Perlindungan Data di Amazon Forecast - Amazon Forecast
Enkripsi saat Data Tidak BerpindahEnkripsi dalam Transit dan PemrosesanBagaimana Amazon Forecast menggunakan hibah di AWS KMSBuat kunci terkelola pelangganMemantau kunci enkripsi Anda untuk Amazon Forecast Service

Amazon Forecast tidak lagi tersedia untuk pelanggan baru. Pelanggan Amazon Forecast yang ada dapat terus menggunakan layanan seperti biasa. Pelajari lebih lanjut”

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Perlindungan Data di Amazon Forecast

Model tanggung jawab AWS bersama model berlaku untuk perlindungan data di Amazon Forecast. Seperti yang dijelaskan dalam model AWS ini, bertanggung jawab untuk melindungi infrastruktur global yang menjalankan semua AWS Cloud. Anda bertanggung jawab untuk mempertahankan kendali atas konten yang di-host pada infrastruktur ini. Anda juga bertanggung jawab atas tugas-tugas konfigurasi dan manajemen keamanan untuk Layanan AWS yang Anda gunakan. Untuk informasi selengkapnya tentang privasi data, lihat Privasi Data FAQ. Untuk informasi tentang perlindungan data di Eropa, lihat Model Tanggung Jawab AWS Bersama dan posting GDPR blog di Blog AWS Keamanan.

Untuk tujuan perlindungan data, kami menyarankan Anda melindungi Akun AWS kredensyal dan mengatur pengguna individu dengan AWS IAM Identity Center atau AWS Identity and Access Management ()IAM. Dengan cara itu, setiap pengguna hanya diberi izin yang diperlukan untuk memenuhi tanggung jawab tugasnya. Kami juga menyarankan supaya Anda mengamankan data dengan cara-cara berikut:

  • Gunakan otentikasi multi-faktor (MFA) dengan setiap akun.

  • GunakanSSL/TLSuntuk berkomunikasi dengan AWS sumber daya. Kami membutuhkan TLS 1.2 dan merekomendasikan TLS 1.3.

  • Siapkan API dan pencatatan aktivitas pengguna dengan AWS CloudTrail. Untuk informasi tentang penggunaan CloudTrail jejak untuk menangkap AWS aktivitas, lihat Bekerja dengan CloudTrail jejak di AWS CloudTrail Panduan Pengguna.

  • Gunakan solusi AWS enkripsi, bersama dengan semua kontrol keamanan default di dalamnya Layanan AWS.

  • Gunakan layanan keamanan terkelola lanjut seperti Amazon Macie, yang membantu menemukan dan mengamankan data sensitif yang disimpan di Amazon S3.

  • Jika Anda memerlukan FIPS 140-3 modul kriptografi yang divalidasi saat mengakses AWS melalui antarmuka baris perintah atau, gunakan titik akhir. API FIPS Untuk informasi selengkapnya tentang FIPS titik akhir yang tersedia, lihat Standar Pemrosesan Informasi Federal (FIPS) 140-3.

Kami sangat merekomendasikan agar Anda tidak pernah memasukkan informasi identifikasi yang sensitif, seperti nomor rekening pelanggan Anda, ke dalam tanda atau bidang isian bebas seperti bidang Nama. Ini termasuk saat Anda bekerja dengan Forecast atau lainnya Layanan AWS menggunakan konsol,API, AWS CLI, atau AWS SDKs. Data apa pun yang Anda masukkan ke dalam tanda atau bidang isian bebas yang digunakan untuk nama dapat digunakan untuk log penagihan atau log diagnostik. Jika Anda memberikan URL ke server eksternal, kami sangat menyarankan agar Anda tidak menyertakan informasi kredensil dalam URL untuk memvalidasi permintaan Anda ke server tersebut.

Enkripsi saat Data Tidak Berpindah

Di Amazon Forecast, konfigurasi enkripsi disediakan selama CreateDataset dan CreatePredictor operasi. Jika konfigurasi enkripsi disediakan dalam CreateDataset operasi, Anda CMK dan IAM Peran untuk enkripsi saat istirahat digunakan dalam CreateDatasetImportJob operasi.

