Protezione dei dati in AWS Entity Resolution - AWS Entity Resolution
Crittografia dei dati a riposo per AWS Entity ResolutionGestione delle chiavi

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Protezione dei dati in AWS Entity Resolution

Il AWS modello di responsabilità condivisa modello di di si applica alla protezione dei dati in AWS Entity Resolution. Come descritto in questo modello, AWS è responsabile della protezione dell'infrastruttura globale che gestisce tutte le Cloud AWS. L'utente è responsabile del mantenimento del controllo sui contenuti ospitati su questa infrastruttura. L'utente è inoltre responsabile delle attività di configurazione e gestione della sicurezza per Servizi AWS che usi. Per ulteriori informazioni sulla privacy dei dati, consulta la sezione Privacy dei dati FAQ. Per informazioni sulla protezione dei dati in Europa, consulta la AWS Modello di responsabilità condivisa e post sul GDPR blog sul AWS Blog sulla sicurezza.

Ai fini della protezione dei dati, ti consigliamo di proteggere Account AWS credenziali e configura singoli utenti con AWS IAM Identity Center oppure AWS Identity and Access Management (IAM). In tal modo, a ogni utente verranno assegnate solo le autorizzazioni necessarie per svolgere i suoi compiti. Ti suggeriamo, inoltre, di proteggere i dati nei seguenti modi:

  • Usa l'autenticazione a più fattori (MFA) con ogni account.

  • UsaSSL/TLSper comunicare con AWS risorse. Richiediamo TLS 1.2 e consigliamo TLS 1.3.

  • Configurazione API e registrazione delle attività degli utenti con AWS CloudTrail. Per informazioni sull'utilizzo dei CloudTrail percorsi di acquisizione AWS attività, vedi Lavorare con i CloudTrail sentieri in AWS CloudTrail Guida per l'utente.

  • Utilizzo AWS soluzioni di crittografia, insieme a tutti i controlli di sicurezza predefiniti all'interno Servizi AWS.

  • Utilizza i servizi di sicurezza gestiti avanzati, come Amazon Macie, che aiutano a individuare e proteggere i dati sensibili archiviati in Amazon S3.

  • Se sono necessari FIPS 140-3 moduli crittografici convalidati per l'accesso AWS tramite un'interfaccia a riga di comando o unAPI, utilizza un endpoint. FIPS Per ulteriori informazioni sugli FIPS endpoint disponibili, vedere Federal Information Processing Standard (FIPS) 140-3.

Ti consigliamo vivamente di non inserire mai informazioni riservate o sensibili, ad esempio gli indirizzi e-mail dei clienti, nei tag o nei campi di testo in formato libero, ad esempio nel campo Nome. Ciò include quando si lavora con AWS Entity Resolution o altro Servizi AWS utilizzando la consoleAPI, AWS CLI, oppure AWS SDKs. I dati inseriti nei tag o nei campi di testo in formato libero utilizzati per i nomi possono essere utilizzati per i la fatturazione o i log di diagnostica. Se fornisci un URL a un server esterno, ti consigliamo vivamente di non includere le informazioni sulle credenziali URL per convalidare la tua richiesta a quel server.

Crittografia dei dati a riposo per AWS Entity Resolution

AWS Entity Resolution fornisce la crittografia di default per proteggere i dati sensibili dei clienti archiviati utilizzando AWS chiavi di crittografia di proprietà.

AWSchiavi di proprietà — AWS Entity Resolution utilizza queste chiavi per impostazione predefinita per crittografare automaticamente i dati di identificazione personale. Non puoi visualizzare, gestire o utilizzare AWS chiavi possedute o controllarne l'utilizzo. Tuttavia, non è necessario intraprendere alcuna azione per proteggere le chiavi che crittografano i dati. Per ulteriori informazioni, consulta le chiavi AWS possedute nella AWS Key Management Service Guida per gli sviluppatori.

La crittografia predefinita dei dati a riposo aiuta a ridurre il sovraccarico operativo e la complessità associati alla protezione dei dati sensibili. Allo stesso tempo, puoi utilizzarla per creare applicazioni sicure che soddisfino i rigorosi requisiti normativi e di conformità alla crittografia.

In alternativa, puoi anche fornire una KMS chiave di crittografia gestita dal cliente quando crei la risorsa di flusso di lavoro corrispondente.

