Perlindungan data di Amazon DevOps Guru - DevOps Guru Amazon
Enkripsi dataBagaimana DevOps Guru menggunakan hibah di AWS KMSMemantau kunci enkripsi Anda di DevOps GuruBuat kunci terkelola pelangganPrivasi lalu lintas

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Perlindungan data di Amazon DevOps Guru

Model tanggung jawab AWS bersama model berlaku untuk perlindungan data di Amazon DevOps Guru. Seperti yang dijelaskan dalam model AWS ini, bertanggung jawab untuk melindungi infrastruktur global yang menjalankan semua AWS Cloud. Anda bertanggung jawab untuk mempertahankan kendali atas konten yang di-host pada infrastruktur ini. Anda juga bertanggung jawab atas tugas-tugas konfigurasi dan manajemen keamanan untuk AWS layanan yang Anda gunakan. Lihat informasi yang lebih lengkap tentang privasi data dalam Pertanyaan Umum Privasi Data. Lihat informasi tentang perlindungan data di Eropa di pos blog Model Tanggung Jawab Bersama dan GDPR AWS di Blog Keamanan AWS .

Untuk tujuan perlindungan data, kami menyarankan Anda melindungi Akun AWS kredensil dan mengatur pengguna individu dengan AWS IAM Identity Center atau AWS Identity and Access Management (IAM). Dengan cara itu, setiap pengguna hanya diberi izin yang diperlukan untuk memenuhi tanggung jawab tugasnya. Kami juga menyarankan supaya Anda mengamankan data dengan cara-cara berikut:

  • Gunakan autentikasi multi-faktor (MFA) pada setiap akun.

  • Gunakan SSL/TLS untuk berkomunikasi dengan sumber daya. AWS Kami mensyaratkan TLS 1.2 dan menganjurkan TLS 1.3.

  • Siapkan API dan pencatatan aktivitas pengguna dengan AWS CloudTrail.

  • Gunakan solusi AWS enkripsi, bersama dengan semua kontrol keamanan default di dalamnya AWS layanan.

  • Gunakan layanan keamanan terkelola lanjut seperti Amazon Macie, yang membantu menemukan dan mengamankan data sensitif yang disimpan di Amazon S3.

  • Jika Anda memerlukan modul kriptografi tervalidasi FIPS 140-2 saat mengakses AWS melalui antarmuka baris perintah atau API, gunakan titik akhir FIPS. Lihat informasi yang lebih lengkap tentang titik akhir FIPS yang tersedia di Standar Pemrosesan Informasi Federal (FIPS) 140-2.

Kami sangat merekomendasikan agar Anda tidak pernah memasukkan informasi identifikasi yang sensitif, seperti nomor rekening pelanggan Anda, ke dalam tanda atau bidang isian bebas seperti bidang Nama. Ini termasuk saat Anda bekerja dengan DevOps Guru atau lainnya AWS layanan menggunakan konsol, API AWS CLI, atau AWS SDK. Data apa pun yang Anda masukkan ke dalam tanda atau bidang isian bebas yang digunakan untuk nama dapat digunakan untuk log penagihan atau log diagnostik. Saat Anda memberikan URL ke server eksternal, kami sangat menganjurkan supaya Anda tidak menyertakan informasi kredensial di dalam URL untuk memvalidasi permintaan Anda ke server itu.

Enkripsi data di DevOps Guru

Enkripsi adalah bagian penting dari keamanan DevOps Guru. Beberapa enkripsi, seperti untuk data dalam transit, disediakan secara default dan Anda tidak perlu melakukan apa pun. Enkripsi lain, seperti untuk data at rest, Anda dapat mengonfigurasi ketika Anda membuat proyek atau build.

  • Enkripsi data dalam transit: Semua komunikasi antara pelanggan dan DevOps Guru dan antara Guru dan dependensi hilirnya dilindungi menggunakan TLS dan diautentikasi menggunakan proses penandatanganan Signature Version 4. DevOps Semua titik akhir DevOps Guru menggunakan sertifikat yang dikelola oleh AWS Private Certificate Authority. Untuk informasi selengkapnya, lihat Proses penandatanganan Signature Version 4 dan Tentang ACM PCA.

