Protezione dei dati in Amazon DevOps Guru - Amazon DevOps Guru

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Protezione dei dati in Amazon DevOps Guru

Il modello di responsabilità AWS condivisa Modello si applica alla protezione dei dati in Amazon DevOps Guru. Come descritto in questo modello, AWS è responsabile della protezione dell'infrastruttura globale che gestisce tutti i Cloud AWS. L'utente è responsabile del controllo dei contenuti ospitati su questa infrastruttura. L'utente è inoltre responsabile della configurazione della protezione e delle attività di gestione per i Servizi AWS utilizzati. Per ulteriori informazioni sulla privacy dei dati, consulta la sezione Privacy dei dati FAQ. Per informazioni sulla protezione dei dati in Europa, consulta il Modello di responsabilitàAWS condivisa e GDPR il post sul blog sulla AWS sicurezza.

Ai fini della protezione dei dati, ti consigliamo di proteggere Account AWS le credenziali e di configurare i singoli utenti con AWS IAM Identity Center o AWS Identity and Access Management (IAM). In tal modo, a ogni utente verranno assegnate solo le autorizzazioni necessarie per svolgere i suoi compiti. Ti suggeriamo, inoltre, di proteggere i dati nei seguenti modi:

  • Utilizza l'autenticazione a più fattori (MFA) con ogni account.

  • UsaSSL/TLSper comunicare con AWS le risorse. Richiediamo TLS 1.2 e consigliamo TLS 1.3.

  • Configurazione API e registrazione delle attività degli utenti con AWS CloudTrail. Per informazioni sull'uso dei CloudTrail percorsi per registrare AWS le attività, consulta Lavorare con i CloudTrail percorsi nella Guida per l'AWS CloudTrail utente.

  • Utilizza soluzioni di AWS crittografia, insieme a tutti i controlli di sicurezza predefiniti all'interno Servizi AWS.

  • Utilizza i servizi di sicurezza gestiti avanzati, come Amazon Macie, che aiutano a individuare e proteggere i dati sensibili archiviati in Amazon S3.

  • Se hai bisogno di FIPS 140-3 moduli crittografici convalidati per accedere AWS tramite un'interfaccia a riga di comando o unAPI, usa un endpoint. FIPS Per ulteriori informazioni sugli FIPS endpoint disponibili, vedere Federal Information Processing Standard () 140-3. FIPS

Ti consigliamo vivamente di non inserire mai informazioni riservate o sensibili, ad esempio gli indirizzi e-mail dei clienti, nei tag o nei campi di testo in formato libero, ad esempio nel campo Nome. Ciò include quando lavori con DevOps Guru o altri utenti che Servizi AWS utilizzano la console,API, AWS CLI o. AWS SDKs I dati inseriti nei tag o nei campi di testo in formato libero utilizzati per i nomi possono essere utilizzati per i la fatturazione o i log di diagnostica. Se fornisci un URL a un server esterno, ti consigliamo vivamente di non includere le informazioni sulle credenziali URL per convalidare la tua richiesta a quel server.

Crittografia dei dati in Guru DevOps

La crittografia è una parte importante della sicurezza di DevOps Guru. Alcune crittografie, ad esempio per i dati in transito, sono fornite di default e non richiedono alcuna operazione da parte dell'utente. Altre forme di crittografia, ad esempio per i dati inattivi, possono essere configurate durante la creazione del progetto o della build.

