Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Protection des données dans Résolution des entités AWS
Le AWS modèle de responsabilité partagée modèle
Pour des raisons de protection des données, nous vous recommandons de protéger Compte AWS informations d'identification et configuration des utilisateurs individuels avec AWS IAM Identity Center or AWS Identity and Access Management (IAM). Ainsi, chaque utilisateur se voit attribuer uniquement les autorisations nécessaires pour exécuter ses tâches. Nous vous recommandons également de sécuriser vos données comme indiqué ci-dessous :
-
Utilisez l'authentification multifactorielle (MFA) pour chaque compte.
-
UtilisezSSL/TLSpour communiquer avec AWS ressources. Nous avons besoin de la TLS version 1.2 et recommandons la TLS version 1.3.
-
Configuration API et enregistrement de l'activité des utilisateurs avec AWS CloudTrail. Pour plus d'informations sur l'utilisation CloudTrail des sentiers pour capturer AWS activités, voir Travailler avec les CloudTrail sentiers dans le AWS CloudTrail Guide de l'utilisateur.
-
Utiliser AWS des solutions de chiffrement, ainsi que tous les contrôles de sécurité par défaut Services AWS.
-
Utilisez des services de sécurité gérés avancés tels qu’Amazon Macie, qui contribuent à la découverte et à la sécurisation des données sensibles stockées dans Amazon S3.
-
Si vous avez besoin de FIPS 140 à 3 modules cryptographiques validés pour accéder AWS via une interface de ligne de commande ou unAPI, utilisez un FIPS point de terminaison. Pour plus d'informations sur les FIPS points de terminaison disponibles, voir Federal Information Processing Standard (FIPS) 140-3
.
Nous vous recommandons fortement de ne jamais placer d’informations confidentielles ou sensibles, telles que les adresses e-mail de vos clients, dans des balises ou des champs de texte libre tels que le champ Name (Nom). Cela inclut lorsque vous travaillez avec Résolution des entités AWS ou autre Services AWS à l'aide de la consoleAPI, AWS CLI, ou AWS SDKs. Toutes les données que vous entrez dans des balises ou des champs de texte de forme libre utilisés pour les noms peuvent être utilisées à des fins de facturation ou dans les journaux de diagnostic. Si vous fournissez un URL à un serveur externe, nous vous recommandons vivement de ne pas inclure d'informations d'identification dans le URL afin de valider votre demande auprès de ce serveur.
Chiffrement des données au repos pour Résolution des entités AWS
Résolution des entités AWS fournit un chiffrement par défaut pour protéger les données sensibles des clients au repos en utilisant AWS clés de chiffrement détenues.
AWSclés possédées — Résolution des entités AWS utilise ces clés par défaut pour chiffrer automatiquement les données personnelles identifiables. Vous ne pouvez ni afficher, ni gérer, ni utiliser AWS clés détenues, ou auditez leur utilisation. Cependant, vous n'êtes pas obligé de prendre des mesures pour protéger les clés qui chiffrent vos données. Pour plus d'informations, consultez la section sur les clés AWS détenues dans le AWS Key Management Service Guide du développeur.
Le chiffrement des données au repos par défaut permet de réduire les frais opérationnels et la complexité liés à la protection des données sensibles. Dans le même temps, vous pouvez l'utiliser pour créer des applications sécurisées qui répondent aux exigences réglementaires et de conformité strictes en matière de chiffrement.
Vous pouvez également fournir une KMS clé de chiffrement gérée par le client lorsque vous créez la ressource de flux de travail correspondante.
Clés gérées par le client — Résolution des entités AWS prend en charge l'utilisation d'une KMS clé symétrique gérée par le client que vous créez, détenez et gérez pour permettre le chiffrement de vos données sensibles. Étant donné que vous avez le contrôle total de cette couche de chiffrement, vous pouvez effectuer les tâches suivantes :
-
Établissement et gestion des stratégies de clé
-
Établir et maintenir IAM des politiques et des subventions
-
Activation et désactivation des stratégies de clé
-
Rotation des matériaux de chiffrement de clé
-
Ajout de balises
-
Création d'alias de clé
-
Planification des clés pour la suppression
Pour plus d'informations, consultez la section clé gérée par le client dans le AWS Key Management Service Guide du développeur.