Chiavi gestite dal cliente: AWS Entity Resolution supporta l'uso di una KMS chiave simmetrica gestita dal cliente, creata, posseduta e gestita dall'utente per consentire la crittografia dei dati sensibili. Avendo il pieno controllo di questo livello di crittografia, è possibile eseguire operazioni quali:

  • Stabilire e mantenere le policy delle chiavi

  • Stabilire e mantenere IAM politiche e sovvenzioni

  • Abilitare e disabilitare le policy delle chiavi

  • Ruotare i materiali crittografici delle chiavi

  • Aggiungere tag

  • Creare alias delle chiavi

  • Pianificare l’eliminazione delle chiavi

Per ulteriori informazioni, consulta la chiave gestita dal cliente nella AWS Key Management Service Guida per gli sviluppatori.

Per ulteriori informazioni sull' AWS KMS, vedi Cos'è il servizio di gestione delle AWS chiavi?

Gestione delle chiavi

In che modo AWS Entity Resolution utilizza le sovvenzioni in AWS KMS

AWS Entity Resolution richiede una concessione per utilizzare la chiave gestita dal cliente. Quando crei un flusso di lavoro corrispondente crittografato con una chiave gestita dal cliente, AWS Entity Resolution crea una sovvenzione per tuo conto inviando una CreateGrantrichiesta a AWS KMS. Sovvenzioni in AWS KMS sono usati per dare AWS Entity Resolution accesso a una KMS chiave in un account cliente. AWS Entity Resolution richiede la concessione dell'utilizzo della chiave gestita dal cliente per le seguenti operazioni interne:

  • Invia GenerateDataKeyrichieste a AWS KMS per generare chiavi dati crittografate dalla chiave gestita dal cliente.

  • Invia richieste Decrypt a AWS KMS per decrittografare le chiavi di dati crittografate in modo che possano essere utilizzate per crittografare i dati.

Puoi revocare l'accesso alla concessione o rimuovere l'accesso del servizio alla chiave gestita dal cliente in qualsiasi momento. Se lo fai, AWS Entity Resolution non sarà in grado di accedere a nessuno dei dati crittografati dalla chiave gestita dal cliente, il che influirà sulle operazioni che dipendono da tali dati. Ad esempio, se si rimuove l'accesso al servizio alla chiave tramite la concessione e si tenta di avviare un processo per un flusso di lavoro corrispondente crittografato con una chiave cliente, l'operazione restituirà un AccessDeniedException errore.

Creazione di una chiave gestita dal cliente

È possibile creare una chiave simmetrica gestita dal cliente utilizzando il AWS Management Console, oppure AWS KMS APIs.

Per creare una chiave simmetrica gestita dal cliente

AWS Entity Resolution supporta la crittografia tramite chiavi di crittografia KMS simmetriche. Segui i passaggi per la creazione di una chiave simmetrica gestita dal cliente nel AWS Key Management Service Guida per gli sviluppatori.

Dichiarazione politica chiave

Le policy della chiave controllano l'accesso alla chiave gestita dal cliente. Ogni chiave gestita dal cliente deve avere esattamente una policy della chiave, che contiene istruzioni che determinano chi può usare la chiave e come la possono usare. Quando crei la chiave gestita dal cliente, puoi specificare una policy della chiave. Per ulteriori informazioni, vedere Gestione dell'accesso alle chiavi gestite dal cliente nella AWS Key Management Service Guida per gli sviluppatori.

Per utilizzare la chiave gestita dai clienti con AWS Entity Resolution risorse, le seguenti API operazioni devono essere consentite nella politica chiave:

  • kms:DescribeKey— Fornisce informazioni come la chiaveARN, la data di creazione (e la data di cancellazione, se applicabile), lo stato della chiave e l'origine e la data di scadenza (se presente) del materiale chiave. Include campi cheKeySpec, ad esempio, aiutano a distinguere diversi tipi di KMS chiavi. Visualizza anche l'utilizzo della chiave (crittografia, firma o generazione e verificaMACs) e gli algoritmi supportati dalla KMS chiave. AWS Entity Resolution conferma che lo è e lo KeySpec èSYMMETRIC_DEFAULT. KeyUsage ENCRYPT_DECRYPT

  • kms:CreateGrant: aggiunge una concessione a una chiave gestita dal cliente. Concede l'accesso di controllo a una KMS chiave specificata, che consente l'accesso alle operazioni di concessione AWS Entity Resolution richiede. Per ulteriori informazioni sull'utilizzo delle sovvenzioni, vedere AWS Key Management Service Guida per gli sviluppatori.

