Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Protección de los datos en AWS Proton

AWS Proton cumple el modelo de responsabilidad compartida de los AWS, que incluye reglamentos y directrices para la protección de los datos. AWS es responsable de proteger la infraestructura global que ejecuta todos los Servicios de AWS. AWS mantiene el control de los datos alojados en esta infraestructura, incluidos los controles de configuración de la seguridad para el tratamiento del contenido y los datos personales de los clientes. Los clientes de AWS y los socios de APN, que actúan como controladores o procesadores de datos, son responsables de todos los datos personales que colocan en la Nube de AWS.

Para fines de protección de datos, le recomendamos proteger las credenciales de Cuenta de AWS y configurar cuentas de usuario individuales con AWS Identity and Access Management (IAM), de modo que a cada usuario se le concedan únicamente los permisos necesarios para llevar a cabo su trabajo. También recomendamos proteger sus datos de las siguientes formas:

Le recomendamos encarecidamente que nunca introduzca información de identificación confidencial, como, por ejemplo, números de cuenta de sus clientes, en los campos de texto de formato libre, como el campo Nombre. Incluye las situaciones en las que debe trabajar con la AWS Proton u otros Servicios de AWS a través de la consola, la API, la AWS CLI o los SDK de AWS. Es posible que cualquier dato que introduzca en los campos de texto de formato libre para los identificadores de recursos o elementos similares relacionados con la administración de los recursos de AWS se incluya en los registros de diagnóstico. Cuando proporcione una URL a un servidor externo, no incluya información de credenciales en la URL para validar la solicitud para ese servidor.

Para obtener más información sobre la protección de datos, consulte la entrada de blog relativa al modelo de responsabilidad compartida de AWS y GDPR en el blog de seguridad de AWS.

Cifrado del lado del servidor en reposo

Si el usuario decide cifrar los datos confidenciales de los paquetes de plantillas en resposo en el bucket de S3 en el que se almacenan los paquetes de plantillas, deberá utilizar una clave SSE-S3 o SSE-KMS para permitir que AWS Proton recupere los paquetes de plantillas con el fin de poder asociarlos a una plantilla registrada de AWS Proton.

Cifrado en tránsito

Toda la comunicación de un servicio a otro se cifra en tránsito mediante SSL/TLS.

Administración de claves de cifrado de AWS Proton

En AWS Proton, todos los datos de los clientes se cifran de forma predeterminada mediante una clave propia de AWS Proton. Si proporciona una clave de AWS KMS administrada por el cliente y propiedad del cliente, todos los datos del cliente se cifrarán con la clave proporcionada por el cliente, tal y como se describe en los párrafos siguientes.

Al crear una plantilla de AWS Proton, se especifica la clave y AWS Proton utiliza las credenciales para crear una autorización que permita a AWS Proton utilizar dicha clave.

Si retira la concesión manualmente o deshabilita o elimina la clave especificada, AWS Proton no podrá leer los datos cifrados por la clave especificada y arrojará ValidationException.

Contexto de cifrado de AWS Proton

AWS Proton admite encabezados de contexto de cifrado. Un contexto de cifrado es un conjunto opcional de pares clave-valor que pueden contener información contextual adicional sobre los datos. Para obtener información general sobre el contexto de cifrado, consulte Conceptos de AWS Key Management Service: contexto de cifrado en la Guía para desarrolladores de AWS Key Management Service.

Un contexto de cifrado es un conjunto de pares de clave-valor que contienen datos no secretos arbitrarios. Al incluir un contexto de cifrado en una solicitud para cifrar datos, AWS KMS vincula criptográficamente el contexto de cifrado a los datos cifrados. Para descifrar los datos, es necesario pasar el mismo contexto de cifrado.

Los clientes pueden utilizar el contexto de cifrado para identificar el uso de las claves administradas por el cliente en los registros de auditoría y en los registros. También aparece en texto no cifrado en los registros, como AWS CloudTrail y Registros de Amazon CloudWatch.

AWS Proton no incluye ningún contexto de cifrado especificado externamente o por el cliente.

AWS Proton agrega el siguiente contexto de cifrado.

{
  "aws:proton:template": "<proton-template-arn>",
  "aws:proton:resource": "<proton-resource-arn>" 
}

El primer contexto de cifrado identifica la plantilla de AWS Proton a la que está asociado el recurso y también sirve como restricción para los permisos y la concesión de claves administradas por el cliente.

El segundo contexto de cifrado identifica el recurso de AWS Proton que está cifrado.

Los siguientes ejemplos muestran el uso del contexto de cifrado en AWS Proton.

Un desarrollador que crea una instancia de servicio.

{
  "aws:proton:template": "arn:aws:proton:region_id:123456789012:service-template/my-template",
  "aws:proton:resource": "arn:aws:proton:region_id:123456789012:service/my-service/service-instance/my-service-instance" 
}

Un administrador que crea una plantilla.

{
  "aws:proton:template": "arn:aws:proton:region_id:123456789012:service-template/my-template",
  "aws:proton:resource": "arn:aws:proton:region_id:123456789012:service-template/my-template"
}