Pour plus d'informations sur AWS KMS, voir Qu'est-ce que le service de gestion des AWS clés ?
Gestion des clés
Comment ? Résolution des entités AWS utilise les subventions dans AWS KMS
Résolution des entités AWS nécessite une autorisation pour utiliser votre clé gérée par le client. Lorsque vous créez un flux de travail correspondant chiffré à l'aide d'une clé gérée par le client, Résolution des entités AWS crée une subvention en votre nom en envoyant une CreateGrantdemande à AWS KMS. Subventions en AWS KMS sont utilisés pour donner Résolution des entités AWS accès à une KMS clé dans un compte client. Résolution des entités AWS nécessite l'autorisation d'utiliser votre clé gérée par le client pour les opérations internes suivantes :
-
Envoyez vos GenerateDataKeydemandes à AWS KMS pour générer des clés de données chiffrées par votre clé gérée par le client.
-
Envoyer les demandes de déchiffrement à AWS KMS pour déchiffrer les clés de données chiffrées afin qu'elles puissent être utilisées pour chiffrer vos données.
Vous pouvez révoquer l'accès à l'octroi ou supprimer l'accès du service à la clé gérée par le client à tout moment. Si c'est le cas, Résolution des entités AWS ne pourra accéder à aucune des données chiffrées par la clé gérée par le client, ce qui affecte les opérations qui dépendent de ces données. Par exemple, si vous supprimez l'accès au service à votre clé par le biais de l'autorisation et que vous tentez de démarrer une tâche pour un flux de travail correspondant chiffré à l'aide d'une clé client, l'opération renverra une AccessDeniedException erreur.
Création d'une clé gérée par le client
Vous pouvez créer une clé symétrique gérée par le client à l'aide du AWS Management Console, ou le AWS KMS APIs.
Pour créer une clé symétrique gérée par le client
Résolution des entités AWS prend en charge le chiffrement à l'aide de KMSclés de chiffrement symétriques. Suivez les étapes de création d'une clé symétrique gérée par le client dans AWS Key Management Service Guide du développeur.
Déclaration de politique clé
Les politiques de clés contrôlent l’accès à votre clé gérée par le client. Chaque clé gérée par le client doit avoir exactement une stratégie de clé, qui contient des instructions qui déterminent les personnes pouvant utiliser la clé et comment elles peuvent l’utiliser. Lorsque vous créez votre clé gérée par le client, vous pouvez spécifier une stratégie de clé. Pour plus d'informations, consultez la section Gestion de l'accès aux clés gérées par le client dans le AWS Key Management Service Guide du développeur.
Pour utiliser votre clé gérée par le client avec votre Résolution des entités AWS ressources, les API opérations suivantes doivent être autorisées dans la politique clé :
-
kms:DescribeKey— Fournit des informations telles que la cléARN, la date de création (et la date de suppression, le cas échéant), l'état de la clé, ainsi que les dates d'origine et d'expiration (le cas échéant) du matériel clé. Il inclut des champs, tels queKeySpec, qui vous aident à distinguer les différents types de KMS clés. Il affiche également l'utilisation de la clé (chiffrement, signature ou génération et vérificationMACs) et les algorithmes pris en charge par la KMS clé. Résolution des entités AWS confirme que leKeySpecestSYMMETRIC_DEFAULTet l'KeyUsageestENCRYPT_DECRYPT. -
kms:CreateGrant: ajoute une attribution à une clé gérée par le client. Accorde un accès de contrôle à une KMS clé spécifiée, ce qui permet d'accéder aux opérations d'octroi Résolution des entités AWS nécessite. Pour plus d'informations sur l'utilisation des subventions, consultez le AWS Key Management Service Guide du développeur.
Cela permet Résolution des entités AWS pour effectuer les opérations suivantes :
-
Appelez
GenerateDataKeypour générer une clé de données chiffrée et la stocker, car la clé de données n'est pas immédiatement utilisée pour chiffrer. -
Appelez
Decryptpour utiliser la clé de données chiffrée stockée afin d'accéder aux données chiffrées. -
Configurez un directeur partant à la retraite pour permettre au service de
RetireGrant.
