Perlindungan Data di AWS Snowball Edge - AWS Snowball Edge Panduan Pengembang
Melindungi Data di CloudMelindungi Data Pada Perangkat Anda

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Perlindungan Data di AWS Snowball Edge

AWS Snowball sesuai dengan model tanggung jawab AWS bersama, yang mencakup peraturan dan pedoman untuk perlindungan data. AWS bertanggung jawab untuk melindungi infrastruktur global yang menjalankan semua AWS layanan. AWS Mempertahankan kontrol atas data yang dihosting di infrastruktur ini, termasuk kontrol konfigurasi keamanan untuk menangani konten pelanggan dan data pribadi. AWS pelanggan dan APN mitra, yang bertindak baik sebagai pengontrol data atau pengolah data, bertanggung jawab atas data pribadi apa pun yang mereka masukkan ke dalam AWS Cloud.

Untuk tujuan perlindungan data, kami menyarankan Anda melindungi Akun AWS kredensil dan mengatur pengguna individu dengan AWS Identity and Access Management (IAM), sehingga setiap pengguna hanya diberikan izin yang diperlukan untuk memenuhi tugas pekerjaan mereka. Kami juga menyarankan supaya Anda mengamankan data dengan cara-cara berikut:

  • Gunakan otentikasi multi-faktor (MFA) dengan setiap akun.

  • GunakanSSL/TLSuntuk berkomunikasi dengan AWS sumber daya. Kami merekomendasikan TLS 1.2 atau yang lebih baru.

  • Siapkan API dan pencatatan aktivitas pengguna dengan AWS CloudTrail.

  • Gunakan solusi AWS enkripsi, bersama dengan semua kontrol keamanan default dalam AWS layanan.

  • Gunakan layanan keamanan terkelola lanjutan seperti Amazon Macie, yang membantu menemukan dan mengamankan data pribadi yang disimpan di Amazon S3.

  • Jika Anda memerlukan FIPS 140-2 modul kriptografi yang divalidasi saat mengakses AWS melalui antarmuka baris perintah atau, gunakan titik akhir. API FIPS Untuk informasi selengkapnya tentang FIPS titik akhir yang tersedia, lihat Federal Information Processing Standard (FIPS) 140-2.

Sebaiknya jangan pernah memasukkan informasi identitas yang sensitif, seperti nomor rekening pelanggan Anda, ke dalam bidang isian bebas seperti bidang Nama. Ini termasuk ketika Anda bekerja dengan AWS Snowball atau AWS layanan lain menggunakan konsol,API, AWS CLI, atau AWS SDKs. Data apa pun yang Anda masukkan ke AWS Snowball atau layanan lain mungkin akan diambil untuk dimasukkan dalam log diagnostik. Ketika Anda memberikan URL ke server eksternal, jangan sertakan informasi kredensional dalam URL untuk memvalidasi permintaan Anda ke server tersebut.

Untuk informasi selengkapnya tentang perlindungan data, lihat Model Tanggung Jawab AWS Bersama dan posting GDPR blog di Blog AWS Keamanan.

Melindungi Data di Cloud

AWS Snowball melindungi data Anda saat mengimpor atau mengekspor data ke Amazon S3, saat Anda membuat pekerjaan untuk memesan perangkat Keluarga Salju, dan saat perangkat Anda diperbarui. Bagian berikut menjelaskan bagaimana Anda dapat melindungi data Anda ketika Anda menggunakan Snowball Edge dan sedang online atau berinteraksi dengan AWS di cloud.

Enkripsi untuk AWS Snowball Edge

Saat Anda menggunakan Snowball Edge untuk mengimpor data ke S3, semua data yang ditransfer ke perangkat dilindungi oleh SSL enkripsi melalui jaringan. Untuk melindungi data saat istirahat, AWS Snowball Edge menggunakan enkripsi sisi server ()SSE.

Enkripsi Sisi Server di Edge AWS Snowball

AWS Snowball Edge mendukung enkripsi sisi server dengan kunci enkripsi terkelola Amazon S3 (-S3). SSE Enkripsi sisi server adalah tentang melindungi data saat istirahat, dan SSE -S3 memiliki enkripsi multifaktor yang kuat untuk melindungi data Anda saat diam di Amazon S3. Untuk informasi selengkapnya tentang SSE -S3, lihat Melindungi Data Menggunakan Enkripsi Sisi Server dengan Kunci Enkripsi Terkelola Amazon S3 (SSE-S3) di Panduan Pengguna Layanan Penyimpanan Sederhana Amazon.

