Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Il modello di responsabilità condivisa
Per garantire la protezione dei dati, ti suggeriamo di proteggere le credenziali Account AWSe di configurare i singoli utenti con AWS IAM Identity Centero AWS Identity and Access Management(IAM). In tal modo, a ogni utente verranno assegnate solo le autorizzazioni necessarie per svolgere i suoi compiti. Ti suggeriamo, inoltre, di proteggere i dati nei seguenti modi:
-
Utilizza l'autenticazione a più fattori (MFA) con ogni account.
-
Utilizza SSL/TLS per comunicare con le risorse AWS. È richiesto TLS 1.2 ed è consigliato TLS 1.3.
-
Configura l'API e la registrazione delle attività degli utenti con AWS CloudTrail. Per informazioni sull'utilizzo dei percorsi CloudTrail per acquisire le attività AWS, consulta Utilizzo dei percorsi CloudTrail nella Guida per l'utente di AWS CloudTrail.
-
Utilizza le soluzioni di crittografia AWS, insieme a tutti i controlli di sicurezza di default all'interno dei Servizi AWS.
-
Utilizza i servizi di sicurezza gestiti avanzati, come Amazon Macie, che aiutano a individuare e proteggere i dati sensibili archiviati in Amazon S3.
-
Se necessiti di moduli crittografici convalidati FIPS 140-3 quando accedi ad AWS attraverso un'interfaccia a riga di comando o un'API, utilizza un endpoint FIPS. Per ulteriori informazioni sugli endpoint FIPS disponibili, consulta il Federal Information Processing Standard (FIPS) 140-3
.
Ti consigliamo vivamente di non inserire mai informazioni riservate o sensibili, ad esempio gli indirizzi e-mail dei clienti, nei tag o nei campi di testo in formato libero, ad esempio nel campo Nome. Ciò include quando si lavora con IAM o altri Servizi AWS utilizzando la console, l'API, la AWS CLI o gli SDK AWS. I dati inseriti nei tag o nei campi di testo in formato libero utilizzati per i nomi possono essere utilizzati per i la fatturazione o i log di diagnostica. Quando fornisci un URL a un server esterno, ti suggeriamo vivamente di non includere informazioni sulle credenziali nell'URL per convalidare la tua richiesta al server.
Crittografia dei dati in IAM e AWS STS
La crittografia dei dati in genere rientra in due categorie: crittografia dei dati a riposo e crittografia dei dati in transito.
Crittografia a riposo
I dati raccolti e archiviati da IAM vengono crittografati quando sono inattivi.
-
IAM: i dati raccolti e archiviati all'interno di IAM includono indirizzi IP, metadati dell'account cliente e dati identificativi del cliente, incluse le password. I metadati dell'account cliente e i dati identificativi del cliente vengono crittografati quando sono inattivi utilizzando AES 256 e SHA 256 per gli hash.
-
AWS STS: AWS STS non raccoglie contenuti dei clienti, ad eccezione dei log dei servizi che registrano le richieste al servizio riuscite, errate e incomplete.
Crittografia in transito
I dati identificativi del cliente, incluse le password, vengono crittografati in transito utilizzando TLS 1.2 e 1.3. Tutti gli endpoint AWS STS supportano HTTPS per la crittografia dei dati in transito. Per un elenco di endpoint AWS STS, consulta AWS STS Regioni ed endpoint.
Gestione delle chiavi in IAM e AWS STS
Non è possibile gestire le chiavi di crittografia utilizzando IAM o AWS STS. Per ulteriori informazioni sulle chiavi di crittografia, consulta Che cos'è AWS KMS? nella Guida per gli sviluppatori di AWS Key Management Service.
Riservatezza del traffico Internet in IAM e AWS STS
Le richieste a IAM devono essere effettuate utilizzando il protocollo TLS (Transport Layer Security Protocol). È possibile proteggere le connessioni al servizio AWS STS utilizzando gli endpoint VPC. Per ulteriori informazioni, consulta Endpoint VPC di interfaccia.