  • Crittografia dei dati in transito: tutte le comunicazioni tra clienti e DevOps Guru e tra DevOps Guru e le sue dipendenze a valle sono protette TLS e autenticate utilizzando il processo di firma Signature Version 4. Tutti gli endpoint DevOps Guru utilizzano certificati gestiti da. AWS Private Certificate Authority Per ulteriori informazioni, consulta il processo di firma della versione 4 di Signature e What is. ACM PCA

  • Crittografia dei dati inattivi: per tutte le AWS risorse analizzate da DevOps Guru, i CloudWatch parametri e i dati, le risorse IDs e AWS CloudTrail gli eventi di Amazon vengono archiviati utilizzando Amazon S3, Amazon DynamoDB e Amazon Kinesis. Se si utilizzano AWS CloudFormation gli stack per definire le risorse analizzate, vengono raccolti anche i dati dello stack. DevOpsGuru utilizza le politiche di conservazione dei dati di Amazon S3, DynamoDB e Kinesis. I dati archiviati in Kinesis possono essere conservati per un massimo di un anno e dipendono dalle politiche impostate. I dati archiviati in Amazon S3 e DynamoDB vengono archiviati per un anno.

    I dati archiviati vengono crittografati utilizzando le funzionalità di data-at-rest crittografia di Amazon S3, DynamoDB e Kinesis.

    Chiavi gestite dal cliente: DevOps Guru supporta la crittografia dei contenuti dei clienti e dei metadati sensibili, come le anomalie dei log generate dai registri con chiavi gestite dal cliente. CloudWatch Questa funzionalità offre la possibilità di aggiungere un livello di sicurezza autogestito per aiutarti a soddisfare i requisiti di conformità e normativi della tua organizzazione. Per informazioni sull'attivazione delle chiavi gestite dai clienti nelle impostazioni DevOps Guru, consulta. Aggiornamento delle impostazioni di crittografia inDevOpsGuru

    Avendo il pieno controllo di questo livello di crittografia, è possibile eseguire operazioni quali:

    • Stabilire e mantenere le policy delle chiavi

    • Stabilire e mantenere IAM politiche e sovvenzioni

    • Abilitare e disabilitare le policy delle chiavi

    • Ruotare i materiali crittografici delle chiavi

    • Aggiungere tag

    • Creare alias delle chiavi

    • Pianificare l’eliminazione delle chiavi

    Per ulteriori informazioni, consulta Customer managed keys nella AWS Key Management Service Developer Guide.

    Nota

    DevOpsGuru abilita automaticamente la crittografia a riposo utilizzando chiavi AWS proprietarie per proteggere gratuitamente i metadati sensibili. Tuttavia, l'utilizzo di una chiave gestita dal cliente comporta dei AWS KMS costi. Per ulteriori informazioni sui prezzi, consulta i AWS Key Management Service prezzi.

In che modo DevOps Guru utilizza le sovvenzioni in AWS KMS

DevOpsGuru richiede una concessione per utilizzare la chiave gestita dal cliente.

Quando scegli di abilitare la crittografia con una chiave gestita dal cliente, DevOps Guru crea una concessione per tuo conto inviando una CreateGrant richiesta a. AWS KMS Le sovvenzioni AWS KMS vengono utilizzate per consentire a DevOps Guru di accedere a una AWS KMS chiave in un account cliente.

DevOpsGuru richiede la concessione per utilizzare la chiave gestita dal cliente per le seguenti operazioni interne:

  • Invia DescribeKey richieste AWS KMS a per verificare che l'ID della KMS chiave simmetrica gestita dal cliente inserito durante la creazione di un tracker o di una raccolta di geofence sia valido.

  • Invia GenerateDataKey richieste per AWS KMS generare chiavi dati crittografate dalla chiave gestita dal cliente.

  • Invia le richieste Decrypt a per AWS KMS decrittografare le chiavi di dati crittografate in modo che possano essere utilizzate per crittografare i dati.

