Perlindungan data di Amazon DevOps Guru - DevOps Guru Amazon
Enkripsi dataBagaimana DevOps Guru menggunakan hibah di AWS KMSMemantau kunci enkripsi Anda di DevOps GuruBuat kunci terkelola pelangganPrivasi lalu lintas

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Perlindungan data di Amazon DevOps Guru

Model tanggung jawab AWS bersama model berlaku untuk perlindungan data di Amazon DevOps Guru. Seperti yang dijelaskan dalam model AWS ini, bertanggung jawab untuk melindungi infrastruktur global yang menjalankan semua AWS Cloud. Anda bertanggung jawab untuk mempertahankan kendali atas konten yang di-host pada infrastruktur ini. Anda juga bertanggung jawab atas tugas-tugas konfigurasi dan manajemen keamanan untuk Layanan AWS yang Anda gunakan. Untuk informasi selengkapnya tentang privasi data, lihat Privasi Data FAQ. Untuk informasi tentang perlindungan data di Eropa, lihat Model Tanggung Jawab AWS Bersama dan posting GDPR blog di Blog AWS Keamanan.

Untuk tujuan perlindungan data, kami menyarankan Anda melindungi Akun AWS kredensil dan mengatur pengguna individu dengan AWS IAM Identity Center atau AWS Identity and Access Management ()IAM. Dengan cara itu, setiap pengguna hanya diberi izin yang diperlukan untuk memenuhi tanggung jawab tugasnya. Kami juga menyarankan supaya Anda mengamankan data dengan cara-cara berikut:

  • Gunakan otentikasi multi-faktor (MFA) dengan setiap akun.

  • GunakanSSL/TLSuntuk berkomunikasi dengan AWS sumber daya. Kami membutuhkan TLS 1.2 dan merekomendasikan TLS 1.3.

  • Siapkan API dan pencatatan aktivitas pengguna dengan AWS CloudTrail. Untuk informasi tentang penggunaan CloudTrail jejak untuk menangkap AWS aktivitas, lihat Bekerja dengan CloudTrail jejak di AWS CloudTrail Panduan Pengguna.

  • Gunakan solusi AWS enkripsi, bersama dengan semua kontrol keamanan default di dalamnya Layanan AWS.

  • Gunakan layanan keamanan terkelola lanjut seperti Amazon Macie, yang membantu menemukan dan mengamankan data sensitif yang disimpan di Amazon S3.

  • Jika Anda memerlukan FIPS 140-3 modul kriptografi yang divalidasi saat mengakses AWS melalui antarmuka baris perintah atau, gunakan titik akhir. API FIPS Untuk informasi selengkapnya tentang FIPS titik akhir yang tersedia, lihat Federal Information Processing Standard (FIPS) 140-3.

Kami sangat merekomendasikan agar Anda tidak pernah memasukkan informasi identifikasi yang sensitif, seperti nomor rekening pelanggan Anda, ke dalam tanda atau bidang isian bebas seperti bidang Nama. Ini termasuk ketika Anda bekerja dengan DevOps Guru atau lainnya Layanan AWS menggunakan konsol,API, AWS CLI, atau AWS SDKs. Data apa pun yang Anda masukkan ke dalam tanda atau bidang isian bebas yang digunakan untuk nama dapat digunakan untuk log penagihan atau log diagnostik. Jika Anda memberikan URL ke server eksternal, kami sangat menyarankan agar Anda tidak menyertakan informasi kredensil dalam URL untuk memvalidasi permintaan Anda ke server tersebut.

Enkripsi data di DevOps Guru

Enkripsi adalah bagian penting dari keamanan DevOps Guru. Beberapa enkripsi, seperti untuk data dalam transit, disediakan secara default dan Anda tidak perlu melakukan apa pun. Enkripsi lain, seperti untuk data at rest, Anda dapat mengonfigurasi ketika Anda membuat proyek atau build.

  • Enkripsi data dalam transit: Semua komunikasi antara pelanggan dan DevOps Guru dan antara Guru dan dependensi hilirnya dilindungi menggunakan TLS dan diautentikasi menggunakan proses penandatanganan Signature Version 4. DevOps Semua titik akhir DevOps Guru menggunakan sertifikat yang dikelola oleh AWS Private Certificate Authority. Untuk informasi selengkapnya, lihat Proses penandatanganan Versi Tanda Tangan 4 dan Apa itu ACM PCA.

