Protezione dei dati in AWS AppFabric - AWS AppFabric
Crittografia a riposoCrittografia in transitoGestione delle chiaviPolicy della chiaveCome AppFabric utilizza le sovvenzioni in AWS KMSMonitoraggio delle chiavi di crittografia per AppFabric

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Protezione dei dati in AWS AppFabric

Il modello di responsabilità AWS condivisa modello di di si applica alla protezione dei dati in AWS AppFabric. Come descritto in questo modello, AWS è responsabile della protezione dell'infrastruttura globale che gestisce tutti i Cloud AWS. L'utente è responsabile del controllo dei contenuti ospitati su questa infrastruttura. L'utente è inoltre responsabile della configurazione della protezione e delle attività di gestione per i Servizi AWS utilizzati. Per ulteriori informazioni sulla privacy dei dati, consulta la sezione Privacy dei dati FAQ. Per informazioni sulla protezione dei dati in Europa, consulta il Modello di responsabilitàAWS condivisa e GDPR il post sul blog sulla AWS sicurezza.

Ai fini della protezione dei dati, ti consigliamo di proteggere Account AWS le credenziali e di configurare i singoli utenti con AWS IAM Identity Center o AWS Identity and Access Management (IAM). In tal modo, a ogni utente verranno assegnate solo le autorizzazioni necessarie per svolgere i suoi compiti. Ti suggeriamo, inoltre, di proteggere i dati nei seguenti modi:

  • Utilizza l'autenticazione a più fattori (MFA) con ogni account.

  • UsaSSL/TLSper comunicare con AWS le risorse. Richiediamo TLS 1.2 e consigliamo TLS 1.3.

  • Configurazione API e registrazione delle attività degli utenti con AWS CloudTrail. Per informazioni sull'uso dei CloudTrail percorsi per registrare AWS le attività, consulta Lavorare con i CloudTrail percorsi nella Guida per l'AWS CloudTrail utente.

  • Utilizza soluzioni di AWS crittografia, insieme a tutti i controlli di sicurezza predefiniti all'interno Servizi AWS.

  • Utilizza i servizi di sicurezza gestiti avanzati, come Amazon Macie, che aiutano a individuare e proteggere i dati sensibili archiviati in Amazon S3.

  • Se hai bisogno di FIPS 140-3 moduli crittografici convalidati per accedere AWS tramite un'interfaccia a riga di comando o unAPI, usa un endpoint. FIPS Per ulteriori informazioni sugli FIPS endpoint disponibili, vedere Federal Information Processing Standard () 140-3. FIPS

Ti consigliamo vivamente di non inserire mai informazioni riservate o sensibili, ad esempio gli indirizzi e-mail dei clienti, nei tag o nei campi di testo in formato libero, ad esempio nel campo Nome. Ciò include quando lavori AppFabric o Servizi AWS utilizzi in altro modo la console, API AWS CLI, o. AWS SDKs I dati inseriti nei tag o nei campi di testo in formato libero utilizzati per i nomi possono essere utilizzati per i la fatturazione o i log di diagnostica. Se fornisci un URL a un server esterno, ti consigliamo vivamente di non includere le informazioni sulle credenziali URL per convalidare la tua richiesta a quel server.

Nota

Per ulteriori informazioni sulla protezione dei dati in materia AppFabric di sicurezza, vedere. Elaborazione dei dati in AppFabric

Crittografia a riposo

AWS AppFabric supporta la crittografia a riposo, una funzionalità di crittografia lato server in cui crittografa in AppFabric modo trasparente tutti i dati relativi ai bundle di app quando vengono salvati su disco e li decrittografa quando si accede ai dati. Per impostazione predefinita, AppFabric crittografa i dati utilizzando an from (). Chiave di proprietà di AWS AWS Key Management Service AWS KMS Puoi anche scegliere di crittografare i tuoi dati utilizzando la tua chiave gestita dal cliente di. AWS KMS

Quando elimini un pacchetto di app, tutti i relativi metadati vengono eliminati definitivamente.

Crittografia in transito

Quando configuri un app bundle, puoi scegliere una chiave Chiave di proprietà di AWS o una chiave gestita dal cliente. Durante la raccolta e la normalizzazione dei dati per l'inserimento di un log di controllo, AppFabric archivia temporaneamente i dati in un bucket Amazon Simple Storage Service (Amazon S3) intermedio e li crittografa utilizzando questa chiave. Questo bucket intermedio viene eliminato dopo 30 giorni, utilizzando una politica del ciclo di vita del bucket.

