Protezione dei dati in Catena di approvvigionamento di AWS - Catena di approvvigionamento di AWS
Dati gestiti da Catena di approvvigionamento di AWSPreferenza di opt-outCrittografia a riposoCrittografia in transitoGestione delle chiaviRiservatezza del traffico InternetCome Catena di approvvigionamento di AWS utilizza le sovvenzioni in AWS KMS

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Protezione dei dati in Catena di approvvigionamento di AWS

Il modello di responsabilità AWS condivisa modello di di si applica alla protezione dei dati in Catena di approvvigionamento di AWS. Come descritto in questo modello, AWS è responsabile della protezione dell'infrastruttura globale che gestisce tutti i Cloud AWS. L'utente è responsabile del controllo dei contenuti ospitati su questa infrastruttura. L'utente è inoltre responsabile della configurazione della protezione e delle attività di gestione per i Servizi AWS utilizzati. Per ulteriori informazioni sulla privacy dei dati, consulta la sezione Privacy dei dati FAQ. Per informazioni sulla protezione dei dati in Europa, consulta il Modello di responsabilitàAWS condivisa e GDPR il post sul blog sulla AWS sicurezza.

Ai fini della protezione dei dati, ti consigliamo di proteggere Account AWS le credenziali e di configurare i singoli utenti con AWS IAM Identity Center o AWS Identity and Access Management (IAM). In tal modo, a ogni utente verranno assegnate solo le autorizzazioni necessarie per svolgere i suoi compiti. Ti suggeriamo, inoltre, di proteggere i dati nei seguenti modi:

  • Utilizza l'autenticazione a più fattori (MFA) con ogni account.

  • UsaSSL/TLSper comunicare con AWS le risorse. Richiediamo TLS 1.2 e consigliamo TLS 1.3.

  • Configurazione API e registrazione delle attività degli utenti con AWS CloudTrail. Per informazioni sull'uso dei CloudTrail percorsi per registrare AWS le attività, consulta Lavorare con i CloudTrail percorsi nella Guida per l'AWS CloudTrail utente.

  • Utilizza soluzioni di AWS crittografia, insieme a tutti i controlli di sicurezza predefiniti all'interno Servizi AWS.

  • Utilizza i servizi di sicurezza gestiti avanzati, come Amazon Macie, che aiutano a individuare e proteggere i dati sensibili archiviati in Amazon S3.

  • Se hai bisogno di FIPS 140-3 moduli crittografici convalidati per accedere AWS tramite un'interfaccia a riga di comando o unAPI, usa un endpoint. FIPS Per ulteriori informazioni sugli FIPS endpoint disponibili, vedere Federal Information Processing Standard () 140-3. FIPS

Ti consigliamo vivamente di non inserire mai informazioni riservate o sensibili, ad esempio gli indirizzi e-mail dei clienti, nei tag o nei campi di testo in formato libero, ad esempio nel campo Nome. Ciò include quando lavori Catena di approvvigionamento di AWS o Servizi AWS utilizzi in altro modo la console, API AWS CLI, o. AWS SDKs I dati inseriti nei tag o nei campi di testo in formato libero utilizzati per i nomi possono essere utilizzati per i la fatturazione o i log di diagnostica. Se fornisci un URL a un server esterno, ti consigliamo vivamente di non includere le informazioni sulle credenziali URL per convalidare la tua richiesta a quel server.

Dati gestiti da Catena di approvvigionamento di AWS

Per limitare i dati a cui possono accedere gli utenti autorizzati di una specifica istanza della catena di AWS fornitura, i dati contenuti all'interno della catena di AWS fornitura sono separati in base all'ID AWS dell'account e all'ID dell'istanza della catena AWS di fornitura.

AWS Supply Chain gestisce una varietà di dati della catena di approvvigionamento, come le informazioni sugli utenti, le informazioni estratte dal connettore dati e i dettagli dell'inventario.