Vous trouverez ci-dessous des exemples de déclarations de politique que vous pouvez ajouter Résolution des entités AWS:
{ "Sid" : "Allow access to principals authorized to use AWS Entity Resolution", "Effect" : "Allow", "Principal" : { "AWS" : "*" }, "Action" : ["kms:DescribeKey","kms:CreateGrant"], "Resource" : "*", "Condition" : { "StringEquals" : { "kms:ViaService" : "entityresolution.region.amazonaws.com", "kms:CallerAccount" : "111122223333" } } }
Autorisations pour les utilisateurs
Lorsque vous configurez une KMS clé comme clé par défaut pour le chiffrement, la politique de KMS clé par défaut permet à tout utilisateur ayant accès aux KMS actions requises d'utiliser cette KMS clé pour chiffrer ou déchiffrer des ressources. Vous devez autoriser les utilisateurs à effectuer les actions suivantes afin d'utiliser le chiffrement par KMS clé géré par le client :
-
kms:CreateGrant -
kms:Decrypt -
kms:DescribeKey -
kms:GenerateDataKey
Lors d'une CreateMatchingWorkflowdemande, Résolution des entités AWS enverra une demande DescribeKeyet une CreateGrantdemande à AWS KMS en votre nom. Cela obligera l'IAMentité qui fait la CreateMatchingWorkflow demande avec une KMS clé gérée par le client à disposer des kms:DescribeKey autorisations relatives à la politique des KMS clés.
Lors d'une StartIdMappingJobdemande CreateIdMappingWorkflowet, Résolution des entités AWS enverra une demande DescribeKeyet une CreateGrantdemande à AWS KMS en votre nom. Cela obligera l'IAMentité qui fait la StartIdMappingJob demande CreateIdMappingWorkflow et à l'aide d'une KMS clé gérée par le client à disposer kms:DescribeKey des autorisations relatives à la politique KMS clé. Les fournisseurs pourront accéder à la clé gérée par le client pour déchiffrer les données du Résolution des entités AWS Compartiment Amazon S3.
Vous trouverez ci-dessous des exemples de déclarations de politique que vous pouvez ajouter pour que les fournisseurs puissent déchiffrer les données contenues dans Résolution des entités AWS Compartiment Amazon S3 :
{ "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::715724997226:root" }, "Action": [ "kms:Decrypt" ], "Resource": "<KMSKeyARN>", "Condition": { "StringEquals": { "kms:ViaService": "s3.amazonaws.com" } } }] }
Remplacez chacun <user input placeholder> avec vos propres informations.
<KMSKeyARN> |
AWS KMS Amazon Resource Name. |
De même, l'IAMentité invoquant le StartMatchingJobAPImust have kms:Decrypt et kms:GenerateDataKey les autorisations sur la KMS clé gérée par le client fournie dans le flux de travail correspondant.
Pour plus d'informations sur la définition des autorisations dans une politique, consultez le AWS Key Management Service Guide du développeur.
Pour plus d'informations sur la résolution des problèmes d'accès par clé, consultez le AWS Key Management Service Guide du développeur.
Spécification d'une clé gérée par le client pour Résolution des entités AWS
Vous pouvez spécifier une clé gérée par le client en tant que seconde couche de chiffrement pour les ressources suivantes :
Flux de travail correspondant : lorsque vous créez une ressource de flux de travail correspondante, vous pouvez spécifier la clé de données en saisissant un KMSArn, qui Résolution des entités AWS utilise pour chiffrer les données personnelles identifiables stockées par la ressource.
KMSArn— Entrez une cléARN, qui est un identifiant de clé pour AWS KMS clé gérée par le client.
Vous pouvez spécifier une clé gérée par le client comme deuxième couche de chiffrement pour les ressources suivantes si vous créez ou exécutez un flux de travail de mappage d'identifiants sur deux Comptes AWS:
Workflow de mappage d'ID ou Start ID Mapping Workflow — Lorsque vous créez une ressource de flux de travail de mappage d'ID ou que vous démarrez un travail de workflow de mappage d'ID, vous pouvez spécifier la clé de données en saisissant un KMSArn, qui Résolution des entités AWS utilise pour chiffrer les données personnelles identifiables stockées par la ressource.
