Protection des données dans Amazon Forecast - Amazon Forecast
Chiffrement au reposChiffrement en transit et en cours de traitementComment Amazon Forecast utilise les subventions dans AWS KMSCréation d’une clé gérée par le clientSurveillance de vos clés de chiffrement pour Amazon Forecast Service

Amazon Forecast n'est plus disponible pour les nouveaux clients. Les clients existants d'Amazon Forecast peuvent continuer à utiliser le service normalement. En savoir plus »

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Protection des données dans Amazon Forecast

Le modèle de responsabilité AWS partagée Le modèle s'applique à la protection des données dans Amazon Forecast. Comme décrit dans ce modèle, AWS est chargé de protéger l'infrastructure mondiale qui gère tous les AWS Cloud. La gestion du contrôle de votre contenu hébergé sur cette infrastructure relève de votre responsabilité. Vous êtes également responsable des tâches de configuration et de gestion de la sécurité des Services AWS que vous utilisez. Pour plus d'informations sur la confidentialité des données, consultez la section Confidentialité des données FAQ. Pour plus d'informations sur la protection des données en Europe, consultez le modèle de responsabilitéAWS partagée et le billet de GDPR blog sur le blog sur la AWS sécurité.

À des fins de protection des données, nous vous recommandons de protéger les Compte AWS informations d'identification et de configurer les utilisateurs individuels avec AWS IAM Identity Center ou AWS Identity and Access Management (IAM). Ainsi, chaque utilisateur se voit attribuer uniquement les autorisations nécessaires pour exécuter ses tâches. Nous vous recommandons également de sécuriser vos données comme indiqué ci-dessous :

  • Utilisez l'authentification multifactorielle (MFA) pour chaque compte.

  • UtilisezSSL/TLSpour communiquer avec les AWS ressources. Nous avons besoin de la TLS version 1.2 et recommandons la TLS version 1.3.

  • Configuration API et journalisation de l'activité des utilisateurs avec AWS CloudTrail. Pour plus d'informations sur l'utilisation des CloudTrail sentiers pour capturer AWS des activités, consultez la section Utilisation des CloudTrail sentiers dans le guide de AWS CloudTrail l'utilisateur.

  • Utilisez des solutions de AWS chiffrement, ainsi que tous les contrôles de sécurité par défaut qu'ils contiennent Services AWS.

  • Utilisez des services de sécurité gérés avancés tels qu’Amazon Macie, qui contribuent à la découverte et à la sécurisation des données sensibles stockées dans Amazon S3.

  • Si vous avez besoin de FIPS 140 à 3 modules cryptographiques validés pour accéder AWS via une interface de ligne de commande ou unAPI, utilisez un point de terminaison. FIPS Pour plus d'informations sur les FIPS points de terminaison disponibles, voir Federal Information Processing Standard (FIPS) 140-3.

Nous vous recommandons fortement de ne jamais placer d’informations confidentielles ou sensibles, telles que les adresses e-mail de vos clients, dans des balises ou des champs de texte libre tels que le champ Nom. Cela inclut lorsque vous travaillez avec Forecast ou autre Services AWS à l'aide de la consoleAPI, AWS CLI, ou AWS SDKs. Toutes les données que vous entrez dans des balises ou des champs de texte de forme libre utilisés pour les noms peuvent être utilisées à des fins de facturation ou dans les journaux de diagnostic. Si vous fournissez un URL à un serveur externe, nous vous recommandons vivement de ne pas inclure d'informations d'identification dans le URL afin de valider votre demande auprès de ce serveur.

Chiffrement au repos

Dans Amazon Forecast, la configuration du chiffrement est fournie pendant les CreatePredictor opérations CreateDataset et. Si la configuration de chiffrement est fournie lors de l' CreateDataset opération, votre IAM rôle CMK et votre rôle pour le chiffrement au repos sont utilisés dans l'CreateDatasetImportJobopération.