Saat ini, AWS Snowball Edge tidak menawarkan enkripsi sisi server dengan kunci yang disediakan pelanggan (-C). SSE Penyimpanan yang kompatibel dengan Amazon S3 pada perangkat Snow Family menawarkan SSE -C untuk pekerjaan komputasi dan penyimpanan lokal. Namun, Anda mungkin ingin menggunakan SSE jenis itu untuk melindungi data yang telah diimpor, atau Anda mungkin sudah menggunakannya pada data yang ingin Anda ekspor. Dalam kasus ini, ingatlah hal-hal berikut:

  • Impor -

    Jika Anda ingin menggunakan SSE -C untuk mengenkripsi objek yang telah Anda impor ke Amazon S3, Anda harus mempertimbangkan untuk SSE menggunakan enkripsi KMS - SSE atau -S3 sebagai gantinya dibuat sebagai bagian dari kebijakan bucket bucket tersebut. Namun, jika Anda harus menggunakan SSE -C untuk mengenkripsi objek yang telah Anda impor ke Amazon S3, maka Anda harus menyalin objek di dalam ember Anda untuk mengenkripsi dengan -C. SSE Contoh CLI perintah untuk mencapai ini ditunjukkan di bawah ini:

    aws s3 cp s3://amzn-s3-demo-bucket/object.txt s3://amzn-s3-demo-bucket/object.txt --sse-c --sse-c-key 1234567891SAMPLEKEY

    atau

    aws s3 cp s3://amzn-s3-demo-bucket s3://amzn-s3-demo-bucket --sse-c --sse-c-key 1234567891SAMPLEKEY --recursive

  • Ekspor — Jika Anda ingin mengekspor objek yang dienkripsi dengan SSE -C, pertama-tama salin objek tersebut ke bucket lain yang tidak memiliki enkripsi sisi server, atau memiliki SSE - KMS atau SSE -S3 yang ditentukan dalam kebijakan bucket bucket tersebut.

Mengaktifkan SSE -S3 untuk Data yang Diimpor ke Amazon S3 dari Snowball Edge

Gunakan prosedur berikut di Amazon S3 Management Console untuk mengaktifkan SSE -S3 untuk data yang diimpor ke Amazon S3. Tidak ada konfigurasi yang diperlukan di Konsol Manajemen AWS Snow Family atau pada perangkat Snowball itu sendiri.

Untuk mengaktifkan enkripsi SSE -S3 untuk data yang Anda impor ke Amazon S3, cukup setel kebijakan bucket untuk semua bucket tempat Anda mengimpor data. Anda memperbarui kebijakan untuk menolak izin mengunggah objek (s3:PutObject) jika permintaan unggahan tidak termasuk header x-amz-server-side-encryption.

Untuk mengaktifkan SSE -S3 untuk data yang diimpor ke Amazon S3

  1. Masuk ke AWS Management Console dan buka konsol Amazon S3 di. https://console.aws.amazon.com/s3/

  2. Pilih bucket tempat Anda ingin mengimpor data dari daftar bucket.

  3. Pilih Izin.

  4. Pilih Kebijakan Bucket.

  5. Di Editor kebijakan bucket, masukkan kebijakan berikut. Ganti semua contoh YourBucket dalam kebijakan ini dengan nama sebenarnya dari bucket Anda.

    {
  "Version": "2012-10-17",
  "Id": "PutObjPolicy",
  "Statement": [
    {
      "Sid": "DenyIncorrectEncryptionHeader",
      "Effect": "Deny",
      "Principal": "*",
      "Action": "s3:PutObject",
      "Resource": "arn:aws:s3:::YourBucket/*",
      "Condition": {
        "StringNotEquals": {
          "s3:x-amz-server-side-encryption": "AES256"
        }
      }
    },
    {
      "Sid": "DenyUnEncryptedObjectUploads",
      "Effect": "Deny",
      "Principal": "*",
      "Action": "s3:PutObject",
      "Resource": "arn:aws:s3:::YourBucket/*",
      "Condition": {
        "Null": {
          "s3:x-amz-server-side-encryption": "true"
        }
      }
    }
  ]
}

  6. Pilih Simpan.

Anda telah selesai mengonfigurasi bucket Amazon S3. Saat data Anda diimpor ke bucket ini, data tersebut dilindungi oleh SSE -S3. Ulangi prosedur ini untuk bucket lainnya, jika perlu.

AWS Key Management Service di AWS Snowball Edge

AWS Key Management Service (AWS KMS) adalah layanan terkelola yang memudahkan Anda membuat dan mengontrol kunci enkripsi yang digunakan untuk mengenkripsi data Anda. AWS KMS menggunakan modul keamanan perangkat keras (HSMs) untuk melindungi keamanan kunci Anda. Secara khusus, Amazon Resource Name (ARN) untuk AWS KMS kunci yang Anda pilih untuk pekerjaan di AWS Snowball Edge dikaitkan dengan KMS kunci. KMSKunci itu digunakan untuk mengenkripsi kode buka kunci untuk pekerjaan Anda. Kode buka kunci digunakan untuk mendekripsi lapisan atas enkripsi pada file manifes Anda. Kunci enkripsi yang disimpan dalam file manifes digunakan untuk mengenkripsi dan mendekripsi data pada perangkat.