Preferenza di opt-out

Possiamo utilizzare e archiviare i tuoi contenuti, inclusi i contenuti utilizzati in Amazon Q Catena di approvvigionamento di AWS che vengono elaborati da Catena di approvvigionamento di AWS, come indicato nei Termini AWS di servizio. Se desideri rinunciare all'utilizzo o all' Catena di approvvigionamento di AWS archiviazione dei tuoi contenuti, puoi creare una politica di opt-out in OrganizationsAWS. Per ulteriori informazioni sulla creazione di una politica di opt-out, consulta la sintassi e gli esempi della politica di opt-out dei servizi AI.

Crittografia a riposo

I dati di contatto classificati come o i dati che rappresentano i contenuti dei clientiPII, compresi i contenuti utilizzati in Amazon Q e archiviati da Catena di approvvigionamento di AWS, vengono crittografati quando sono inattivi (ovvero prima di Catena di approvvigionamento di AWS essere inseriti, archiviati o salvati su disco) con una chiave limitata nel tempo e specifica per l' Catena di approvvigionamento di AWS istanza.

La crittografia lato server di Amazon S3 viene utilizzata per crittografare tutti i dati della console e delle applicazioni Web con una chiave AWS Key Management Service dati unica per ogni account cliente. Per informazioni su AWS KMS keys, consulta What is? AWS Key Management Service nella Guida per gli AWS Key Management Service sviluppatori.

Nota

Catena di approvvigionamento di AWS le funzionalità Supply Planning e N-Tier Visibility non supportano la crittografia data-at-rest con il comando - fornito KMS in dotazione. CMK

Crittografia in transito

I dati, inclusi i contenuti utilizzati in Amazon Q e Catena di approvvigionamento di AWS scambiati con AWS Supply Chain, sono protetti durante il transito tra il browser Web dell'utente e la catena di AWS fornitura utilizzando la crittografia standard del settoreTLS.

Gestione delle chiavi

Catena di approvvigionamento di AWS supporta parzialmente -. KMS CMK

Per informazioni sull'aggiornamento della AWS KMS chiave in Catena di approvvigionamento di AWS, vedereCreazione di un'istanza.

Riservatezza del traffico Internet

Nota

Catena di approvvigionamento di AWS non supporta PrivateLink.

Un endpoint cloud privato virtuale (VPC) per Catena di approvvigionamento di AWS è un'entità logica all'interno di un VPC che consente la connettività solo a Catena di approvvigionamento di AWS. VPCIndirizza le richieste Catena di approvvigionamento di AWS e reindirizza le risposte a. VPC Per ulteriori informazioni, consulta VPCEndpoints nella Guida per l'VPCutente.

Come Catena di approvvigionamento di AWS utilizza le sovvenzioni in AWS KMS

Catena di approvvigionamento di AWS richiede una concessione per utilizzare la chiave gestita dal cliente.

Catena di approvvigionamento di AWS crea diverse concessioni utilizzando la AWS KMS chiave che viene passata durante l'CreateInstanceoperazione. Catena di approvvigionamento di AWS crea una sovvenzione per tuo conto inviando CreateGrantrichieste a AWS KMS. Le sovvenzioni AWS KMS vengono utilizzate per Catena di approvvigionamento di AWS consentire l'accesso alla AWS KMS chiave in un account cliente.

Nota

Catena di approvvigionamento di AWS utilizza il proprio meccanismo di autorizzazione. Una volta aggiunto un utente Catena di approvvigionamento di AWS, non è possibile negare che lo stesso utente utilizzi la AWS KMS politica.

Catena di approvvigionamento di AWS utilizza la concessione per quanto segue:

  • Per inviare GenerateDataKeyrichieste AWS KMS di crittografia dei dati archiviati nell'istanza.

  • A cui inviare richieste Decrypt per AWS KMS leggere i dati crittografati associati all'istanza.

  • Per aggiungere DescribeKeye RetireGrantautorizzazioni per proteggere i tuoi dati quando li invii ad altri AWS servizi come Amazon Forecast. CreateGrant

Puoi revocare l'accesso alla concessione o rimuovere l'accesso del servizio alla chiave gestita dal cliente in qualsiasi momento. Se lo fai, non Catena di approvvigionamento di AWS sarai in grado di accedere a nessuno dei dati crittografati dalla chiave gestita dal cliente, il che influirà sulle operazioni che dipendono da tali dati.