Misalnya, jika Anda memberikan kunci KMSKeyArn dan a RoleArn dalam EncryptionConfig pernyataan CreateDataset operasi, Forecast akan mengambil peran itu dan menggunakan kunci untuk mengenkripsi kumpulan data. Jika tidak ada konfigurasi yang disediakan, maka Forecast menggunakan kunci layanan default untuk enkripsi. Selain itu, jika Anda memberikan EncryptionConfig informasi untuk CreatePredictor operasi, maka semua operasi berikutnya, seperti CreatePredictorExplanability, CreateForecast dan CreatePredictorBacktestExportJob, akan menggunakan konfigurasi yang sama untuk melakukan enkripsi saat istirahat. Sekali lagi, jika Anda tidak menyediakan konfigurasi enkripsi, maka Forecast akan menggunakan enkripsi layanan default.

Untuk data apa pun yang disimpan di bucket Amazon S3 Anda, data dienkripsi dengan kunci Amazon S3 default. Anda juga dapat menggunakan AWS KMS kunci Anda sendiri untuk mengenkripsi data Anda dan memberikan akses Forecast ke kunci ini. Untuk informasi tentang enkripsi data di Amazon S3, lihat Melindungi data menggunakan enkripsi. Untuk informasi tentang mengelola AWS KMS kunci Anda sendiri, lihat Mengelola kunci di Panduan AWS Key Management Service Pengembang.

Enkripsi dalam Transit dan Pemrosesan

Amazon Forecast menggunakan TLS dengan AWS sertifikat untuk mengenkripsi data apa pun yang dikirim ke AWS layanan lain. Setiap komunikasi dengan AWS layanan lain terjadiHTTPS, dan titik akhir Forecast hanya mendukung koneksi aman. HTTPS

Amazon Forecast menyalin data dari akun Anda dan memprosesnya dalam AWS sistem internal. Saat memproses data, Forecast mengenkripsi data dengan kunci Forecast atau AWS KMS AWS KMS kunci apa pun yang Anda berikan.

Bagaimana Amazon Forecast menggunakan hibah di AWS KMS

Amazon Forecast memerlukan hibah untuk menggunakan kunci yang dikelola pelanggan Anda.

Forecast membuat hibah menggunakan IAM peran yang diteruskan selama EncryptionConfigCreateDatasetoperasi CreatePredictoratau. Forecast mengasumsikan peran dan melakukan operasi hibah buat atas nama Anda. Lihat IAMPeran penyiapan untuk detail selengkapnya.

Namun, saat Anda membuat prediktor yang dienkripsi dengan kunci yang dikelola pelanggan, Amazon Forecast membuat hibah atas nama Anda dengan mengirimkan permintaan ke. CreateGrant AWS KMS Hibah AWS KMS digunakan untuk memberikan Amazon Forecast akses ke AWS KMS kunci di akun pelanggan.

Amazon Forecast memerlukan hibah sehingga dapat menggunakan kunci terkelola pelanggan Anda untuk mengirim permintaan Dekripsi agar dapat membaca AWS KMS artefak kumpulan data terenkripsi. Forecast juga menggunakan hibah untuk mengirim GenerateDataKey permintaan untuk AWS KMS mengenkripsi artefak pelatihan kembali ke Amazon S3.

Anda dapat mencabut akses ke hibah, atau menghapus akses layanan ke kunci yang dikelola pelanggan kapan saja. Jika Anda melakukannya, Amazon Forecast tidak akan dapat mengakses data apa pun yang dienkripsi oleh kunci yang dikelola pelanggan, yang memengaruhi operasi yang bergantung pada data tersebut. Misalnya, jika Anda mencoba melakukan CreateForecast operasi pada prediktor terenkripsi yang tidak dapat diakses Amazon Forecast, maka operasi akan menampilkan kesalahan. AccessDeniedException

Buat kunci terkelola pelanggan

Anda dapat membuat kunci yang dikelola pelanggan simetris dengan menggunakan AWS Management Console atau. AWS KMS API Untuk membuat kunci terkelola pelanggan simetris, ikuti langkah-langkah untuk Membuat kunci terkelola pelanggan simetris di Panduan AWS Key Management Service Pengembang.

Kebijakan utama mengontrol akses ke kunci yang dikelola pelanggan Anda. Setiap kunci yang dikelola pelanggan harus memiliki persis satu kebijakan utama, yang berisi pernyataan yang menentukan siapa yang dapat menggunakan kunci dan bagaimana mereka dapat menggunakannya. Saat membuat kunci terkelola pelanggan, Anda dapat menentukan kebijakan kunci. Untuk informasi selengkapnya, lihat Mengelola akses ke kunci terkelola pelanggan di Panduan AWS Key Management Service Pengembang.

