Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Protezione dei dati in Amazon Cognito
Il modello di responsabilità AWS condivisa Modello
Ai fini della protezione dei dati, ti consigliamo di proteggere le credenziali dell' AWS account e di configurare account utente individuali con AWS Identity and Access Management (IAM). In questo modo, a ogni utente verranno assegnate solo le autorizzazioni necessarie per svolgere il proprio lavoro. Ti suggeriamo, inoltre, di proteggere i dati nei seguenti modi:
-
Utilizza l'autenticazione a più fattori (MFA) con ogni account.
-
UsaSSL/TLSper comunicare con AWS le risorse.
-
Configurazione API e registrazione delle attività degli utenti con AWS CloudTrail.
-
Utilizza soluzioni di AWS crittografia, insieme a tutti i controlli di sicurezza predefiniti all'interno AWS dei servizi.
-
Utilizza i servizi di sicurezza gestiti avanzati, ad esempio Amazon Macie, che aiutano a individuare e proteggere i dati personali archiviati in Amazon S3.
Ti consigliamo di non inserire mai informazioni identificative sensibili, ad esempio i numeri di account dei clienti, in campi a formato libero, ad esempio un campo Name (Nome). Ciò include quando lavori con Amazon Cognito o altri AWS servizi utilizzando la console, API AWS CLI, o. AWS SDKs Gli eventuali dati immessi in Amazon Cognito o altri servizi potrebbero essere prelevati per l'inserimento nei log di diagnostica. Quando fornisci un messaggio URL a un server esterno, non includere le informazioni sulle credenziali URL per convalidare la tua richiesta a quel server.
Crittografia dei dati
La crittografia dei dati in genere rientra in due categorie: crittografia dei dati a riposo e crittografia dei dati in transito.
Crittografia dei dati inattivi
I dati all'interno di Amazon Cognito sono crittografati a riposo in conformità con gli standard del settore.
Crittografia in transito
In quanto servizio gestito, Amazon Cognito è protetto dalla sicurezza di rete AWS globale. Per informazioni sui servizi di AWS sicurezza e su come AWS protegge l'infrastruttura, consulta AWS Cloud Security
Utilizzi API chiamate AWS pubblicate per accedere ad Amazon Cognito attraverso la rete. I client devono supportare quanto segue:
-
Transport Layer Security (TLS). Richiediamo TLS 1.2 e consigliamo TLS 1.3.
-
Suite di cifratura con Perfect Forward Secrecy (PFS) come (Ephemeral Diffie-Hellman) o DHE (Elliptic Curve Ephemeral Diffie-Hellman). ECDHE La maggior parte dei sistemi moderni, come Java 7 e versioni successive, supporta tali modalità.
Inoltre, le richieste devono essere firmate utilizzando un ID chiave di accesso e una chiave di accesso segreta associata a un principale. IAM O puoi utilizzare AWS Security Token Service (AWS STS) per generare credenziali di sicurezza temporanee per sottoscrivere le richieste.
I pool di utenti e i pool di identità di Amazon Cognito hanno operazioni IAM autenticate, non autenticate e autorizzate tramite token. API Le API operazioni non autenticate e autorizzate tramite token sono destinate all'uso da parte dei tuoi clienti, gli utenti finali della tua app. Le API operazioni non autenticate e autorizzate tramite token sono crittografate a riposo e in transito. Per ulteriori informazioni, consulta Pool di utenti di Amazon Cognito, operazioni autenticate e non autenticate API.
Nota
Amazon Cognito crittografa i contenuti internamente e non supporta le chiavi fornite dal cliente.