KMSArn— Entrez une cléARN, qui est un identifiant de clé pour AWS KMS clé gérée par le client.
Surveillance de vos clés de chiffrement pour Résolution des entités AWS Service
Lorsque vous utilisez un AWS KMS clé gérée par le client avec votre Résolution des entités AWS Des ressources de service que vous pouvez utiliser AWS CloudTrailou Amazon CloudWatch Logs pour suivre les demandes qui Résolution des entités AWS envoie à AWS KMS.
Les exemples suivants sont AWS CloudTrail événements pourCreateGrant, GenerateDataKeyDecrypt, et DescribeKey à surveiller AWS KMS opérations appelées par Résolution des entités AWS pour accéder aux données chiffrées à l'aide de la clé gérée par le client :
CreateGrant
Lorsque vous utilisez un AWS KMS clé gérée par le client pour chiffrer la ressource de flux de travail correspondante, Résolution des entités AWS envoie une CreateGrant demande en votre nom pour accéder à la KMS clé de votre Compte AWS. La subvention qui Résolution des entités AWS les créations sont spécifiques à la ressource associée au AWS KMS clé gérée par le client. En outre, Résolution des entités AWS utilise l'RetireGrantopération pour supprimer une subvention lorsque vous supprimez une ressource.
L'exemple d'événement suivant enregistre l'opération CreateGrant :
{ "eventVersion": "1.08", "userIdentity": { "type": "AssumedRole", "principalId": "AROAIGDTESTANDEXAMPLE:Sampleuser01", "arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01", "accountId": "111122223333", "accessKeyId": "AKIAIOSFODNN7EXAMPLE3", "sessionContext": { "sessionIssuer": { "type": "Role", "principalId": "AROAIGDTESTANDEXAMPLE:Sampleuser01", "arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01", "accountId": "111122223333", "userName": "Admin" }, "webIdFederationData": {}, "attributes": { "mfaAuthenticated": "false", "creationDate": "2021-04-22T17:02:00Z" } }, "invokedBy": "entityresolution.amazonaws.com" }, "eventTime": "2021-04-22T17:07:02Z", "eventSource": "kms.amazonaws.com", "eventName": "CreateGrant", "awsRegion": "us-west-2", "sourceIPAddress": "172.12.34.56", "userAgent": "ExampleDesktop/1.0 (V1; OS)", "requestParameters": { "retiringPrincipal": "entityresolution.region.amazonaws.com", "operations": [ "GenerateDataKey", "Decrypt", ], "keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE", "granteePrincipal": "entityresolution.region.amazonaws.com" }, "responseElements": { "grantId": "0ab0ac0d0b000f00ea00cc0a0e00fc00bce000c000f0000000c0bc0a0000aaafSAMPLE", "keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE", }, "requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE", "eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE", "readOnly": false, "resources": [ { "accountId": "111122223333", "type": "AWS::KMS::Key", "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE" } ], "eventType": "AwsApiCall", "managementEvent": true, "eventCategory": "Management", "recipientAccountId": "111122223333" }
DescribeKey
Résolution des entités AWS utilise l'DescribeKeyopération pour vérifier si AWS KMS La clé gérée par le client associée à votre ressource correspondante existe dans le compte et dans la région.
L'exemple d'événement suivant enregistre l'DescribeKeyopération.
