Cifrado en Amazon MWAA - Amazon Managed Workflows para Apache Airflow
Cifrado en reposoCifrado en tránsito

Cifrado en Amazon MWAA

En los siguientes temas se describe la manera en que Amazon MWAA protege los datos en reposo y los datos en tránsito. Utilice esta información para conocer cómo Amazon MWAA se integra con AWS KMS para cifrar los datos en reposo y cómo se cifran los datos en tránsito mediante el protocolo de seguridad de la capa de transporte (TLS).

Cifrado en reposo

En Amazon MWAA, los datos en reposo son datos que el servicio guarda en medios persistentes.

Al crear un entorno, puede utilizar una clave propiedad de AWS para el cifrado de los datos en reposo o, si lo desea, proporcionar una clave administrada por el cliente. Si opta por utilizar una clave de KMS administrada por el cliente, tenga en cuenta que deberá estar en la misma cuenta que los demás recursos y servicios de AWS que utilice en su entorno.

Para utilizar una clave de KMS administrada por el cliente, debe asociar a su política de claves la instrucción de política necesaria para el acceso de CloudWatch. Si utiliza una clave de KMS administrada por el cliente para su entorno, Amazon MWAA asocia cuatro concesiones en su nombre. Para más información sobre las concesiones que Amazon MWAA asocia a una clave de KMS administrada por el cliente, consulte Claves para el cifrado de datos administradas por el cliente.

Si no especifica una clave de KMS administrada por el cliente, Amazon MWAA utilizará de forma predeterminada una clave de KMS propiedad de AWS para cifrar y descifrar los datos. Recomendamos utilizar una clave de KMS propiedad de AWS para administrar el cifrado de datos en Amazon MWAA.

nota

En Amazon MWAA, paga por el almacenamiento y el uso tanto de las claves de KMS propiedad de AWS como de las administradas por el cliente. Para más información, consulte Precios de AWS KMS.

Artefactos de cifrado

Al crear su entorno de Amazon MWAA, deberá especificar los artefactos de cifrado que utilizará para el cifrado en reposo especificando una clave propiedad de AWS o una clave administrada por el cliente. Amazon MWAA se encargará de añadir la concesiones necesarias a la clave especificada.

Amazon S3: los datos de Amazon S3 se cifran a nivel de objeto mediante el cifrado del servidor (SSE). En Amazon S3, el cifrado y el descifrado se llevan a cabo en el bucket de Amazon S3 en el cual estén almacenados el código de sus DAG y los archivos auxiliares. Los objetos se cifran al cargarlos en Amazon S3 y se descifran al descargarlos de su entorno de Amazon MWAA. Si utiliza una clave de KMS administrada por el cliente, Amazon MWAA la utilizará para leer y descifrar los datos de su bucket de Amazon S3 de forma predeterminada.

Registros de Amazon CloudWatch: si utiliza una clave de KMS propiedad de AWS, los registros de Apache Airflow que se envíen a los registros de CloudWatch se cifrarán mediante el cifrado del servidor (SSE) con la clave de KMS propiedad de AWS de los Registros de CloudWatch. Si utiliza una clave de KMS administrada por el cliente, deberá añadir una política de claves a su clave de KMS para permitir que los Registros de CloudWatch puedan utilizarla.

Amazon SQS: Amazon MWAA creará una cola de Amazon SQS para su entorno. Amazon MWAA cifrará los datos que entren y salgan de la cola mediante el cifrado del servidor (SSE) con una clave de KMS propiedad de AWS o una clave de KMS administrada por el cliente que usted especifique. Deberá añadir los permisos de Amazon SQS a su rol de ejecución, independientemente de si utiliza una clave de KMS propiedad de AWS o una clave de KMS administrada por el cliente.

Aurora PostgreSQL: Amazon MWAA creará un clúster de PostgreSQL para su entorno. Aurora PostgreSQL cifrará el contenido mediante el cifrado del servidor (SSE) con una clave de KMS propiedad de AWS o una clave de KMS administrada por el cliente. Si utiliza una clave de KMS administrada por el cliente, Amazon RDS añadirá, como mínimo, dos concesiones a la clave: una para el clúster y otra para la instancia de base de datos. Amazon RDS podría crear concesiones adicionales si decide utilizar la clave de KMS administrada por el cliente en varios entornos. Para más información, consulte la protección de datos en Amazon RDS.

Cifrado en tránsito

Se denomina “datos en tránsito” a los datos que pueden ser interceptados mientras se desplazan por la red.

La seguridad de la capa de transporte (TLS) cifra los objetos de Amazon MWAA en tránsito entre los componentes de Apache Airflow de su entorno y otros servicios de AWS que se integran con Amazon MWAA, como Amazon S3. Para más información sobre cómo realiza el cifrado Amazon S3, consulte Protección de datos mediante cifrado.