Di AWS Snowball Edge, AWS KMS lindungi kunci enkripsi yang digunakan untuk melindungi data di setiap AWS Snowball Edge perangkat. Saat Anda membuat pekerjaan, Anda juga memilih KMS kunci yang ada. Menentukan AWS KMS kunci ARN untuk memberi tahu AWS Snowball mana yang AWS KMS keys akan digunakan untuk mengenkripsi kunci unik pada perangkat. AWS Snowball Edge Untuk informasi selengkapnya tentang server-side-encryption opsi Amazon S3 yang didukung AWS Snowball Edge, lihat. Enkripsi Sisi Server di Edge AWS Snowball

Menggunakan Managed Customer AWS KMS keys untuk Snowball Edge

Jika Anda ingin menggunakan pelanggan terkelola AWS KMS keys untuk Snowball Edge yang dibuat untuk akun Anda, ikuti langkah-langkah berikut.

Untuk memilih AWS KMS keys untuk pekerjaan Anda

  1. Pada Konsol Manajemen AWS Snow Family, pilih Buat pekerjaan.

  2. Pilih jenis tugas Anda, lalu pilih Berikutnya.

  3. Berikan rincian pengiriman Anda, lalu pilih Selanjutnya.

  4. Isi detail tugas Anda, lalu pilih Selanjutnya.

  5. Atur opsi keamanan Anda. Di bawah Enkripsi, untuk KMSkunci pilih Kunci yang dikelola AWS atau kunci khusus yang sebelumnya dibuat AWS KMS, atau pilih Masukkan kunci ARN jika Anda perlu memasukkan kunci yang dimiliki oleh akun terpisah.

    catatan

    AWS KMS key ARNIni adalah pengidentifikasi unik secara global untuk kunci yang dikelola pelanggan.

  6. Pilih Berikutnya untuk menyelesaikan memilih Anda AWS KMS key.

  7. Berikan akses IAM pengguna perangkat Salju ke KMS kunci.

    1. Di IAM konsol (https://console.aws.amazon.com/iam/), buka Kunci Enkripsi dan buka KMS kunci yang Anda pilih untuk digunakan untuk mengenkripsi data pada perangkat.

    2. Di bawah Pengguna Utama, pilih Tambah, cari IAM pengguna perangkat Salju dan pilih Lampirkan.

Membuat Kunci Enkripsi KMS Amplop Kustom

Anda memiliki opsi untuk menggunakan kunci enkripsi AWS KMS amplop kustom Anda sendiri dengan AWS Snowball Edge. Jika Anda memilih untuk membuat kunci Anda sendiri, kunci tersebut harus dibuat di wilayah yang sama dengan tempat tugas Anda dibuat.

Untuk membuat AWS KMS kunci Anda sendiri untuk suatu pekerjaan, lihat Membuat Kunci di Panduan AWS Key Management Service Pengembang.

Melindungi Data Pada Perangkat Anda

Mengamankan Edge Anda AWS Snowball

Berikut adalah beberapa poin keamanan yang kami sarankan Anda pertimbangkan saat menggunakan AWS Snowball Edge, dan juga beberapa informasi tingkat tinggi tentang tindakan pencegahan keamanan lain yang kami ambil saat perangkat tiba AWS untuk diproses.

Kami rekomendasikan pendekatan keamanan berikut ini:

  • Saat perangkat pertama kali tiba, periksa untuk kerusakan atau gangguan yang nyata. Jika Anda melihat sesuatu yang mencurigakan tentang perangkat tersebut, jangan sambungkan ke jaringan internal Anda. Sebaliknya, hubungi AWS Support, dan perangkat baru akan dikirimkan kepada Anda.

  • Anda harus berusaha melindungi kredensial tugas Anda dari pengungkapan. Setiap individu yang memiliki akses ke manifes dan kode pembuka tugas dapat mengakses konten perangkat yang dikirim untuk tugas tersebut.

  • Jangan biarkan perangkat terletak di dok pemuatan. Ditinggalkan di dok pemuatan, elemen bisa terekspos. Meskipun setiap perangkat AWS Snowball Edge kokoh, cuaca dapat merusak perangkat keras yang paling kokoh. Laporkan perangkat yang dicuri, hilang, atau rusak secepat mungkin. Semakin cepat masalah seperti itu dilaporkan, semakin cepat perangkat lain dapat dikirim untuk menyelesaikan tugas Anda.

catatan

Perangkat AWS Snowball Edge adalah milik AWS. Merusak perangkat merupakan pelanggaran terhadap Kebijakan Penggunaan yang AWS Dapat Diterima. Untuk informasi selengkapnya, lihat http://aws.amazon.com/aup/.

