Protezione dei dati in Amazon EBS - Amazon EBS
Sicurezza EBS dei dati di AmazonCrittografia dei dati su disco e in transito.KMSgestione delle chiavi

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Protezione dei dati in Amazon EBS

Il modello di responsabilità AWS condivisa modello si applica alla protezione dei dati in Amazon Elastic Block Store. Come descritto in questo modello, AWS è responsabile della protezione dell'infrastruttura globale che gestisce tutti i Cloud AWS. L'utente è responsabile del controllo dei contenuti ospitati su questa infrastruttura. L'utente è inoltre responsabile della configurazione della protezione e delle attività di gestione per i Servizi AWS utilizzati. Per ulteriori informazioni sulla privacy dei dati, consulta la sezione Privacy dei dati FAQ. Per informazioni sulla protezione dei dati in Europa, consulta il Modello di responsabilitàAWS condivisa e GDPR il post sul blog sulla AWS sicurezza.

Ai fini della protezione dei dati, ti consigliamo di proteggere Account AWS le credenziali e di configurare i singoli utenti con AWS IAM Identity Center o AWS Identity and Access Management (IAM). In tal modo, a ogni utente verranno assegnate solo le autorizzazioni necessarie per svolgere i suoi compiti. Ti suggeriamo, inoltre, di proteggere i dati nei seguenti modi:

  • Utilizza l'autenticazione a più fattori (MFA) con ogni account.

  • UsaSSL/TLSper comunicare con AWS le risorse. Richiediamo TLS 1.2 e consigliamo TLS 1.3.

  • Configurazione API e registrazione delle attività degli utenti con AWS CloudTrail. Per informazioni sull'uso dei CloudTrail percorsi per registrare AWS le attività, consulta Lavorare con i CloudTrail percorsi nella Guida per l'AWS CloudTrail utente.

  • Utilizza soluzioni di AWS crittografia, insieme a tutti i controlli di sicurezza predefiniti all'interno Servizi AWS.

  • Utilizza i servizi di sicurezza gestiti avanzati, come Amazon Macie, che aiutano a individuare e proteggere i dati sensibili archiviati in Amazon S3.

  • Se hai bisogno di FIPS 140-3 moduli crittografici convalidati per accedere AWS tramite un'interfaccia a riga di comando o unAPI, usa un endpoint. FIPS Per ulteriori informazioni sugli FIPS endpoint disponibili, vedere Federal Information Processing Standard () 140-3. FIPS

Ti consigliamo vivamente di non inserire mai informazioni riservate o sensibili, ad esempio gli indirizzi e-mail dei clienti, nei tag o nei campi di testo in formato libero, ad esempio nel campo Nome. Ciò include quando lavori con Amazon EBS o altri Servizi AWS utenti utilizzando la consoleAPI, AWS CLI, o AWS SDKs. I dati inseriti nei tag o nei campi di testo in formato libero utilizzati per i nomi possono essere utilizzati per i la fatturazione o i log di diagnostica. Se fornisci un URL a un server esterno, ti consigliamo vivamente di non includere le informazioni sulle credenziali URL per convalidare la tua richiesta a quel server.

Sicurezza EBS dei dati di Amazon

EBSI volumi Amazon vengono presentati come dispositivi a blocchi non formattati e non formattati. Questi dispositivi sono dispositivi logici creati sull'EBSinfrastruttura e il EBS servizio Amazon garantisce che i dispositivi siano logicamente vuoti (ovvero, i blocchi grezzi vengano azzerati o contengano dati crittograficamente pseudocasuali) prima di qualsiasi utilizzo o riutilizzo da parte di un cliente.

Se disponi di procedure che richiedono la cancellazione di tutti i dati utilizzando un metodo specifico, dopo o prima dell'uso (o entrambi), come quelle descritte in dettaglio in DoD 5220.22-M (National Industrial Security Program Operating Manual) NISTo 800-88 (Guidelines for Media Sanitization), puoi farlo su Amazon. EBS Tale attività a livello di blocco si rifletterà sui supporti di archiviazione sottostanti all'interno del servizio AmazonEBS.

Crittografia dei dati su disco e in transito.

Amazon EBS Encryption è una soluzione di crittografia che consente di crittografare i EBS volumi Amazon e EBS gli snapshot Amazon utilizzando chiavi AWS Key Management Service crittografiche. EBSle operazioni di crittografia avvengono sui server che ospitano EC2 le istanze Amazon, garantendo la sicurezza di entrambe data-at-reste data-in-transittra un'istanza e il suo volume collegato e qualsiasi istantanea successiva. Per ulteriori informazioni, consulta EBSCrittografia Amazon.

KMSgestione delle chiavi

Quando crei un EBS volume o uno snapshot Amazon crittografato, specifichi una AWS Key Management Service chiave. Per impostazione predefinita, Amazon EBS utilizza la KMS chiave AWS gestita per Amazon EBS nel tuo account e nella tua regione (aws/ebs). Tuttavia, puoi specificare una KMS chiave gestita dal cliente da creare e gestire. L'utilizzo di una KMS chiave gestita dal cliente offre maggiore flessibilità, inclusa la possibilità di creare, ruotare e disabilitare KMS le chiavi.

Per utilizzare una KMS chiave gestita dal cliente, è necessario concedere agli utenti l'autorizzazione a utilizzare la KMS chiave. Per ulteriori informazioni, consulta Autorizzazioni del per gli utenti .

Importante

Amazon EBS supporta solo chiavi simmetriche KMS. Non puoi utilizzare KMSchiavi asimmetriche per crittografare un volume EBS Amazon e le istantanee. Per informazioni su come determinare se una KMS chiave è simmetrica o asimmetrica, consulta Identificazione delle chiavi asimmetriche. KMS

Per ogni volume, Amazon EBS chiede AWS KMS di generare una chiave dati univoca crittografata con la KMS chiave specificata. Amazon EBS archivia la chiave dati crittografata con il volume. Quindi, quando colleghi il volume a un'EC2istanza Amazon, Amazon EBS chiama AWS KMS per decrittografare la chiave dati. Amazon EBS utilizza la chiave dati in chiaro nella memoria dell'hypervisor per crittografare tutti gli I/O del volume. Per ulteriori informazioni, consulta Come funziona EBS la crittografia Amazon.