Perlindungan data di Amazon VPC Lattice

Model tanggung jawab AWS bersama model berlaku untuk perlindungan data di Amazon VPC Lattice. Seperti yang dijelaskan dalam model AWS ini, bertanggung jawab untuk melindungi infrastruktur global yang menjalankan semua AWS Cloud. Anda harus bertanggung jawab untuk memelihara kendali terhadap konten yang di-hosting pada infrastruktur ini. Konten ini meliputi konfigurasi keamanan dan tugas-tugas pengelolaan untuk berbagai layanan Layanan AWS yang Anda gunakan. Lihat informasi yang lebih lengkap tentang privasi data dalam Pertanyaan Umum Privasi Data. Lihat informasi tentang perlindungan data di Eropa di pos blog Model Tanggung Jawab Bersama dan GDPR AWS di Blog Keamanan AWS .

Enkripsi bergerak

VPC Lattice adalah layanan yang dikelola sepenuhnya yang terdiri dari bidang kontrol dan pesawat data. Setiap pesawat melayani tujuan yang berbeda dalam layanan. Bidang kontrol menyediakan administrasi yang APIs digunakan untuk membuat, membaca/mendeskripsikan, memperbarui, menghapus, dan membuat daftar (CRUDL) sumber daya (misalnya, dan). CreateService UpdateService Komunikasi ke pesawat kontrol VPC Lattice dilindungi dalam perjalanan oleh TLS. Bidang data adalah VPC Lattice Invoke API, yang menyediakan interkoneksi antar layanan. TLS mengenkripsi komunikasi ke bidang data VPC Lattice saat Anda menggunakan HTTPS atau TLS. Suite cipher dan versi protokol menggunakan default yang disediakan oleh VPC Lattice dan tidak dapat dikonfigurasi. Untuk informasi selengkapnya, lihat Pendengar HTTPS untuk layanan VPC Lattice.

Enkripsi diam

Secara default, enkripsi data saat istirahat membantu mengurangi overhead operasional dan kompleksitas yang terlibat dalam melindungi data sensitif. Pada saat yang sama, ini memungkinkan Anda untuk membangun aplikasi aman yang memenuhi kepatuhan enkripsi yang ketat dan persyaratan peraturan.

Daftar Isi

Enkripsi di sisi server dengan kunci terkelola Amazon S3 (SSE-S3)
Enkripsi sisi server dengan AWS KMS kunci yang disimpan di (SSE-KMS) AWS KMS

Enkripsi di sisi server dengan kunci terkelola Amazon S3 (SSE-S3)

Saat Anda menggunakan enkripsi sisi server dengan kunci terkelola Amazon S3 (SSE-S3), setiap objek dienkripsi dengan kunci unik. Sebagai perlindungan tambahan, kami mengenkripsi kunci itu sendiri dengan kunci root yang kami putar secara teratur. Enkripsi sisi server Amazon S3 menggunakan salah satu cipher blok terkuat yang tersedia, 256-bit Advanced Encryption Standard (AES-256) GCM, untuk mengenkripsi data Anda. Untuk objek yang dienkripsi sebelum AES-GCM, AES-CBC masih didukung untuk mendekripsi objek tersebut. Untuk informasi selengkapnya, lihat Menggunakan enkripsi sisi server dengan kunci enkripsi terkelola Amazon S3 (SSE-S3).

Jika Anda mengaktifkan enkripsi sisi server dengan kunci enkripsi terkelola Amazon S3 (SSE-S3) untuk bucket S3 Anda untuk log akses VPC Lattice, kami secara otomatis mengenkripsi setiap file log akses sebelum disimpan di bucket S3 Anda. Untuk informasi selengkapnya, lihat Log yang dikirim ke Amazon S3 di CloudWatch Panduan Pengguna Amazon.

Enkripsi sisi server dengan AWS KMS kunci yang disimpan di (SSE-KMS) AWS KMS

Enkripsi sisi server dengan AWS KMS kunci (SSE-KMS) mirip dengan SSE-S3, tetapi dengan manfaat dan biaya tambahan untuk menggunakan layanan ini. Ada izin terpisah untuk AWS KMS kunci yang memberikan perlindungan tambahan terhadap akses tidak sah objek Anda di Amazon S3. SSE-KMS juga memberi Anda jejak audit yang menunjukkan kapan AWS KMS kunci Anda digunakan dan oleh siapa. Untuk informasi selengkapnya, lihat Menggunakan enkripsi sisi server dengan AWS Key Management Service (SSE-KMS).