Par exemple, si vous fournissez vos clés KMSKeyArn et un RoleArn dans le EncryptionConfig relevé de l' CreateDataset opération, Forecast assumera ce rôle et utilisera la clé pour chiffrer l'ensemble de données. Si aucune configuration n'est fournie, Forecast utilise les clés de service par défaut pour le chiffrement. En outre, si vous fournissez les EncryptionConfig informations relatives à l' CreatePredictor opération, toutes les opérations suivantes, telles que CreatePredictorExplanability, CreateForecast et CreatePredictorBacktestExportJob, utiliseront la même configuration pour effectuer le chiffrement au repos. Encore une fois, si vous ne fournissez pas de configuration de chiffrement, Forecast utilisera le chiffrement de service par défaut.

Pour toutes les données stockées dans votre compartiment Amazon S3, les données sont chiffrées à l'aide de la clé Amazon S3 par défaut. Vous pouvez également utiliser votre propre AWS KMS clé pour chiffrer vos données et donner à Forecast l'accès à cette clé. Pour plus d'informations sur le chiffrement des données dans Amazon S3, consultez la section Protection des données à l'aide du chiffrement. Pour plus d'informations sur la gestion de votre propre AWS KMS clé, consultez la section Gestion des clés dans le Guide du AWS Key Management Service développeur.

Chiffrement en transit et en cours de traitement

Amazon Forecast utilise TLS des AWS certificats pour chiffrer toutes les données envoyées à d'autres AWS services. Toute communication avec d'autres AWS services est interrompueHTTPS, et les points de terminaison Forecast ne prennent en charge que les connexions sécurisées. HTTPS

Amazon Forecast copie les données de votre compte et les traite dans un AWS système interne. Lors du traitement des données, Forecast chiffre les données à l'aide d'une AWS KMS clé Forecast ou de toute autre AWS KMS clé que vous fournissez.

Comment Amazon Forecast utilise les subventions dans AWS KMS

Amazon Forecast a besoin d'une autorisation pour utiliser votre clé gérée par le client.

Forecast crée une subvention en utilisant le IAM rôle transmis EncryptionConfiglors de l'CreateDatasetopération CreatePredictoror. Forecast assume le rôle et effectue une opération de création de subvention en votre nom. Voir IAMRôle de configuration pour plus de détails.

Toutefois, lorsque vous créez un prédicteur chiffré à l'aide d'une clé gérée par le client, Amazon Forecast crée une subvention en votre nom en envoyant une CreateGrantdemande à AWS KMS. Les subventions AWS KMS sont utilisées pour donner à Amazon Forecast l'accès à une AWS KMS clé d'un compte client.

Amazon Forecast a besoin de cette autorisation afin de pouvoir utiliser votre clé gérée par le client pour envoyer des demandes de déchiffrement AWS KMS afin de lire les artefacts du jeu de données chiffré. Forecast utilise également la subvention pour envoyer des GenerateDataKey demandes AWS KMS afin de chiffrer les artefacts de formation vers Amazon S3.

Vous pouvez révoquer l'accès à l'octroi ou supprimer l'accès du service à la clé gérée par le client à tout moment. Dans ce cas, Amazon Forecast ne pourra accéder à aucune des données chiffrées par la clé gérée par le client, ce qui affectera les opérations qui dépendent de ces données. Par exemple, si vous tentez d'effectuer l' CreateForecast opération sur un prédicteur chiffré auquel Amazon Forecast ne peut pas accéder, l'opération renverra une AccessDeniedException erreur.

Création d’une clé gérée par le client

Vous pouvez créer une clé symétrique gérée par le client en utilisant le AWS Management Console ou le AWS KMS API. Pour créer une clé symétrique gérée par le client, suivez les étapes de création d'une clé symétrique gérée par le client dans le guide du AWS Key Management Service développeur.

Les politiques de clés contrôlent l’accès à votre clé gérée par le client. Chaque clé gérée par le client doit avoir exactement une stratégie de clé, qui contient des instructions qui déterminent les personnes pouvant utiliser la clé et comment elles peuvent l’utiliser. Lorsque vous créez votre clé gérée par le client, vous pouvez spécifier une stratégie de clé. Pour plus d'informations, consultez Gestion de l'accès aux clés gérées par le client dans le Guide du développeur AWS Key Management Service .