{ "eventVersion": "1.08", "userIdentity": { "type": "AssumedRole", "principalId": "AROAIGDTESTANDEXAMPLE:Sampleuser01", "arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01", "accountId": "111122223333", "accessKeyId": "AKIAIOSFODNN7EXAMPLE3", "sessionContext": { "sessionIssuer": { "type": "Role", "principalId": "AROAIGDTESTANDEXAMPLE:Sampleuser01", "arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01", "accountId": "111122223333", "userName": "Admin" }, "webIdFederationData": {}, "attributes": { "mfaAuthenticated": "false", "creationDate": "2021-04-22T17:02:00Z" } }, "invokedBy": "entityresolution.amazonaws.com" }, "eventTime": "2021-04-22T17:07:02Z", "eventSource": "kms.amazonaws.com", "eventName": "DescribeKey", "awsRegion": "us-west-2", "sourceIPAddress": "172.12.34.56", "userAgent": "ExampleDesktop/1.0 (V1; OS)", "requestParameters": { "keyId": "00dd0db0-0000-0000-ac00-b0c000SAMPLE" }, "responseElements": null, "requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE", "eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE", "readOnly": true, "resources": [ { "accountId": "111122223333", "type": "AWS::KMS::Key", "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE" } ], "eventType": "AwsApiCall", "managementEvent": true, "eventCategory": "Management", "recipientAccountId": "111122223333" }
GenerateDataKey
Lorsque vous activez un AWS KMS clé gérée par le client pour votre ressource de flux de travail correspondante, Résolution des entités AWS envoie une GenerateDataKey demande via Amazon Simple Storage Service (Amazon S3) à AWS KMS
qui spécifie le AWS KMS clé gérée par le client pour la ressource.
L'exemple d'événement suivant enregistre l'GenerateDataKeyopération.
{ "eventVersion": "1.08", "userIdentity": { "type": "AWSService", "invokedBy": "s3.amazonaws.com" }, "eventTime": "2021-04-22T17:07:02Z", "eventSource": "kms.amazonaws.com", "eventName": "GenerateDataKey", "awsRegion": "us-west-2", "sourceIPAddress": "172.12.34.56", "userAgent": "ExampleDesktop/1.0 (V1; OS)", "requestParameters": { "keySpec": "AES_256", "keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE" }, "responseElements": null, "requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE", "eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE", "readOnly": true, "resources": [ { "accountId": "111122223333", "type": "AWS::KMS::Key", "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE" } ], "eventType": "AwsApiCall", "managementEvent": true, "eventCategory": "Management", "recipientAccountId": "111122223333", "sharedEventID": "57f5dbee-16da-413e-979f-2c4c6663475e" }
Decrypt
Lorsque vous activez un AWS KMS clé gérée par le client pour votre ressource de flux de travail correspondante, Résolution des entités AWS envoie une Decrypt demande via Amazon Simple Storage Service (Amazon S3) à AWS KMS qui spécifie le AWS KMS clé gérée par le client pour la ressource.
L'exemple d'événement suivant enregistre l'Decryptopération.
{ "eventVersion": "1.08", "userIdentity": { "type": "AWSService", "invokedBy": "s3.amazonaws.com" }, "eventTime": "2021-04-22T17:10:51Z", "eventSource": "kms.amazonaws.com", "eventName": "Decrypt", "awsRegion": "us-west-2", "sourceIPAddress": "172.12.34.56", "userAgent": "ExampleDesktop/1.0 (V1; OS)", "requestParameters": { "keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE", "encryptionAlgorithm": "SYMMETRIC_DEFAULT" }, "responseElements": null, "requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE", "eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE", "readOnly": true, "resources": [ { "accountId": "111122223333", "type": "AWS::KMS::Key", "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE" } ], "eventType": "AwsApiCall", "managementEvent": true, "eventCategory": "Management", "recipientAccountId": "111122223333", "sharedEventID": "dc129381-1d94-49bd-b522-f56a3482d088" }
Considérations
Résolution des entités AWS ne prend pas en charge la mise à jour d'un flux de travail correspondant avec une nouvelle KMS clé gérée par le client. Dans ce cas, vous pouvez créer un nouveau flux de travail à l'aide de la KMS clé gérée par le client.
En savoir plus
Les ressources suivantes fournissent plus d'informations sur le chiffrement des données au repos.
Pour plus d'informations sur les concepts de base du service de gestion des AWS clés, consultez le AWS Key Management Service Guide du développeur.
Pour plus d'informations sur les meilleures pratiques de sécurité pour le service de gestion des AWS clés, consultez le AWS Key Management Service Guide du développeur.