Daftar Isi

Enkripsi dan dekripsi kunci pribadi sertifikat Anda
Konteks enkripsi untuk VPC Lattice
Memantau kunci enkripsi Anda untuk VPC Lattice

Enkripsi dan dekripsi kunci pribadi sertifikat Anda

Sertifikat ACM dan kunci pribadi Anda dienkripsi menggunakan kunci KMS AWS terkelola yang memiliki alias aws/acm. Anda dapat melihat ID kunci dengan alias ini di AWS KMS konsol di bawah kunci AWS terkelola.

VPC Lattice tidak langsung mengakses sumber daya ACM Anda. Ini menggunakan AWS TLS Connection Manager untuk mengamankan dan mengakses kunci pribadi untuk sertifikat Anda. Saat Anda menggunakan sertifikat ACM untuk membuat layanan VPC Lattice, VPC Lattice mengaitkan sertifikat Anda dengan TLS Connection Manager. AWS Ini dilakukan dengan membuat hibah AWS KMS terhadap Kunci AWS Terkelola Anda dengan awalan aws/acm. Hibah adalah instrumen kebijakan yang memungkinkan TLS Connection Manager untuk menggunakan kunci KMS dalam operasi kriptografi. Hibah ini memungkinkan prinsipal penerima hibah (TLS Connection Manager) untuk memanggil operasi hibah yang ditentukan pada kunci KMS untuk mendekripsi kunci pribadi sertifikat Anda. TLS Connection Manager kemudian menggunakan sertifikat dan kunci pribadi yang didekripsi (plaintext) untuk membuat koneksi aman (sesi SSL/TLS) dengan klien layanan VPC Lattice. Ketika sertifikat dipisahkan dari layanan VPC Lattice, hibah dihentikan.

Jika Anda ingin menghapus akses ke kunci KMS, kami sarankan Anda mengganti atau menghapus sertifikat dari layanan menggunakan AWS Management Console atau update-service perintah di AWS CLI.

Konteks enkripsi untuk VPC Lattice

Konteks enkripsi adalah kumpulan opsional pasangan kunci-nilai yang berisi informasi kontekstual tentang apa kunci pribadi Anda mungkin digunakan untuk. AWS KMS mengikat konteks enkripsi ke data terenkripsi dan menggunakannya sebagai data otentikasi tambahan untuk mendukung enkripsi yang diautentikasi.

Ketika kunci TLS Anda digunakan dengan VPC Lattice dan TLS Connection manager, nama layanan VPC Lattice Anda disertakan dalam konteks enkripsi yang digunakan untuk mengenkripsi kunci Anda saat istirahat. Anda dapat memverifikasi layanan VPC Lattice yang digunakan untuk sertifikat dan kunci pribadi Anda dengan melihat konteks enkripsi di CloudTrail log Anda seperti yang ditunjukkan di bagian berikutnya, atau dengan melihat tab Sumber Daya Terkait di konsol ACM.

Untuk mendekripsi data, konteks enkripsi yang sama disertakan dalam permintaan. VPC Lattice menggunakan konteks enkripsi yang sama di semua operasi kriptografi AWS KMS, di mana kuncinya adalah aws:vpc-lattice:arn dan nilainya adalah Nama Sumber Daya Amazon (ARN) dari layanan VPC Lattice.

Contoh berikut menunjukkan konteks enkripsi dalam output operasi sepertiCreateGrant.


"encryptionContextEquals": {
    "aws:acm:arn": "arn:aws:acm:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
    "aws:vpc-lattice:arn": "arn:aws:vpc-lattice:us-west-2:111122223333:service/svc-0b23c1234567890ab"
}

Memantau kunci enkripsi Anda untuk VPC Lattice

Bila Anda menggunakan kunci AWS terkelola dengan layanan VPC Lattice, Anda dapat menggunakannya AWS CloudTrailuntuk melacak permintaan yang dikirimkan oleh VPC Lattice. AWS KMS

CreateGrant

Ketika Anda menambahkan sertifikat ACM Anda ke layanan VPC Lattice, CreateGrant permintaan dikirim atas nama Anda untuk TLS Connection Manager untuk dapat mendekripsi kunci pribadi yang terkait dengan sertifikat ACM Anda

Anda dapat melihat CreateGrant operasi sebagai peristiwa di CloudTrail, Riwayat acara, CreateGrant.

Berikut ini adalah contoh catatan peristiwa dalam riwayat CloudTrail acara untuk CreateGrant operasi.