  • Enkripsi data saat istirahat: Untuk semua AWS sumber daya yang dianalisis oleh DevOps Guru, CloudWatch metrik dan data Amazon, sumber dayaIDs, dan AWS CloudTrail peristiwa disimpan menggunakan Amazon S3, Amazon DynamoDB, dan Amazon Kinesis. Jika AWS CloudFormation tumpukan digunakan untuk menentukan sumber daya yang dianalisis, maka data tumpukan juga dikumpulkan. DevOpsGuru menggunakan kebijakan penyimpanan data Amazon S3, DynamoDB, dan Kinesis. Data yang disimpan dalam Kinesis dapat disimpan hingga satu tahun dan tergantung pada kebijakan yang ditetapkan. Data yang disimpan di Amazon S3 dan DynamoDB disimpan selama satu tahun.

    Data yang disimpan dienkripsi menggunakan kemampuan data-at-rest enkripsi Amazon S3, DynamoDB, dan Kinesis.

    Kunci terkelola pelanggan: DevOps Guru mendukung enkripsi konten pelanggan dan metadata sensitif seperti anomali log yang dihasilkan dari CloudWatch Log dengan kunci yang dikelola pelanggan. Fitur ini memberi Anda opsi untuk menambahkan lapisan keamanan yang dikelola sendiri untuk membantu Anda memenuhi persyaratan kepatuhan dan peraturan organisasi Anda. Untuk informasi tentang mengaktifkan kunci terkelola pelanggan di pengaturan DevOps Guru Anda, lihatMemperbarui pengaturan enkripsi diDevOpsGuru.

    Karena Anda memiliki kontrol penuh atas lapisan enkripsi ini, Anda dapat melakukan tugas-tugas seperti:

    • Menetapkan dan memelihara kebijakan utama

    • Menetapkan dan memelihara IAM kebijakan dan hibah

    • Mengaktifkan dan menonaktifkan kebijakan utama

    • Memutar bahan kriptografi kunci

    • Menambahkan tanda

    • Membuat alias kunci

    • Kunci penjadwalan untuk penghapusan

    Untuk informasi selengkapnya, lihat Kunci terkelola pelanggan di Panduan AWS Key Management Service Pengembang.

    catatan

    DevOpsGuru secara otomatis mengaktifkan enkripsi saat istirahat menggunakan kunci yang AWS dimiliki untuk melindungi metadata sensitif tanpa biaya. Namun, AWS KMS biaya berlaku untuk menggunakan kunci yang dikelola pelanggan. Untuk informasi selengkapnya tentang harga, lihat AWS Key Management Service harga.

Bagaimana DevOps Guru menggunakan hibah di AWS KMS

DevOpsGuru membutuhkan hibah untuk menggunakan kunci yang dikelola pelanggan Anda.

Ketika Anda memilih untuk mengaktifkan enkripsi dengan kunci yang dikelola pelanggan, DevOps Guru membuat hibah atas nama Anda dengan mengirimkan CreateGrant permintaan ke AWS KMS. Hibah AWS KMS digunakan untuk memberi DevOps Guru akses ke AWS KMS kunci di akun pelanggan.

DevOpsGuru membutuhkan hibah untuk menggunakan kunci yang dikelola pelanggan Anda untuk operasi internal berikut:

  • Kirim DescribeKey permintaan AWS KMS untuk memverifikasi bahwa ID KMS kunci terkelola pelanggan simetris yang dimasukkan saat membuat pelacak atau koleksi geofence valid.

  • Kirim GenerateDataKey permintaan AWS KMS untuk menghasilkan kunci data yang dienkripsi oleh kunci terkelola pelanggan Anda.

  • Kirim permintaan Dekripsi ke AWS KMS untuk mendekripsi kunci data terenkripsi sehingga mereka dapat digunakan untuk mengenkripsi data Anda.

Anda dapat mencabut akses ke hibah, atau menghapus akses layanan ke kunci yang dikelola pelanggan kapan saja. Jika Anda melakukannya, DevOps Guru tidak akan dapat mengakses data apa pun yang dienkripsi oleh kunci yang dikelola pelanggan, yang memengaruhi operasi yang bergantung pada data tersebut. Misalnya, jika Anda mencoba mendapatkan informasi anomali log terenkripsi yang tidak dapat diakses DevOps Guru, maka operasi akan mengembalikan kesalahan. AccessDeniedException

Memantau kunci enkripsi Anda di DevOps Guru

Saat Anda menggunakan kunci yang dikelola AWS KMS pelanggan dengan sumber daya DevOps Guru, Anda dapat menggunakan AWS CloudTrail atau CloudWatch Log untuk melacak permintaan yang dikirimkan DevOps Guru AWS KMS.