  • Enkripsi data saat istirahat: Untuk semua AWS sumber daya yang dianalisis oleh DevOps Guru, CloudWatch metrik dan data Amazon, ID sumber daya, dan AWS CloudTrail peristiwa disimpan menggunakan Amazon S3, Amazon DynamoDB, dan Amazon Kinesis. Jika AWS CloudFormation tumpukan digunakan untuk menentukan sumber daya yang dianalisis, maka data tumpukan juga dikumpulkan. DevOpsGuru menggunakan kebijakan penyimpanan data Amazon S3, DynamoDB, dan Kinesis. Data yang disimpan dalam Kinesis dapat disimpan hingga satu tahun dan tergantung pada kebijakan yang ditetapkan. Data yang disimpan di Amazon S3 dan DynamoDB disimpan selama satu tahun.

    Data yang disimpan dienkripsi menggunakan kemampuan data-at-rest enkripsi Amazon S3, DynamoDB, dan Kinesis.

    Kunci terkelola pelanggan: DevOps Guru mendukung enkripsi konten pelanggan dan metadata sensitif seperti anomali log yang dihasilkan dari CloudWatch Log dengan kunci yang dikelola pelanggan. Fitur ini memberi Anda opsi untuk menambahkan lapisan keamanan yang dikelola sendiri untuk membantu Anda memenuhi persyaratan kepatuhan dan peraturan organisasi Anda. Untuk informasi tentang mengaktifkan kunci terkelola pelanggan di setelan DevOps Guru Anda, lihatMemperbarui pengaturan enkripsi diDevOpsGuru.

    Karena Anda memiliki kontrol penuh atas lapisan enkripsi ini, Anda dapat melakukan tugas-tugas seperti:

    • Menetapkan dan memelihara kebijakan utama

    • Menetapkan dan memelihara kebijakan dan hibah IAM

    • Mengaktifkan dan menonaktifkan kebijakan utama

    • Memutar bahan kriptografi kunci

    • Menambahkan tanda

    • Membuat alias kunci

    • Kunci penjadwalan untuk penghapusan

    Untuk informasi selengkapnya, lihat Kunci terkelola pelanggan di Panduan AWS Key Management Service Pengembang.

    catatan

    DevOpsGuru secara otomatis mengaktifkan enkripsi saat istirahat menggunakan kunci yang AWS dimiliki untuk melindungi metadata sensitif tanpa biaya. Namun, AWS KMS biaya berlaku untuk menggunakan kunci yang dikelola pelanggan. Untuk informasi selengkapnya tentang harga, lihat AWS Key Management Service harga.

Bagaimana DevOps Guru menggunakan hibah di AWS KMS

DevOpsGuru membutuhkan hibah untuk menggunakan kunci yang dikelola pelanggan Anda.

Ketika Anda memilih untuk mengaktifkan enkripsi dengan kunci yang dikelola pelanggan, DevOps Guru membuat hibah atas nama Anda dengan mengirimkan CreateGrant permintaan ke AWS KMS. Hibah AWS KMS digunakan untuk memberi DevOps Guru akses ke AWS KMS kunci di akun pelanggan.

DevOpsGuru mewajibkan hibah untuk menggunakan kunci yang dikelola pelanggan Anda untuk operasi internal berikut:

  • Kirim DescribeKey permintaan AWS KMS untuk memverifikasi bahwa ID kunci KMS yang dikelola pelanggan simetris yang dimasukkan saat membuat pelacak atau koleksi geofence valid.

  • Kirim GenerateDataKey permintaan AWS KMS untuk menghasilkan kunci data yang dienkripsi oleh kunci terkelola pelanggan Anda.

  • Kirim permintaan Dekripsi ke AWS KMS untuk mendekripsi kunci data terenkripsi sehingga mereka dapat digunakan untuk mengenkripsi data Anda.

Anda dapat mencabut akses ke hibah, atau menghapus akses layanan ke kunci yang dikelola pelanggan kapan saja. Jika Anda melakukannya, DevOps Guru tidak akan dapat mengakses data apa pun yang dienkripsi oleh kunci yang dikelola pelanggan, yang memengaruhi operasi yang bergantung pada data tersebut. Misalnya, jika Anda mencoba mendapatkan informasi anomali log terenkripsi yang tidak dapat diakses DevOps Guru, maka operasi akan mengembalikan kesalahan. AccessDeniedException

Memantau kunci enkripsi Anda di DevOps Guru

Saat Anda menggunakan kunci yang dikelola AWS KMS pelanggan dengan sumber daya DevOps Guru Anda, Anda dapat menggunakan AWS CloudTrail atau CloudWatch Log untuk melacak permintaan yang dikirim DevOps Guru AWS KMS.