AppFabric protegge tutti i dati in transito utilizzando TLS 1.2 e firma API le richieste con Signature V4. Servizi AWS AWS

Gestione delle chiavi

AppFabric supporta la crittografia dei dati con una Chiave di proprietà di AWS o una chiave gestita dal cliente. Ti consigliamo di utilizzare una chiave gestita dal cliente perché ti dà il pieno controllo dei tuoi dati crittografati. Quando scegli una chiave gestita dal cliente, AppFabric associa una politica delle risorse alla chiave gestita dal cliente che le consente l'accesso alla chiave gestita dal cliente.

Chiave gestita dal cliente

Per creare una chiave gestita dal cliente, segui i passaggi per la creazione di KMS chiavi di crittografia simmetriche nella Guida per gli sviluppatori.AWS KMS

Policy della chiave

Le politiche chiave controllano l'accesso alle chiavi gestite dai clienti. Ogni chiave gestita dal cliente deve avere esattamente una policy della chiave, che contiene istruzioni che determinano chi può usare la chiave e come la possono usare. Quando crei la chiave gestita dal cliente, puoi specificare una policy della chiave. Per informazioni sulla creazione di una policy chiave, consulta Creating a key policy nella AWS KMS Developer Guide.

Per utilizzare una chiave gestita dal cliente con AppFabric, l'utente AWS Identity and Access Management (IAM) o il ruolo che crea le AppFabric risorse deve disporre dell'autorizzazione a utilizzare la chiave gestita dal cliente. Ti consigliamo di creare una chiave da utilizzare solo con AppFabric e di aggiungere gli AppFabric utenti come utenti della chiave. Questo approccio limita l'ambito di accesso ai dati. Le autorizzazioni richieste dagli utenti sono le seguenti:

  • kms:DescribeKey

  • kms:CreateGrant

  • kms:GenerateDataKey

  • kms:Decrypt

La AWS KMS console guida l'utente nella creazione di una chiave con la policy chiave appropriata. Per ulteriori informazioni sulle politiche chiave, consulta le politiche chiave AWS KMS nella Guida per gli AWS KMS sviluppatori.

Di seguito è riportato un esempio di policy chiave che consente:

  • Il Utente root dell'account AWS pieno controllo della chiave.

  • Utenti autorizzati AppFabric a utilizzare la chiave gestita dal cliente con AppFabric.

  • Una politica chiave per la configurazione di un pacchetto di app inus-east-1.

{
    "Id": "key-consolepolicy-3",
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "Allow access for key administrators",
            "Effect": "Allow",
            "Principal": {"AWS": "arn:aws:iam::111122223333:root"},
            "Action": ["kms:*"],
            "Resource": "arn:aws:kms:us-east-1:111122223333:key/key_ID"
        },
        {
            "Sid": "Allow read-only access to key metadata to the account",
            "Effect": "Allow",
            "Principal": {"AWS": "arn:aws:iam::111122223333:root"},
            "Action": [
                "kms:Describe*",
                "kms:Get*",
                "kms:List*",
                "kms:RevokeGrant"
            ],
            "Resource": "*"
        },
        {
            "Sid": "Allow access to principals authorized to use AWS AppFabric",
            "Effect": "Allow",
            "Principal": {"AWS": "IAM-role/user-creating-appfabric-resources"},
            "Action": [
                "kms:Decrypt",
                "kms:GenerateDataKey",
                "kms:DescribeKey",
                "kms:CreateGrant",
                "kms:ListAliases"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "kms:ViaService": "appfabric.us-east-1.amazonaws.com",
                    "kms:CallerAccount": "111122223333"
                }
            }
        }
    ]
}

Come AppFabric utilizza le sovvenzioni in AWS KMS

AppFabric richiede una concessione per utilizzare la chiave gestita dal cliente. Per ulteriori informazioni, consulta Grants AWS KMS nella AWS KMS Developer Guide.

Quando crei un pacchetto di app, AppFabric crea una sovvenzione per tuo conto inviando una CreateGrant richiesta a. AWS KMS Le sovvenzioni AWS KMS vengono utilizzate per AppFabric consentire l'accesso a una AWS KMS chiave in un account cliente. AppFabric richiede la concessione dell'utilizzo della chiave gestita dal cliente per le seguenti operazioni interne:

  • Invia GenerateDataKey richieste per AWS KMS generare chiavi dati crittografate dalla chiave gestita dal cliente.