Buat kunci terkelola pelanggan

Anda dapat membuat kunci yang dikelola pelanggan simetris dengan menggunakan AWS Management Console atau. AWS KMS APIs

Untuk membuat kunci terkelola pelanggan simetris, lihat Membuat kunci enkripsi KMS simetris.

Kebijakan kunci

Kebijakan utama mengontrol akses ke kunci yang dikelola pelanggan Anda. Setiap kunci yang dikelola pelanggan harus memiliki persis satu kebijakan utama, yang berisi pernyataan yang menentukan siapa yang dapat menggunakan kunci dan bagaimana mereka dapat menggunakannya. Saat membuat kunci terkelola pelanggan, Anda dapat menentukan kebijakan kunci. Untuk informasi selengkapnya, lihat Otentikasi dan kontrol akses AWS KMS di Panduan AWS Key Management Service Pengembang.

Untuk menggunakan kunci yang dikelola pelanggan dengan sumber daya DevOps Guru Anda, API operasi berikut harus diizinkan dalam kebijakan utama:

  • kms:CreateGrant— Menambahkan hibah ke kunci yang dikelola pelanggan. Memberikan akses kontrol ke AWS KMS kunci tertentu, yang memungkinkan akses ke operasi hibah yang dibutuhkan DevOps Guru. Untuk informasi selengkapnya tentang penggunaan hibah, lihat Panduan AWS Key Management Service Pengembang.

Hal ini memungkinkan DevOps Guru untuk melakukan hal berikut:

  • Panggilan GenerateDataKey untuk menghasilkan kunci data terenkripsi dan menyimpannya, karena kunci data tidak segera digunakan untuk mengenkripsi.

  • Panggil Dekripsi untuk menggunakan kunci data terenkripsi yang disimpan untuk mengakses data terenkripsi.

  • Siapkan kepala sekolah yang pensiun untuk memungkinkan layanan. RetireGrant

  • Gunakan kms: DescribeKey untuk memberikan detail kunci yang dikelola pelanggan untuk memungkinkan DevOps Guru memvalidasi kunci.

Pernyataan berikut mencakup contoh pernyataan kebijakan yang dapat Anda tambahkan untuk DevOps Guru:

  "Statement" : [ 
    {
      "Sid" : "Allow access to principals authorized to use DevOps Guru",
      "Effect" : "Allow",
      "Principal" : {
        "AWS" : "*"
      },
      "Action" : [ 
        "kms:DescribeKey", 
        "kms:CreateGrant"
      ],
      "Resource" : "*",
      "Condition" : {
        "StringEquals" : {
          "kms:ViaService" : "devops-guru.Region.amazonaws.com",
          "kms:CallerAccount" : "111122223333"
        }
    },
    {
      "Sid": "Allow access for key administrators",
      "Effect": "Allow",
      "Principal": {
        "AWS": "arn:aws:iam::111122223333:root"
       },
      "Action" : [ 
        "kms:*"
       ],
      "Resource": "arn:aws:kms:region:111122223333:key/key_ID"
    },
    {
      "Sid" : "Allow read-only access to key metadata to the account",
      "Effect" : "Allow",
      "Principal" : {
        "AWS" : "arn:aws:iam::111122223333:root"
      },
      "Action" : [ 
        "kms:Describe*",
        "kms:Get*",
        "kms:List*"
      ],
      "Resource" : "*"
    }
  ]

Privasi lalu lintas

Anda dapat meningkatkan keamanan analisis sumber daya dan pembuatan wawasan Anda dengan mengonfigurasi DevOps Guru untuk menggunakan titik VPC akhir antarmuka. Untuk melakukan ini, Anda tidak memerlukan gateway internet, NAT perangkat, atau gateway pribadi virtual. Hal ini juga tidak diperlukan untuk mengkonfigurasi PrivateLink, meskipun dianjurkan. Untuk informasi selengkapnya, lihat DevOpsGuru dan VPC titik akhir antarmuka ()AWS PrivateLink. Untuk informasi selengkapnya tentang PrivateLink dan VPC titik akhir, lihat AWS PrivateLinkdan Mengakses AWS layanan melalui. PrivateLink