Protección de los datos en AWS X-Ray - AWS X-Ray

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Protección de los datos en AWS X-Ray

AWS X-Ray siempre cifra los registros de seguimiento y los datos en reposo relacionados. Cuando necesite auditar y deshabilitar las claves de cifrado por motivos internos o de conformidad, puede configurar X-Ray para que utilice una AWS Key Management Service (AWS KMS) a la hora de cifrar los datos.

X-Ray proporciona una Clave administrada de AWS denominada aws/xray. Utilice esta clave únicamente cuando desee auditar el uso de claves en AWS CloudTrail y no la propia clave. Cuando necesite administrar el acceso a la clave o configurar la rotación de claves, puede crear una clave administrada por el cliente.

Si cambia la configuración de cifrado, X-Ray tardará algún tiempo en generar y propagar las claves de datos. Aunque la nueva clave se esté procesando, X-Ray puede cifrar los datos utilizando la configuración anterior y la nueva de forma combinada. Si se modifica la configuración de cifrado, los datos existentes no volverán a cifrarse.

nota

AWS KMS genera costos cuando X-Ray utiliza una clave de KMS para cifrar o descifrar los datos de rastreo.

  • Cifrado predeterminado: gratuito.

  • Clave administrada de AWS: se paga por el uso de las claves.

  • Clave administrada por el cliente: se paga por el uso y el almacenamiento de las claves.

Para obtener más información, consulte AWS Key Management Service Pricing.

nota

Las notificaciones de información de X-Ray envían eventos a Amazon EventBridge, que actualmente no admite claves administradas por el cliente. Para obtener más información, consulte Protección de datos en Amazon EventBridge.

Debe tener acceso de nivel de usuario a una clave administrada por el cliente para configurar X-Ray, utilizarlo y, a continuación, consultar los rastros cifrados. Para obtener más información, consulte Permisos de usuario para cifrado.

CloudWatch console
Para configurar X-Ray de manera que utilice una clave de KMS para el cifrado mediante la consola de CloudWatch

  1. Inicie sesión en la AWS Management Console y abra la consola de CloudWatch en https://console.aws.amazon.com/cloudwatch/.

  2. Elija Configuración en el panel de navegación izquierdo.

  3. Elija Ver ajustes en Cifrado dentro de la sección de Rastros de X-Ray.

  4. Elija Editar en la sección Configuración del cifrado.

  5. Elija Usar una clave de KMS.

  6. Elija una clave en el menú desplegable:

    • aws/xray: utilice la Clave administrada de AWS.

    • Alias de clave: utilice una clave administrada por el cliente en su cuenta.

    • Especifique manualmente un ARN de clave: utilice una clave administrada por el cliente en una cuenta diferente. En el campo que aparece, escriba el nombre de recurso de Amazon (ARN) completo.

  7. Elija Actualizar el cifrado.

X-Ray console
Para configurar X-Ray de manera que utilice una clave de KMS para el cifrado mediante la consola de X-Ray

  1. Abra la consola de X-Ray.

  2. Seleccione Encryption (Cifrado).

  3. Elija Usar una clave de KMS.

  4. Elija una clave en el menú desplegable:

    • aws/xray: utilice la Clave administrada de AWS.

    • Alias de clave: utilice una clave administrada por el cliente en su cuenta.

    • Especifique manualmente un ARN de clave: utilice una clave administrada por el cliente en una cuenta diferente. En el campo que aparece, escriba el nombre de recurso de Amazon (ARN) completo.

  5. Seleccione Apply (Aplicar).

nota

X-Ray no es compatible con claves de KMS asimétricas.

Si X-Ray no puede obtener acceso a la clave de cifrado, deja de almacenar los datos. Esto puede ocurrir si el usuario pierde acceso a la clave de KMS o si se deshabilita una clave que actualmente está en uso. Cuando esto sucede, X-Ray muestra una notificación en la barra de navegación.

Para configurar las opciones de cifrado con la API de X-Ray, consulte Configuración de las opciones de muestreo, grupos y cifrado con la API de AWS X-Ray.