Ciò consente AWS Entity Resolution per effettuare le seguenti operazioni:

  • Chiama GenerateDataKey per generare una chiave dati crittografata e archiviarla, poiché la chiave dati non viene utilizzata immediatamente per crittografare.

  • Chiama Decrypt per utilizzare la chiave dati crittografata memorizzata per accedere ai dati crittografati.

  • Imposta un preside in pensione per consentire al servizio di farloRetireGrant.

Di seguito sono riportati alcuni esempi di dichiarazioni politiche che è possibile aggiungere AWS Entity Resolution:

{
      "Sid" : "Allow access to principals authorized to use AWS Entity Resolution",
      "Effect" : "Allow",
      "Principal" : {
        "AWS" : "*"
      },
      "Action" : ["kms:DescribeKey","kms:CreateGrant"],
      "Resource" : "*",
      "Condition" : {
        "StringEquals" : {
          "kms:ViaService" : "entityresolution.region.amazonaws.com",
          "kms:CallerAccount" : "111122223333"
        }
      }
}

Autorizzazioni per gli utenti

Quando si configura una KMS chiave come chiave predefinita per la crittografia, la politica di KMS chiave predefinita consente a qualsiasi utente con accesso alle KMS azioni richieste di utilizzare questa KMS chiave per crittografare o decrittografare le risorse. È necessario concedere agli utenti l'autorizzazione a eseguire le seguenti azioni per utilizzare la crittografia a chiave gestita KMS dal cliente:

  • kms:CreateGrant

  • kms:Decrypt

  • kms:DescribeKey

  • kms:GenerateDataKey

Durante una CreateMatchingWorkflowrichiesta, AWS Entity Resolution invierà una CreateGrantrichiesta DescribeKeye una a AWS KMS per tuo conto. Ciò richiederà che l'IAMentità che effettua la CreateMatchingWorkflow richiesta con una KMS chiave gestita dal cliente disponga delle kms:DescribeKey autorizzazioni relative alla politica delle KMS chiavi.

Durante una StartIdMappingJobrichiesta CreateIdMappingWorkflowe, AWS Entity Resolution invierà una CreateGrantrichiesta DescribeKeye una a AWS KMS per tuo conto. Ciò richiederà che l'IAMentità che effettua la StartIdMappingJob richiesta CreateIdMappingWorkflow e con una KMS chiave gestita dal cliente disponga delle kms:DescribeKey autorizzazioni relative alla politica delle KMS chiavi. I fornitori saranno in grado di accedere alla chiave gestita dal cliente per decrittografare i dati contenuti nel AWS Entity Resolution Bucket di Amazon S3

Di seguito sono riportati alcuni esempi di dichiarazioni politiche che è possibile aggiungere per consentire ai provider di decrittografare i dati contenuti in AWS Entity Resolution Bucket Amazon S3:

{
    "Version": "2012-10-17",
    "Statement": [{
        "Effect": "Allow",
        "Principal": {
            "AWS": "arn:aws:iam::715724997226:root" 
        },
        "Action": [
            "kms:Decrypt"
        ],
        "Resource": "<KMSKeyARN>",
        "Condition": {
            "StringEquals": {
                "kms:ViaService": "s3.amazonaws.com"
            }
        }
    }]
}

Sostituisci ciascuno <user input placeholder> con le tue informazioni.

<KMSKeyARN> AWS KMS Amazon Resource Name.

Analogamente, l'IAMentità che richiama il StartMatchingJobAPImust have kms:Decrypt e kms:GenerateDataKey le autorizzazioni sulla KMS chiave gestita dal cliente fornite nel flusso di lavoro corrispondente.

Per ulteriori informazioni sulla specificazione delle autorizzazioni in una politica, consulta AWS Key Management Service Guida per gli sviluppatori.

Per ulteriori informazioni sulla risoluzione dei problemi di accesso tramite chiave, consulta la AWS Key Management Service Guida per gli sviluppatori.