Kami melakukan langkah-langkah keamanan berikut:

  • Saat mentransfer data dengan adaptor Amazon S3, metadata objek tidak dipertahankan. Satu-satunya metadata yang tetap sama adalah filename dan filesize. Semua metadata lainnya diatur seperti dalam contoh berikut: -rw-rw-r-- 1 root root [filesize] Dec 31 1969 [path/filename]

  • Ketika mentransfer data dengan antarmuka file, metadata objek tetap ada.

  • Saat perangkat tiba AWS, kami memeriksanya apakah ada tanda-tanda gangguan dan untuk memverifikasi bahwa tidak ada perubahan yang terdeteksi oleh Trusted Platform Module (). TPM AWS Snowball Edge menggunakan beberapa lapisan keamanan yang dirancang untuk melindungi data Anda, termasuk penutup tahan kerusakan, enkripsi 256-bit, dan standar industri yang TPM dirancang untuk memberikan keamanan dan rantai penyimpanan penuh untuk data Anda.

  • Setelah pekerjaan transfer data diproses dan diverifikasi, AWS lakukan penghapusan perangkat lunak perangkat Snowball yang mengikuti pedoman National Institute of Standards and Technology (NIST) untuk sanitasi media.

Memvalidasi Tag NFC

NFCPerangkat Snowball Edge Compute Optimized dan Snowball Edge Storage Optimized (untuk transfer data) memiliki tag yang terpasang di dalamnya. Anda dapat memindai tag ini dengan Aplikasi Verifikasi AWS Snowball Edge, tersedia di Android. Memindai dan memvalidasi NFC tag ini dapat membantu Anda memverifikasi bahwa perangkat Anda belum dirusak sebelum Anda menggunakannya.

Memvalidasi NFC tag termasuk menggunakan klien Snowball Edge untuk menghasilkan kode QR khusus perangkat untuk memverifikasi bahwa tag yang Anda pindai adalah untuk perangkat yang tepat.

Prosedur berikut menjelaskan cara memvalidasi NFC tag pada perangkat Snowball Edge. Sebelum memulai, pastikan Anda telah melakukan lima langkah pertama berikut dalam latihan memulai:

  1. Buat tugas Snowball Edge Anda. Untuk informasi selengkapnya, lihat Membuat pekerjaan untuk memesan perangkat Keluarga Salju

  2. Menerima perangkat. Untuk informasi selengkapnya, lihat Menerima Snowball Edge.

  3. Connect ke jaringan lokal Anda. Untuk informasi selengkapnya, lihat Menyambungkan perangkat Snow Family ke jaringan lokal Anda.

  4. Dapatkan kredensial dan alat Anda. Untuk informasi selengkapnya, lihat Mendapatkan kredensil untuk mengakses perangkat Snow Family.

  5. Mengunduh dan menginstal klien Snowball Edge. Untuk informasi selengkapnya, lihat Mengunduh dan menginstal Klien Snowball Edge.

Untuk memvalidasi tag NFC

  1. Menjalankan perintah klien Snowball Edge snowballEdge get-app-qr-code. Jika Anda menjalankan perintah ini untuk sebuah simpul dalam klaster, sediakan nomor seri (--device-sn) untuk mendapatkan kode QR untuk satu node. Ulangi langkah ini untuk setiap simpul di klaster. Untuk informasi lebih lanjut tentang menggunakan perintah ini, lihat Mendapatkan kode QR untuk memvalidasi tag Snowball Edge NFC.

    Kode QR disimpan ke lokasi pilihan Anda sebagai file .png.

  2. Arahkan ke file .png yang Anda simpan, dan buka agar Anda dapat memindai kode QR dengan aplikasi.

  3. Anda dapat memindai tag ini menggunakan Aplikasi Verifikasi AWS Snowball Edge di Android.

    catatan

    Aplikasi Verifikasi AWS Snowball Edge tidak tersedia untuk diunduh, tetapi jika Anda memiliki perangkat dengan aplikasi yang sudah diinstal, Anda dapat menggunakan aplikasi tersebut.

  4. Jalankan aplikasi, dan ikuti petunjuk pada layar.

Anda sekarang telah berhasil memindai dan memvalidasi NFC tag untuk perangkat Anda.

Jika Anda mengalami masalah saat memindai, coba hal berikut:

  • Konfirmasikan bahwa perangkat Anda memiliki opsi Snowball Edge Compute Optimized (dengan atau tanpa). GPU

  • Jika Anda memiliki aplikasi di perangkat lain, coba gunakan perangkat itu.

  • Pindahkan perangkat ke area ruangan yang terisolasi, jauh dari gangguan dari NFC tag lain, dan coba lagi.

  • Jika masalah tetap ada, hubungi AWS Support.