Pour utiliser votre clé gérée par le client avec les ressources Amazon Forecast, les API opérations suivantes doivent être autorisées dans la politique relative aux clés :

  • kms : DescribeKey — Fournit les informations clés gérées par le client qui permettent à Amazon Forecast de valider la clé.

  • kms : CreateGrant — Ajoute une autorisation à une clé gérée par le client. Accorde un accès de contrôle à une AWS KMS clé spécifiée, ce qui permet d'accéder aux opérations d'autorisation requises par Amazon Forecast. Cette opération permet à Amazon Forecast d'appeler GenerateDataKey pour générer une clé de données chiffrée et la stocker, car la clé de données n'est pas immédiatement utilisée pour le chiffrement. L'opération permet également à Amazon Forecast d'appeler Decrypt afin d'utiliser la clé de données cryptée stockée et d'accéder aux données cryptées.

  • kms : RetireGrant - Retirez toutes les subventions accordées pendant CreateGrant l'opération une fois l'opération terminée.

Note

Amazon Forecast effectue une kms:Decrypt kms:GenerateDataKey validation sur l'identité de l'appelant. Vous recevrez un message AccessDeniedException dans le cas où l'appelant ne dispose pas des autorisations nécessaires. La politique clé doit également ressembler au code suivant :

"Effect": "Allow",
"Principal": {
    "AWS": “AWS Invoking Identity”
},
"Action": [
    "kms:Decrypt",
    "kms:GenerateDataKey”
    ],
    "Resource": "*"
}

Pour plus de détails, consultez IAMla section Politique.

Vous trouverez ci-dessous des exemples de déclarations de politique que vous pouvez ajouter à Amazon Forecast. Ce sont les autorisations minimales requises, elles peuvent également être ajoutées à l'aide de IAM politiques.

  "Statement" : [ 
    {"Sid" : "Allow access to principals authorized to use Amazon Forecast",
      "Effect" : "Allow",
      "Principal" : {"AWS" : "arn:aws:iam::111122223333:role/ROLE_PASSED_TO_FORECAST"
      },
      "Action" : [ 
        "kms:DescribeKey", 
        "kms:CreateGrant",
        "kms:RetireGrant"
      ],
      "Resource" : "*",
      "Condition" : {"StringEquals" : {"kms:ViaService" : "forecast.region.amazonaws.com",
          "kms:CallerAccount" : "111122223333"
        }
    },
    {"Sid": "Allow access for key administrators",
      "Effect": "Allow",
      "Principal": {"AWS": "arn:aws:iam::111122223333:root"
       },
      "Action" : [ 
        "kms:*"
       ],
      "Resource": "arn:aws:kms:region:111122223333:key/key_ID"
    }
  ]

Consultez le guide du AWS Key Management Service développeur pour plus d'informations sur la spécification des autorisations dans une politique et la résolution des problèmes d'accès par clé.

Surveillance de vos clés de chiffrement pour Amazon Forecast Service

Lorsque vous utilisez une clé gérée par le AWS KMS client avec vos ressources Amazon Forecast Service, vous pouvez utiliser AWS CloudTrailAmazon CloudWatch Logs pour suivre les demandes auxquelles Forecast envoie AWS KMS. Les exemples suivants sont des AWS CloudTrail événements destinés à CreateGrantRetireGrant, et DescribeKey pour surveiller les AWS KMS opérations appelées par Amazon Forecast afin d'accéder aux données chiffrées par votre clé gérée par le client.

