Decrypt y kms:GenerateDataKey de la identidad de la persona que llama. Recibirás una AccessDeniedException en caso de que la persona que llama no tenga los permisos correspondientes. La política de claves también debe parecerse al código siguiente:

"Effect": "Allow",
"Principal": {
    "AWS": “AWS Invoking Identity”
},
"Action": [
    "kms:Decrypt",
    "kms:GenerateDataKey”
    ],
    "Resource": "*"
}

Para obtener más información, consulta la IAMPolítica.

Los siguientes son ejemplos de declaraciones de política que puede agregar para Amazon Forecast. Estos son los permisos mínimos necesarios, que también se pueden añadir mediante IAM políticas.

  "Statement" : [ 
    {"Sid" : "Allow access to principals authorized to use Amazon Forecast",
      "Effect" : "Allow",
      "Principal" : {"AWS" : "arn:aws:iam::111122223333:role/ROLE_PASSED_TO_FORECAST"
      },
      "Action" : [ 
        "kms:DescribeKey", 
        "kms:CreateGrant",
        "kms:RetireGrant"
      ],
      "Resource" : "*",
      "Condition" : {"StringEquals" : {"kms:ViaService" : "forecast.region.amazonaws.com",
          "kms:CallerAccount" : "111122223333"
        }
    },
    {"Sid": "Allow access for key administrators",
      "Effect": "Allow",
      "Principal": {"AWS": "arn:aws:iam::111122223333:root"
       },
      "Action" : [ 
        "kms:*"
       ],
      "Resource": "arn:aws:kms:region:111122223333:key/key_ID"
    }
  ]

Consulte la Guía para desarrolladores de AWS Key Management Service para obtener información sobre cómo especificar permisos en una política y cómo solucionar problemas de acceso a las claves.

Supervisión de las claves de cifrado para Amazon Forecast Service

Cuando utilizas una clave gestionada por el AWS KMS cliente con tus recursos de Amazon Forecast Service, puedes utilizar AWS CloudTrailAmazon CloudWatch Logs para realizar un seguimiento de las solicitudes a las que Forecast envía AWS KMS. Los siguientes ejemplos son AWS CloudTrail eventos para y DescribeKey para CreateGrant monitorizar AWS KMS las operaciones solicitadas por Amazon Forecast para acceder a los datos cifrados por la clave gestionada por el cliente. RetireGrant

DescribeKey
{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "AssumedRole",
        "principalId": "AROAIGDTESTANDEXAMPLE:Sampleuser01",
        "arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
        "accountId": "111122223333",
        "accessKeyId": "AKIAIOSFODNN7EXAMPLE3",
        "sessionContext": {
            "sessionIssuer": {
                "type": "Role",
                "principalId": "AROAIGDTESTANDEXAMPLE:Sampleuser01",
                "arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
                "accountId": "111122223333",
                "userName": "Admin"
            },
            "webIdFederationData": {},
            "attributes": {
                "creationDate": "2022-10-05T21:16:23Z",
                "mfaAuthenticated": "false"
            }
        }
    },
    "eventTime": "2022-10-05T21:16:23Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "DescribeKey",
    "awsRegion": "region",
    "sourceIPAddress": "172.12.34.56",
    "userAgent": "ExampleDesktop/1.0 (V1; OS)",
    "requestParameters": {
        "keyId": "arn:aws:kms:region:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
    },
    "responseElements": null,
    "requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "readOnly": true,
    "resources": [
        {
            "accountId": "111122223333",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:region:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "111122223333",
    "eventCategory": "Management",
    "tlsDetails": {
        "tlsVersion": "TLSv1.2",
        "cipherSuite": "ECDHE-RSA-AES256-GCM-SHA384",
        "clientProvidedHostHeader": "kms.region.amazonaws.com"
    }
}
CreateGrant
{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "AssumedRole",
        "principalId": "AROAIGDTESTANDEXAMPLE:Sampleuser01",
        "arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
        "accountId": "111122223333",
        "accessKeyId": "AKIAIOSFODNN7EXAMPLE3",
        "sessionContext": {
            "sessionIssuer": {
                "type": "Role",
                "principalId": "AROAIGDTESTANDEXAMPLE:Sampleuser01",
                "arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
                "accountId": "111122223333",
                "userName": "Admin"
            },
            "webIdFederationData": {},
            "attributes": {
                "creationDate": "2022-10-05T23:10:27Z",
                "mfaAuthenticated": "false"
            }
        }
    },
    "eventTime": "2022-10-05T23:10:27Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "CreateGrant",
    "awsRegion": "region",
    "sourceIPAddress": "172.12.34.56",
    "userAgent": "ExampleDesktop/1.0 (V1; OS)",
    "requestParameters": {
        "operations": [
            "Decrypt",
            "GenerateDataKey"
        ],
        "granteePrincipal": "AWS Internal",
        "keyId": "arn:aws:kms:region:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
    },
    "responseElements": {
        "grantId": "0ab0ac0d0b000f00ea00cc0a0e00fc00bce000c000f0000000c0bc0a0000aaafSAMPLE"
    },
    "requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "readOnly": false,
    "resources": [
        {
            "accountId": "111122223333",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:region:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "111122223333",
    "eventCategory": "Management",
    "tlsDetails": {
        "tlsVersion": "TLSv1.2",
        "cipherSuite": "ECDHE-RSA-AES256-GCM-SHA384",
        "clientProvidedHostHeader": "kms.region.amazonaws.com"
    }
}
RetireGrant
{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "AssumedRole",
        "principalId": "AROAIGDTESTANDEXAMPLE:Sampleuser01",
        "arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
        "accountId": "111122223333",
        "accessKeyId": "AKIAIOSFODNN7EXAMPLE3",
        "sessionContext": {
            "sessionIssuer": {
                "type": "Role",
                "principalId": "AROAIGDTESTANDEXAMPLE:Sampleuser01",
                "arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
                "accountId": "111122223333",
                "userName": "Admin"
            },
            "webIdFederationData": {},
            "attributes": {
                "creationDate": "2022-10-06T04:56:14Z",
                "mfaAuthenticated": "false"
            }
        }
    },
    "eventTime": "2022-10-06T04:56:14Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "RetireGrant",
    "awsRegion": "region",
    "sourceIPAddress": "172.12.34.56",
    "userAgent": "ExampleDesktop/1.0 (V1; OS)",
    "requestParameters": null,
    "responseElements": null,
    "additionalEventData": {
        "grantId": "0ab0ac0d0b000f00ea00cc0a0e00fc00bce000c000f0000000c0bc0a0000aaafSAMPLE"
    },
    "requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "readOnly": false,
    "resources": [
        {
            "accountId": "111122223333",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:region:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "111122223333",
    "eventCategory": "Management",
    "tlsDetails": {
        "tlsVersion": "TLSv1.2",
        "cipherSuite": "ECDHE-RSA-AES256-GCM-SHA384",
        "clientProvidedHostHeader": "kms.region.amazonaws.com"
    }
}