Puoi revocare l'accesso alla concessione o rimuovere l'accesso del servizio alla chiave gestita dal cliente in qualsiasi momento. Se lo fai, DevOps Guru non sarà in grado di accedere a nessuno dei dati crittografati dalla chiave gestita dal cliente, il che influirà sulle operazioni che dipendono da quei dati. Ad esempio, se si tenta di ottenere informazioni crittografate sulle anomalie di registro a cui DevOps Guru non può accedere, l'operazione restituirà un errore. AccessDeniedException

Monitoraggio delle chiavi di crittografia in Guru DevOps

Quando utilizzi una chiave gestita AWS KMS dal cliente con le tue risorse DevOps Guru, puoi usare AWS CloudTrail or CloudWatch Logs per tenere traccia delle richieste a cui DevOps Guru invia. AWS KMS

Creazione di una chiave gestita dal cliente

Puoi creare una chiave simmetrica gestita dal cliente utilizzando o il. AWS Management Console AWS KMS APIs

Per creare una chiave simmetrica gestita dal cliente, vedi Creazione di chiavi di crittografia simmetriche. KMS

Policy della chiave

Le policy della chiave controllano l'accesso alla chiave gestita dal cliente. Ogni chiave gestita dal cliente deve avere esattamente una policy della chiave, che contiene istruzioni che determinano chi può usare la chiave e come la possono usare. Quando crei la chiave gestita dal cliente, puoi specificare una policy della chiave. Per ulteriori informazioni, consulta Autenticazione e controllo degli accessi AWS KMS nella Guida per gli sviluppatori. AWS Key Management Service

Per utilizzare la chiave gestita dal cliente con le risorse DevOps Guru, nella policy chiave devono essere consentite le seguenti API operazioni:

  • kms:CreateGrant: aggiunge una concessione a una chiave gestita dal cliente. Concede l'accesso di controllo a una AWS KMS chiave specificata, che consente l'accesso alle operazioni di concessione richieste da DevOps Guru. Per ulteriori informazioni sull'utilizzo delle sovvenzioni, consulta la AWS Key Management Service Guida per gli sviluppatori.

Ciò consente a DevOps Guru di fare quanto segue:

  • Chiama GenerateDataKey per generare una chiave dati crittografata e archiviarla, poiché la chiave dati non viene utilizzata immediatamente per crittografare.

  • Chiama Decrypt per utilizzare la chiave dati crittografata memorizzata per accedere ai dati crittografati.

  • Configura un preside in pensione per consentire al servizio di farlo. RetireGrant

  • Utilizzato kms: DescribeKey per fornire i dettagli chiave gestiti dal cliente per consentire a DevOps Guru di convalidare la chiave.

La seguente dichiarazione include esempi di dichiarazioni politiche che è possibile aggiungere per DevOps Guru:

"Statement" : [ { "Sid" : "Allow access to principals authorized to use DevOps Guru", "Effect" : "Allow", "Principal" : { "AWS" : "*" }, "Action" : [ "kms:DescribeKey", "kms:CreateGrant" ], "Resource" : "*", "Condition" : { "StringEquals" : { "kms:ViaService" : "devops-guru.Region.amazonaws.com", "kms:CallerAccount" : "111122223333" } }, { "Sid": "Allow access for key administrators", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:root" }, "Action" : [ "kms:*" ], "Resource": "arn:aws:kms:region:111122223333:key/key_ID" }, { "Sid" : "Allow read-only access to key metadata to the account", "Effect" : "Allow", "Principal" : { "AWS" : "arn:aws:iam::111122223333:root" }, "Action" : [ "kms:Describe*", "kms:Get*", "kms:List*" ], "Resource" : "*" } ]

Privacy del traffico

È possibile migliorare la sicurezza dell'analisi delle risorse e della generazione di informazioni configurando DevOps Guru per l'utilizzo di un endpoint di interfaccia. VPC Per fare ciò, non è necessario un gateway Internet, un NAT dispositivo o un gateway privato virtuale. Inoltre, non è necessario configurarlo PrivateLink, sebbene sia consigliato. Per ulteriori informazioni, consulta DevOpsGuru e VPC endpoint di interfaccia ()AWS PrivateLink. Per ulteriori informazioni sugli PrivateLink VPC endpoint, consulta AWS PrivateLinke Accesso ai AWS servizi tramite PrivateLink.