DescribeKey
{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "AssumedRole",
        "principalId": "AROAIGDTESTANDEXAMPLE:Sampleuser01",
        "arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
        "accountId": "111122223333",
        "accessKeyId": "AKIAIOSFODNN7EXAMPLE3",
        "sessionContext": {
            "sessionIssuer": {
                "type": "Role",
                "principalId": "AROAIGDTESTANDEXAMPLE:Sampleuser01",
                "arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
                "accountId": "111122223333",
                "userName": "Admin"
            },
            "webIdFederationData": {},
            "attributes": {
                "creationDate": "2022-10-05T21:16:23Z",
                "mfaAuthenticated": "false"
            }
        }
    },
    "eventTime": "2022-10-05T21:16:23Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "DescribeKey",
    "awsRegion": "region",
    "sourceIPAddress": "172.12.34.56",
    "userAgent": "ExampleDesktop/1.0 (V1; OS)",
    "requestParameters": {
        "keyId": "arn:aws:kms:region:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
    },
    "responseElements": null,
    "requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "readOnly": true,
    "resources": [
        {
            "accountId": "111122223333",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:region:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "111122223333",
    "eventCategory": "Management",
    "tlsDetails": {
        "tlsVersion": "TLSv1.2",
        "cipherSuite": "ECDHE-RSA-AES256-GCM-SHA384",
        "clientProvidedHostHeader": "kms.region.amazonaws.com"
    }
}
CreateGrant
{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "AssumedRole",
        "principalId": "AROAIGDTESTANDEXAMPLE:Sampleuser01",
        "arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
        "accountId": "111122223333",
        "accessKeyId": "AKIAIOSFODNN7EXAMPLE3",
        "sessionContext": {
            "sessionIssuer": {
                "type": "Role",
                "principalId": "AROAIGDTESTANDEXAMPLE:Sampleuser01",
                "arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
                "accountId": "111122223333",
                "userName": "Admin"
            },
            "webIdFederationData": {},
            "attributes": {
                "creationDate": "2022-10-05T23:10:27Z",
                "mfaAuthenticated": "false"
            }
        }
    },
    "eventTime": "2022-10-05T23:10:27Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "CreateGrant",
    "awsRegion": "region",
    "sourceIPAddress": "172.12.34.56",
    "userAgent": "ExampleDesktop/1.0 (V1; OS)",
    "requestParameters": {
        "operations": [
            "Decrypt",
            "GenerateDataKey"
        ],
        "granteePrincipal": "AWS Internal",
        "keyId": "arn:aws:kms:region:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
    },
    "responseElements": {
        "grantId": "0ab0ac0d0b000f00ea00cc0a0e00fc00bce000c000f0000000c0bc0a0000aaafSAMPLE"
    },
    "requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "readOnly": false,
    "resources": [
        {
            "accountId": "111122223333",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:region:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "111122223333",
    "eventCategory": "Management",
    "tlsDetails": {
        "tlsVersion": "TLSv1.2",
        "cipherSuite": "ECDHE-RSA-AES256-GCM-SHA384",
        "clientProvidedHostHeader": "kms.region.amazonaws.com"
    }
}
RetireGrant
{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "AssumedRole",
        "principalId": "AROAIGDTESTANDEXAMPLE:Sampleuser01",
        "arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
        "accountId": "111122223333",
        "accessKeyId": "AKIAIOSFODNN7EXAMPLE3",
        "sessionContext": {
            "sessionIssuer": {
                "type": "Role",
                "principalId": "AROAIGDTESTANDEXAMPLE:Sampleuser01",
                "arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
                "accountId": "111122223333",
                "userName": "Admin"
            },
            "webIdFederationData": {},
            "attributes": {
                "creationDate": "2022-10-06T04:56:14Z",
                "mfaAuthenticated": "false"
            }
        }
    },
    "eventTime": "2022-10-06T04:56:14Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "RetireGrant",
    "awsRegion": "region",
    "sourceIPAddress": "172.12.34.56",
    "userAgent": "ExampleDesktop/1.0 (V1; OS)",
    "requestParameters": null,
    "responseElements": null,
    "additionalEventData": {
        "grantId": "0ab0ac0d0b000f00ea00cc0a0e00fc00bce000c000f0000000c0bc0a0000aaafSAMPLE"
    },
    "requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "readOnly": false,
    "resources": [
        {
            "accountId": "111122223333",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:region:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "111122223333",
    "eventCategory": "Management",
    "tlsDetails": {
        "tlsVersion": "TLSv1.2",
        "cipherSuite": "ECDHE-RSA-AES256-GCM-SHA384",
        "clientProvidedHostHeader": "kms.region.amazonaws.com"
    }
}