{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "IAMUser",
        "principalId": "EX_PRINCIPAL_ID",
        "arn": "arn:aws:iam::111122223333:user/Alice",
        "accountId": "111122223333",
        "accessKeyId": "EXAMPLE_KEY_ID",
        "sessionContext": {
            "sessionIssuer": {
                "type": "IAMUser",
                "principalId": "EX_PRINCIPAL_ID",
                "arn": "arn:aws:iam::111122223333:user/Alice",
                "accountId": "111122223333",
                "userName": "Alice"
            },
            "webIdFederationData": {},
            "attributes": {
                "creationDate": "2023-02-06T23:30:50Z",
                "mfaAuthenticated": "false"
            }
        },
        "invokedBy": "acm.amazonaws.com"
    },
    "eventTime": "2023-02-07T00:07:18Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "CreateGrant",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "acm.amazonaws.com",
    "userAgent": "acm.amazonaws.com",
    "requestParameters": {
        "granteePrincipal": "tlsconnectionmanager.amazonaws.com",
        "keyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
        "operations": [
            "Decrypt"
        ],
        "constraints": {
            "encryptionContextEquals": {
                "aws:acm:arn": "arn:aws:acm:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
                "aws:vpc-lattice:arn": "arn:aws:vpc-lattice:us-west-2:111122223333:service/svc-0b23c1234567890ab"
            }
        },
        "retiringPrincipal": "acm.us-west-2.amazonaws.com"
    },
    "responseElements": {
        "grantId": "f020fe75197b93991dc8491d6f19dd3cebb24ee62277a05914386724f3d48758",
        "keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
    },
    "requestID": "ba178361-8ab6-4bdd-9aa2-0d1a44b2974a",
    "eventID": "8d449963-1120-4d0c-9479-f76de11ce609",
    "readOnly": false,
    "resources": [
        {
            "accountId": "111122223333",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "111122223333",
    "eventCategory": "Management"
}

Dalam CreateGrant contoh di atas, prinsipal penerima hibah adalah TLS Connection Manager, dan konteks enkripsi memiliki layanan VPC Lattice ARN.

ListGrants

Anda dapat menggunakan ID kunci KMS dan ID akun Anda untuk memanggil ListGrants API. Ini memberi Anda daftar semua hibah untuk kunci KMS yang ditentukan. Untuk informasi selengkapnya, lihat ListGrants.

Gunakan ListGrants perintah berikut di AWS CLI untuk melihat rincian semua hibah.


aws kms list-grants —key-id your-kms-key-id

Berikut ini adalah output contoh.


{
    "Grants": [
        {
            "Operations": [
                "Decrypt"
            ], 
            "KeyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab", 
            "Name": "IssuedThroughACM", 
            "RetiringPrincipal": "acm.us-west-2.amazonaws.com", 
            "GranteePrincipal": "tlsconnectionmanager.amazonaws.com", 
            "GrantId": "f020fe75197b93991dc8491d6f19dd3cebb24ee62277a05914386724f3d48758", 
            "IssuingAccount": "arn:aws:iam::111122223333:root", 
            "CreationDate": "2023-02-06T23:30:50Z", 
            "Constraints": {
                "encryptionContextEquals": {
                  "aws:acm:arn": "arn:aws:acm:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
                  "aws:vpc-lattice:arn": "arn:aws:vpc-lattice:us-west-2:111122223333:service/svc-0b23c1234567890ab"
                }
            }
        }
    ]
}

Dalam ListGrants contoh di atas, prinsipal penerima hibah adalah TLS Connection Manager dan konteks enkripsi memiliki layanan VPC Lattice ARN.

Dekripsi

VPC Lattice menggunakan TLS Connection Manager untuk memanggil Decrypt operasi untuk mendekripsi kunci pribadi Anda untuk melayani koneksi TLS di layanan VPC Lattice Anda. Anda dapat melihat Decrypt operasi sebagai peristiwa dalam riwayat CloudTrailAcara, Dekripsi.

Berikut ini adalah contoh catatan peristiwa dalam riwayat CloudTrail acara untuk Decrypt operasi.


{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "AWSService",
        "invokedBy": "tlsconnectionmanager.amazonaws.com"
    },
    "eventTime": "2023-02-07T00:07:23Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "Decrypt",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "tlsconnectionmanager.amazonaws.com",
    "userAgent": "tlsconnectionmanager.amazonaws.com",
    "requestParameters": {
        "encryptionContext": {
            "aws:acm:arn": "arn:aws:acm:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
            "aws:vpc-lattice:arn": "arn:aws:vpc-lattice:us-west-2:111122223333:service/svc-0b23c1234567890ab"
        },
        "encryptionAlgorithm": "SYMMETRIC_DEFAULT"
    },
    "responseElements": null,
    "requestID": "12345126-30d5-4b28-98b9-9153da559963",
    "eventID": "abcde202-ba1a-467c-b4ba-f729d45ae521",
    "readOnly": true,
    "resources": [
        {
            "accountId": "111122223333",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "111122223333",
    "sharedEventID": "abcde202-ba1a-467c-b4ba-f729d45ae521",
    "eventCategory": "Management"
}

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Permintaan yang diautentikasi

Manajemen identitas dan akses