Untuk menggunakan kunci terkelola pelanggan Anda dengan sumber daya Amazon Forecast, API operasi berikut harus diizinkan dalam kebijakan utama:

  • kms: DescribeKey — Memberikan detail kunci yang dikelola pelanggan yang memungkinkan Amazon Forecast memvalidasi kunci.

  • kms: CreateGrant — Menambahkan hibah ke kunci yang dikelola pelanggan. Memberikan akses kontrol ke AWS KMS kunci tertentu, yang memungkinkan akses untuk memberikan operasi yang diperlukan Amazon Forecast. Operasi ini memungkinkan Amazon Forecast GenerateDataKey untuk memanggil untuk menghasilkan kunci data terenkripsi dan menyimpannya, karena kunci data tidak segera digunakan untuk enkripsi. Selain itu, operasi ini memungkinkan Amazon Forecast untuk memanggil Decrypt sehingga dapat menggunakan kunci data terenkripsi yang disimpan dan mengakses data terenkripsi.

  • kms: RetireGrant - Pensiun semua hibah yang diberikan selama CreateGrant operasi setelah operasi selesai.

catatan

Amazon Forecast melakukan kms:Decrypt dan kms:GenerateDataKey memvalidasi identitas penelepon. Anda akan menerima AccessDeniedException jika pemanggil tidak memiliki izin yang relevan. Kebijakan kunci juga harus menyerupai kode berikut:

"Effect": "Allow",
"Principal": {
    "AWS": “AWS Invoking Identity”
},
"Action": [
    "kms:Decrypt",
    "kms:GenerateDataKey”
    ],
    "Resource": "*"
}

Untuk detail selengkapnya, lihat IAMKebijakan.

Berikut ini adalah contoh pernyataan kebijakan yang dapat Anda tambahkan untuk Amazon Forecast. Ini adalah izin minimal yang diperlukan, ini dapat ditambahkan menggunakan IAM kebijakan juga.

  "Statement" : [ 
    {"Sid" : "Allow access to principals authorized to use Amazon Forecast",
      "Effect" : "Allow",
      "Principal" : {"AWS" : "arn:aws:iam::111122223333:role/ROLE_PASSED_TO_FORECAST"
      },
      "Action" : [ 
        "kms:DescribeKey", 
        "kms:CreateGrant",
        "kms:RetireGrant"
      ],
      "Resource" : "*",
      "Condition" : {"StringEquals" : {"kms:ViaService" : "forecast.region.amazonaws.com",
          "kms:CallerAccount" : "111122223333"
        }
    },
    {"Sid": "Allow access for key administrators",
      "Effect": "Allow",
      "Principal": {"AWS": "arn:aws:iam::111122223333:root"
       },
      "Action" : [ 
        "kms:*"
       ],
      "Resource": "arn:aws:kms:region:111122223333:key/key_ID"
    }
  ]

Lihat Panduan AWS Key Management Service Pengembang untuk informasi selengkapnya tentang menentukan izin dalam kebijakan dan akses kunci pemecahan masalah.

Memantau kunci enkripsi Anda untuk Amazon Forecast Service

Saat menggunakan kunci terkelola AWS KMS pelanggan dengan sumber daya Amazon Forecast Service, Anda dapat menggunakan AWS CloudTrailatau Amazon CloudWatch Logs untuk melacak permintaan yang dikirimkan Forecast AWS KMS. Contoh berikut adalah AWS CloudTrail peristiwa untukCreateGrant,RetireGrant, dan DescribeKey untuk memantau AWS KMS operasi yang dipanggil oleh Amazon Forecast untuk mengakses data yang dienkripsi oleh kunci yang dikelola pelanggan Anda.