Buat kunci terkelola pelanggan

Anda dapat membuat kunci terkelola pelanggan simetris dengan menggunakan AWS Management Console atau AWS KMS API.

Untuk membuat kunci terkelola pelanggan simetris, lihat Membuat kunci KMS enkripsi simetris.

Kebijakan kunci

Kebijakan utama mengontrol akses ke kunci yang dikelola pelanggan Anda. Setiap kunci yang dikelola pelanggan harus memiliki persis satu kebijakan utama, yang berisi pernyataan yang menentukan siapa yang dapat menggunakan kunci dan bagaimana mereka dapat menggunakannya. Saat membuat kunci terkelola pelanggan, Anda dapat menentukan kebijakan kunci. Untuk informasi selengkapnya, lihat Otentikasi dan kontrol akses AWS KMS di Panduan AWS Key Management Service Pengembang.

Untuk menggunakan kunci terkelola pelanggan dengan sumber daya DevOps Guru Anda, operasi API berikut harus diizinkan dalam kebijakan kunci:

  • kms:CreateGrant— Menambahkan hibah ke kunci yang dikelola pelanggan. Memberikan akses kontrol ke AWS KMS kunci tertentu, yang memungkinkan akses ke operasi hibah yang dibutuhkan DevOps Guru. Untuk informasi selengkapnya tentang penggunaan hibah, lihat Panduan AWS Key Management Service Pengembang.

Hal ini memungkinkan DevOps Guru untuk melakukan hal berikut:

  • Panggilan GenerateDataKey untuk menghasilkan kunci data terenkripsi dan menyimpannya, karena kunci data tidak segera digunakan untuk mengenkripsi.

  • Panggil Dekripsi untuk menggunakan kunci data terenkripsi yang disimpan untuk mengakses data terenkripsi.

  • Siapkan kepala sekolah yang pensiun untuk memungkinkan layanan. RetireGrant

  • Gunakan kms: DescribeKey untuk memberikan detail kunci terkelola pelanggan agar DevOps Guru memvalidasi kunci.

Pernyataan berikut mencakup contoh pernyataan kebijakan yang dapat Anda tambahkan untuk DevOps Guru:

  "Statement" : [ 
    {
      "Sid" : "Allow access to principals authorized to use DevOps Guru",
      "Effect" : "Allow",
      "Principal" : {
        "AWS" : "*"
      },
      "Action" : [ 
        "kms:DescribeKey", 
        "kms:CreateGrant"
      ],
      "Resource" : "*",
      "Condition" : {
        "StringEquals" : {
          "kms:ViaService" : "devops-guru.Region.amazonaws.com",
          "kms:CallerAccount" : "111122223333"
        }
    },
    {
      "Sid": "Allow access for key administrators",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::111122223333:root"
       },
      "Action" : [ 
        "kms:*"
       ],
      "Resource": "arn:aws:kms:region:111122223333:key/key_ID"
    },
    {
      "Sid" : "Allow read-only access to key metadata to the account",
      "Effect" : "Allow",
      "Principal" : {
        "AWS" : "arn:aws:iam::111122223333:root"
      },
      "Action" : [ 
        "kms:Describe*",
        "kms:Get*",
        "kms:List*"
      ],
      "Resource" : "*"
    }
  ]

Privasi lalu lintas

Anda dapat meningkatkan keamanan analisis sumber daya dan pembuatan wawasan Anda dengan mengonfigurasi DevOps Guru untuk menggunakan titik akhir VPC antarmuka. Untuk melakukan ini, Anda tidak memerlukan gateway internet, perangkat NAT, atau gateway pribadi virtual. Hal ini juga tidak diperlukan untuk mengkonfigurasi PrivateLink, meskipun dianjurkan. Untuk informasi selengkapnya, lihat DevOpsGuru dan antarmuka titik akhir VPC ()AWS PrivateLink. Untuk informasi selengkapnya tentang PrivateLink dan titik akhir VPC, lihat dan AWS PrivateLinkMengakses layanan AWS melalui. PrivateLink