  • Invia Decrypt richieste per AWS KMS decrittografare le chiavi di dati crittografate in modo che possano essere utilizzate per crittografare i dati e per decrittografare i token di accesso alle applicazioni in transito.

  • Invia Encrypt richieste a per crittografare i token di accesso AWS KMS alle applicazioni in transito.

Di seguito è riportato un esempio di sovvenzione.

{
  "KeyId": "arn:aws:kms:us-east-1:111122223333:key/ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
  "GrantId": "0ab0ac0d0b000f00ea00cc0a0e00fc00bce000c000f0000000c0bc0a0000aaafSAMPLE",
  "Name": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
  "CreationDate": "2022-10-11T20:35:39+00:00",
  "GranteePrincipal": "appfabric.us-east-1.amazonaws.com",
  "RetiringPrincipal": "appfabric.us-east-1.amazonaws.com",
  "IssuingAccount": "arn:aws:iam::111122223333:root",
  "Operations": [
    "Decrypt",
    "Encrypt",
    "GenerateDataKey"
  ],
  "Constraints": {
    "EncryptionContextSubset": {
      "appBundleArn": "arn:aws:fabric:us-east-1:111122223333:appbundle/ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE"
    }
  }
},

Quando elimini un pacchetto di app, AppFabric ritira le sovvenzioni emesse sulla chiave gestita dal cliente.

Monitoraggio delle chiavi di crittografia per AppFabric

Quando utilizzi chiavi gestite AWS KMS dal cliente con AppFabric, puoi utilizzare AWS CloudTrail i log per tenere traccia delle richieste AppFabric inviate a AWS KMS.

Di seguito è riportato un esempio di CloudTrail evento registrato quando viene AppFabric utilizzato CreateGrant per la chiave gestita dal cliente.

{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "AssumedRole",
        "principalId": "AROAIGDTESTANDEXAMPLE:SampleUser",
        "arn": "arn:aws:sts::111122223333:assumed-role/AssumedRole/SampleUser",
        "accountId": "111122223333",
        "accessKeyId": "AKIAIOSFODNN7EXAMPLE",
        "sessionContext": {
            "sessionIssuer": {
                "type": "Role",
                "principalId": "AROAIGDTESTANDEXAMPLE",
                "arn": "arn:aws:iam::111122223333:role/AssumedRole",
                "accountId": "111122223333",
                "userName": "SampleUser"
            },
            "webIdFederationData": {},
            "attributes": {
                "creationDate": "2023-04-28T14:01:33Z",
                "mfaAuthenticated": "false"
            }
        }
    },
    "eventTime": "2023-04-28T14:05:48Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "CreateGrant",
    "awsRegion": "us-east-1",
    "sourceIPAddress": "appfabric.amazonaws.com",
    "userAgent": "appfabric.amazonaws.com",
    "requestParameters": {
        "granteePrincipal": "appfabric.us-east-1.amazonaws.com",
        "constraints": {
            "encryptionContextSubset": {
                "appBundleArn": "arn:aws:appfabric:us-east-1:111122223333:appbundle/ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE"
            }
        },
        "keyId": "arn:aws:kms:us-east-1:111122223333:key/EXAMPLEID",
        "retiringPrincipal": "appfabric.us-east-1.amazonaws.com",
        "operations": [
            "Encrypt",
            "Decrypt",
            "GenerateDataKey"
        ]
    },
    "responseElements": {
        "grantId": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
        "keyId": "arn:aws:kms:us-east-1:111122223333:key/KEY_ID"
    },
    "additionalEventData": {
        "grantId": "0ab0ac0d0b000f00ea00cc0a0e00fc00bce000c000f0000000c0bc0a0000aaafSAMPLE"
    },
    "requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "readOnly": false,
    "resources": [
        {
            "accountId": "AWS Internal",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:us-east-1:111122223333:key/key_ID"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "111122223333",
    "sharedEventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "eventCategory": "Management",
    "tlsDetails": {
        "tlsVersion": "TLSv1.3",
        "cipherSuite": "TLS_AES_256_GCM_SHA384",
        "clientProvidedHostHeader": "kms.us-east-1.amazonaws.com"
    }
}