Specificazione di una chiave gestita dal cliente per AWS Entity Resolution

È possibile specificare una chiave gestita dal cliente come crittografia di secondo livello per le seguenti risorse:

Flusso di lavoro corrispondente: quando si crea una risorsa di flusso di lavoro corrispondente, è possibile specificare la chiave dati inserendo un KMSArn, quale AWS Entity Resolution utilizza per crittografare i dati personali identificabili memorizzati dalla risorsa.

KMSArn— Inserisci una chiaveARN, che è un identificatore chiave per un AWS KMS chiave gestita dal cliente.

È possibile specificare una chiave gestita dal cliente come crittografia di secondo livello per le seguenti risorse se si sta creando o eseguendo un flusso di lavoro di mappatura degli ID su due Account AWS:

Flusso di lavoro di mappatura degli ID o Avvia flusso di lavoro di mappatura degli ID: quando si crea una risorsa del flusso di lavoro di mappatura degli ID o si avvia un processo di flusso di lavoro di mappatura degli ID, è possibile specificare la chiave dati inserendo un, che KMSArn AWS Entity Resolution utilizza per crittografare i dati personali identificabili memorizzati dalla risorsa.

KMSArn— Inserisci una chiaveARN, che è un identificatore chiave per un AWS KMS chiave gestita dal cliente.

Monitoraggio delle chiavi di crittografia per AWS Entity Resolution Servizio

Quando si utilizza un AWS KMS chiave gestita dal cliente con la tua AWS Entity Resolution Risorse di servizio, puoi utilizzare AWS CloudTrailo Amazon CloudWatch Logs per tenere traccia delle richieste che AWS Entity Resolution invia a AWS KMS.

I seguenti esempi sono AWS CloudTrail eventi perCreateGrant, GenerateDataKeyDecrypt, e DescribeKey da monitorare AWS KMS operazioni richiamate da AWS Entity Resolution per accedere ai dati crittografati dalla chiave gestita dal cliente:

CreateGrant

Quando si utilizza un AWS KMS chiave gestita dal cliente per crittografare la risorsa del flusso di lavoro corrispondente, AWS Entity Resolution invia una CreateGrant richiesta per tuo conto per accedere alla KMS chiave del tuo Account AWS. La concessione che AWS Entity Resolution le creazioni sono specifiche della risorsa associata a AWS KMS chiave gestita dal cliente. Inoltre, AWS Entity Resolution utilizza l'RetireGrantoperazione per rimuovere una concessione quando si elimina una risorsa.

L'evento di esempio seguente registra l'operazione CreateGrant:


{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "AssumedRole",
        "principalId": "AROAIGDTESTANDEXAMPLE:Sampleuser01",
        "arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
        "accountId": "111122223333",
        "accessKeyId": "AKIAIOSFODNN7EXAMPLE3",
        "sessionContext": {
            "sessionIssuer": {
                "type": "Role",
                "principalId": "AROAIGDTESTANDEXAMPLE:Sampleuser01",
                "arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
                "accountId": "111122223333",
                "userName": "Admin"
            },
            "webIdFederationData": {},
            "attributes": {
                "mfaAuthenticated": "false",
                "creationDate": "2021-04-22T17:02:00Z"
            }
        },
        "invokedBy": "entityresolution.amazonaws.com"
    },
    "eventTime": "2021-04-22T17:07:02Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "CreateGrant",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "172.12.34.56",
    "userAgent": "ExampleDesktop/1.0 (V1; OS)",
    "requestParameters": {
        "retiringPrincipal": "entityresolution.region.amazonaws.com",
        "operations": [
            "GenerateDataKey",
            "Decrypt",
        ],
        "keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
        "granteePrincipal": "entityresolution.region.amazonaws.com"
    },
    "responseElements": {
        "grantId": "0ab0ac0d0b000f00ea00cc0a0e00fc00bce000c000f0000000c0bc0a0000aaafSAMPLE",
        "keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
    },
    "requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "readOnly": false,
    "resources": [
        {
            "accountId": "111122223333",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "eventCategory": "Management",
    "recipientAccountId": "111122223333"
}

DescribeKey

AWS Entity Resolution utilizza l'DescribeKeyoperazione per verificare se il AWS KMS la chiave gestita dal cliente associata alla risorsa corrispondente esiste nell'account e nella regione.