DescribeKey
{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "AssumedRole",
        "principalId": "AROAIGDTESTANDEXAMPLE:Sampleuser01",
        "arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
        "accountId": "111122223333",
        "accessKeyId": "AKIAIOSFODNN7EXAMPLE3",
        "sessionContext": {
            "sessionIssuer": {
                "type": "Role",
                "principalId": "AROAIGDTESTANDEXAMPLE:Sampleuser01",
                "arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
                "accountId": "111122223333",
                "userName": "Admin"
            },
            "webIdFederationData": {},
            "attributes": {
                "creationDate": "2022-10-05T21:16:23Z",
                "mfaAuthenticated": "false"
            }
        }
    },
    "eventTime": "2022-10-05T21:16:23Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "DescribeKey",
    "awsRegion": "region",
    "sourceIPAddress": "172.12.34.56",
    "userAgent": "ExampleDesktop/1.0 (V1; OS)",
    "requestParameters": {
        "keyId": "arn:aws:kms:region:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
    },
    "responseElements": null,
    "requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "readOnly": true,
    "resources": [
        {
            "accountId": "111122223333",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:region:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "111122223333",
    "eventCategory": "Management",
    "tlsDetails": {
        "tlsVersion": "TLSv1.2",
        "cipherSuite": "ECDHE-RSA-AES256-GCM-SHA384",
        "clientProvidedHostHeader": "kms.region.amazonaws.com"
    }
}
CreateGrant
{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "AssumedRole",
        "principalId": "AROAIGDTESTANDEXAMPLE:Sampleuser01",
        "arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
        "accountId": "111122223333",
        "accessKeyId": "AKIAIOSFODNN7EXAMPLE3",
        "sessionContext": {
            "sessionIssuer": {
                "type": "Role",
                "principalId": "AROAIGDTESTANDEXAMPLE:Sampleuser01",
                "arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
                "accountId": "111122223333",
                "userName": "Admin"
            },
            "webIdFederationData": {},
            "attributes": {
                "creationDate": "2022-10-05T23:10:27Z",
                "mfaAuthenticated": "false"
            }
        }
    },
    "eventTime": "2022-10-05T23:10:27Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "CreateGrant",
    "awsRegion": "region",
    "sourceIPAddress": "172.12.34.56",
    "userAgent": "ExampleDesktop/1.0 (V1; OS)",
    "requestParameters": {
        "operations": [
            "Decrypt",
            "GenerateDataKey"
        ],
        "granteePrincipal": "AWS Internal",
        "keyId": "arn:aws:kms:region:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
    },
    "responseElements": {
        "grantId": "0ab0ac0d0b000f00ea00cc0a0e00fc00bce000c000f0000000c0bc0a0000aaafSAMPLE"
    },
    "requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "readOnly": false,
    "resources": [
        {
            "accountId": "111122223333",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:region:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "111122223333",
    "eventCategory": "Management",
    "tlsDetails": {
        "tlsVersion": "TLSv1.2",
        "cipherSuite": "ECDHE-RSA-AES256-GCM-SHA384",
        "clientProvidedHostHeader": "kms.region.amazonaws.com"
    }
}
RetireGrant
{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "AssumedRole",
        "principalId": "AROAIGDTESTANDEXAMPLE:Sampleuser01",
        "arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
        "accountId": "111122223333",
        "accessKeyId": "AKIAIOSFODNN7EXAMPLE3",
        "sessionContext": {
            "sessionIssuer": {
                "type": "Role",
                "principalId": "AROAIGDTESTANDEXAMPLE:Sampleuser01",
                "arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
                "accountId": "111122223333",
                "userName": "Admin"
            },
            "webIdFederationData": {},
            "attributes": {
                "creationDate": "2022-10-06T04:56:14Z",
                "mfaAuthenticated": "false"
            }
        }
    },
    "eventTime": "2022-10-06T04:56:14Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "RetireGrant",
    "awsRegion": "region",
    "sourceIPAddress": "172.12.34.56",
    "userAgent": "ExampleDesktop/1.0 (V1; OS)",
    "requestParameters": null,
    "responseElements": null,
    "additionalEventData": {
        "grantId": "0ab0ac0d0b000f00ea00cc0a0e00fc00bce000c000f0000000c0bc0a0000aaafSAMPLE"
    },
    "requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "readOnly": false,
    "resources": [
        {
            "accountId": "111122223333",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:region:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "111122223333",
    "eventCategory": "Management",
    "tlsDetails": {
        "tlsVersion": "TLSv1.2",
        "cipherSuite": "ECDHE-RSA-AES256-GCM-SHA384",
        "clientProvidedHostHeader": "kms.region.amazonaws.com"
    }
}