Monitoraggio della crittografia per Catena di approvvigionamento di AWS

Gli esempi seguenti sono AWS CloudTrail eventi per Encrypt e per Decrypt monitorare KMS le operazioni richieste per accedere Catena di approvvigionamento di AWS ai dati crittografati dalla chiave gestita dal cliente: GenerateDataKey

Encrypt

              {
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "AWSService",
        "invokedBy": "scn.amazonaws.com"
    },
    "eventTime": "2024-03-06T22:39:32Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "Encrypt",
    "awsRegion": "us-east-1",
    "sourceIPAddress": "172.12.34.56"
    "userAgent": "Example/Desktop/1.0 (V1; OS)",
    "requestParameters": {
        "encryptionAlgorithm": "SYMMETRIC_DEFAULT",
        "keyId": "arn:aws:kms:us-east-1:123456789:key/1234abcd-11ab-22bc-33ef-123456sample"
    },
    "responseElements": null,
    "requestID": "12a345n4-78a4-8888-0000-a000-6q000yy666rr",
    "eventID": "12a345n4-78a4-8888-0000-a000-6q000yy666rr",
    "readOnly": true,
    "resources": [
        {
            "accountId": account ID,
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:us-east-1:123456789:key/1234abcd-11ab-22bc-33ef-123456sample"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "112233445566",
    "sharedEventID": "fdf9ee0f-e43f-4e43-beac-df69067edb8b",
    "eventCategory": "Management"
}
GenerateDataKey

            {
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "AWSService",
        "invokedBy": "scn.amazonaws.com"
    },
     "eventTime": "2024-03-06T22:39:32Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "GenerateDataKey",
    "awsRegion": "us-east-1",
    "sourceIPAddress": "172.12.34.56"
    "userAgent": "Example/Desktop/1.0 (V1; OS)",
    "requestParameters": {
        "encryptionContext": {
            "aws:s3:arn": "arn:aws:s3:::test/rawEvent/bf6666c1-111-48aaca-b6b0-dsadsadsa3432423/noFlowName/scn.data.inboundorder/20240306_223934_536"
        },
        "keyId": "arn:aws:kms:us-east-1:123456789:key/1234abcd-11ab-22bc-33ef-123456sample",
        "keySpec": "AES_222"
    },
    "responseElements": null,
    "requestID": "12a345n4-78a4-8888-0000-a000-6q000yy666rr",
    "eventID": "12a345n4-78a4-8888-0000-a000-6q000yy666rr",
    "readOnly": true,
    "resources": [
        {
            "accountId": account ID,
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:us-east-1:123456789:key/1234abcd-11ab-22bc-33ef-123456sample"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "112233445566",
    "sharedEventID": "fdf9ee0f-e43f-4e43-beac-df69067edb8b",
    "eventCategory": "Management"
}
Decrypt

            {
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "AWSService",
        "invokedBy": "scn.amazonaws.com"
    },
     "eventTime": "2024-03-06T22:39:32Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "Decrypt",
    "awsRegion": "us-east-1",
    "sourceIPAddress": "172.12.34.56"
    "userAgent": "Example/Desktop/1.0 (V1; OS)",
    "requestParameters": {
        "keyId": "arn:aws:kms:us-east-1:123456789:key/1234abcd-11ab-22bc-33ef-123456sample",
        "encryptionAlgorithm": "SYMMETRIC_DEFAULT"
    },
    "responseElements": null,
    "requestID": "12a345n4-78a4-8888-0000-a000-6q000yy666rr",
    "eventID": "12a345n4-78a4-8888-0000-a000-6q000yy666rr",
    "readOnly": true,
    "resources": [
        {
            "accountId": account ID,
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:us-east-1:123456789:key/1234abcd-11ab-22bc-33ef-123456sample"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "112233445566",
    "sharedEventID": "fdf9ee0f-e43f-4e43-beac-df69067edb8b",
    "eventCategory": "Management"
}