L'evento di esempio seguente registra l'DescribeKeyoperazione.

{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "AssumedRole",
        "principalId": "AROAIGDTESTANDEXAMPLE:Sampleuser01",
        "arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
        "accountId": "111122223333",
        "accessKeyId": "AKIAIOSFODNN7EXAMPLE3",
        "sessionContext": {
            "sessionIssuer": {
                "type": "Role",
                "principalId": "AROAIGDTESTANDEXAMPLE:Sampleuser01",
                "arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
                "accountId": "111122223333",
                "userName": "Admin"
            },
            "webIdFederationData": {},
            "attributes": {
                "mfaAuthenticated": "false",
                "creationDate": "2021-04-22T17:02:00Z"
            }
        },
        "invokedBy": "entityresolution.amazonaws.com"
    },
    "eventTime": "2021-04-22T17:07:02Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "DescribeKey",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "172.12.34.56",
    "userAgent": "ExampleDesktop/1.0 (V1; OS)",
    "requestParameters": {
        "keyId": "00dd0db0-0000-0000-ac00-b0c000SAMPLE"
    },
    "responseElements": null,
    "requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "readOnly": true,
    "resources": [
        {
            "accountId": "111122223333",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "eventCategory": "Management",
    "recipientAccountId": "111122223333"
}

GenerateDataKey

Quando si abilita un AWS KMS chiave gestita dal cliente per la risorsa di flusso di lavoro corrispondente, AWS Entity Resolution invia una GenerateDataKey richiesta tramite Amazon Simple Storage Service (Amazon S3) a AWS KMS che specifica il AWS KMS chiave gestita dal cliente per la risorsa.

L'evento di esempio seguente registra l'GenerateDataKeyoperazione.

{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "AWSService",
        "invokedBy": "s3.amazonaws.com"
    },
    "eventTime": "2021-04-22T17:07:02Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "GenerateDataKey",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "172.12.34.56",
    "userAgent": "ExampleDesktop/1.0 (V1; OS)",
    "requestParameters": {
        "keySpec": "AES_256",
        "keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
    },
    "responseElements": null,
    "requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "readOnly": true,
    "resources": [
        {
            "accountId": "111122223333",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "eventCategory": "Management",
    "recipientAccountId": "111122223333",
    "sharedEventID": "57f5dbee-16da-413e-979f-2c4c6663475e"
}

Decrypt

Quando si abilita un AWS KMS chiave gestita dal cliente per la risorsa di flusso di lavoro corrispondente, AWS Entity Resolution invia una Decrypt richiesta tramite Amazon Simple Storage Service (Amazon S3) a AWS KMS che specifica il AWS KMS chiave gestita dal cliente per la risorsa.

L'evento di esempio seguente registra l'Decryptoperazione.

{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "AWSService",
        "invokedBy": "s3.amazonaws.com"
    },
    "eventTime": "2021-04-22T17:10:51Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "Decrypt",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "172.12.34.56",
    "userAgent": "ExampleDesktop/1.0 (V1; OS)",
    "requestParameters": {
        "keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
        "encryptionAlgorithm": "SYMMETRIC_DEFAULT"
    },
    "responseElements": null,
    "requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "readOnly": true,
    "resources": [
        {
            "accountId": "111122223333",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "eventCategory": "Management",
    "recipientAccountId": "111122223333",
    "sharedEventID": "dc129381-1d94-49bd-b522-f56a3482d088"
}

Considerazioni

AWS Entity Resolution non supporta l'aggiornamento di un flusso di lavoro corrispondente con una nuova KMS chiave gestita dal cliente. In questi casi, puoi creare un nuovo flusso di lavoro con la KMS chiave gestita dal cliente.

Ulteriori informazioni

Le seguenti risorse forniscono ulteriori informazioni sulla crittografia dei dati a riposo.

Per ulteriori informazioni sui concetti di base del servizio di gestione delle AWS chiavi, consulta AWS Key Management Service Guida per gli sviluppatori.

Per ulteriori informazioni sulle best practice di sicurezza per il servizio di gestione delle AWS chiavi, consulta la AWS Key Management Service Guida per gli sviluppatori.