Protezione dei dati in Amazon Forecast - Amazon Forecast
Crittografia dei dati inattiviCrittografia in transito ed elaborazioneIn che modo Amazon Forecast utilizza le sovvenzioni in AWS KMSCreazione di una chiave gestita dal clienteMonitoraggio delle chiavi di crittografia per Amazon Forecast Service

Amazon Forecast non è più disponibile per i nuovi clienti. I clienti esistenti di Amazon Forecast possono continuare a utilizzare il servizio normalmente. Scopri di più»

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Protezione dei dati in Amazon Forecast

Il modello di responsabilità AWS condivisa modello di di si applica alla protezione dei dati in Amazon Forecast. Come descritto in questo modello, AWS è responsabile della protezione dell'infrastruttura globale che gestisce tutti i Cloud AWS. L'utente è responsabile del controllo dei contenuti ospitati su questa infrastruttura. L'utente è inoltre responsabile della configurazione della protezione e delle attività di gestione per i Servizi AWS utilizzati. Per ulteriori informazioni sulla privacy dei dati, consulta la sezione Privacy dei dati FAQ. Per informazioni sulla protezione dei dati in Europa, consulta il Modello di responsabilitàAWS condivisa e GDPR il post sul blog sulla AWS sicurezza.

Ai fini della protezione dei dati, ti consigliamo di proteggere Account AWS le credenziali e di configurare i singoli utenti con AWS IAM Identity Center o AWS Identity and Access Management (IAM). In tal modo, a ogni utente verranno assegnate solo le autorizzazioni necessarie per svolgere i suoi compiti. Ti suggeriamo, inoltre, di proteggere i dati nei seguenti modi:

  • Utilizza l'autenticazione a più fattori (MFA) con ogni account.

  • UsaSSL/TLSper comunicare con AWS le risorse. Richiediamo TLS 1.2 e consigliamo TLS 1.3.

  • Configurazione API e registrazione delle attività degli utenti con AWS CloudTrail. Per informazioni sull'uso dei CloudTrail percorsi per registrare AWS le attività, consulta Lavorare con i CloudTrail percorsi nella Guida per l'AWS CloudTrail utente.

  • Utilizza soluzioni di AWS crittografia, insieme a tutti i controlli di sicurezza predefiniti all'interno Servizi AWS.

  • Utilizza i servizi di sicurezza gestiti avanzati, come Amazon Macie, che aiutano a individuare e proteggere i dati sensibili archiviati in Amazon S3.

  • Se hai bisogno di FIPS 140-3 moduli crittografici convalidati per accedere AWS tramite un'interfaccia a riga di comando o unAPI, usa un endpoint. FIPS Per ulteriori informazioni sugli FIPS endpoint disponibili, vedere Federal Information Processing Standard () 140-3. FIPS

Ti consigliamo vivamente di non inserire mai informazioni riservate o sensibili, ad esempio gli indirizzi e-mail dei clienti, nei tag o nei campi di testo in formato libero, ad esempio nel campo Nome. Ciò include quando lavori con Forecast o altro Servizi AWS utilizzando la consoleAPI, AWS CLI, o AWS SDKs. I dati inseriti nei tag o nei campi di testo in formato libero utilizzati per i nomi possono essere utilizzati per i la fatturazione o i log di diagnostica. Se fornisci un URL a un server esterno, ti consigliamo vivamente di non includere le informazioni sulle credenziali URL per convalidare la tua richiesta a quel server.

Crittografia dei dati inattivi

In Amazon Forecast, la configurazione della crittografia viene fornita durante le CreatePredictor operazioni CreateDataset e. Se CreateDataset durante l'operazione viene fornita una configurazione di crittografia, nell'operazione viene utilizzato il CreateDatasetImportJob comando CMK and IAM Role for encryption at rest.

Ad esempio, se fornisci le tue chiavi KMSKeyArn e una RoleArn nella EncryptionConfig dichiarazione dell' CreateDataset operazione, Forecast assumerà quel ruolo e utilizzerà la chiave per crittografare il set di dati. Se non viene fornita alcuna configurazione, Forecast utilizza le chiavi di servizio predefinite per la crittografia. Inoltre, se si forniscono le EncryptionConfig informazioni per l' CreatePredictor operazione, tutte le operazioni successive, ad esempio CreateForecast e CreatePredictorExplanability CreatePredictorBacktestExportJob, utilizzeranno la stessa configurazione per eseguire la crittografia a riposo. Anche in questo caso, se non si fornisce una configurazione di crittografia, Forecast utilizzerà la crittografia del servizio predefinita.

Per tutti i dati archiviati nel bucket Amazon S3, i dati vengono crittografati con la chiave Amazon S3 predefinita. Puoi anche utilizzare la tua AWS KMS chiave per crittografare i tuoi dati e consentire a Forecast di accedere a questa chiave. Per informazioni sulla crittografia dei dati in Amazon S3, consulta Protezione dei dati tramite crittografia. Per informazioni sulla gestione della tua AWS KMS chiave, consulta Managing keys nella AWS Key Management Service Developer Guide.

Crittografia in transito ed elaborazione

Amazon Forecast utilizza TLS i AWS certificati per crittografare tutti i dati inviati ad altri AWS servizi. Qualsiasi comunicazione con altri AWS servizi avviene e HTTPS gli endpoint Forecast supportano solo connessioni sicure. HTTPS

Amazon Forecast copia i dati dal tuo account e li elabora in un AWS sistema interno. Durante l'elaborazione dei dati, Forecast crittografa i dati con una AWS KMS chiave Forecast o qualsiasi AWS KMS chiave fornita dall'utente.

In che modo Amazon Forecast utilizza le sovvenzioni in AWS KMS

Amazon Forecast richiede una concessione per utilizzare la chiave gestita dal cliente.

Forecast crea una concessione utilizzando il IAM ruolo assegnato durante EncryptionConfigl'CreateDatasetoperazione CreatePredictoror. Forecast assume il ruolo ed esegue un'operazione di creazione di sovvenzioni per tuo conto. Vedi Setup IAM role per maggiori dettagli.

Tuttavia, quando crei un predittore crittografato con una chiave gestita dal cliente, Amazon Forecast crea una sovvenzione per tuo conto inviando una CreateGrantrichiesta a AWS KMS. Le sovvenzioni AWS KMS vengono utilizzate per consentire ad Amazon Forecast di accedere a una AWS KMS chiave in un account cliente.

Amazon Forecast richiede la concessione per poter utilizzare la chiave gestita dal cliente a cui inviare richieste Decrypt per leggere gli AWS KMS artefatti crittografati del set di dati. Forecast utilizza la concessione anche per inviare GenerateDataKey richieste AWS KMS a per crittografare gli artefatti di addestramento su Amazon S3.

Puoi revocare l'accesso alla concessione o rimuovere l'accesso del servizio alla chiave gestita dal cliente in qualsiasi momento. In tal caso, Amazon Forecast non sarà in grado di accedere a nessuno dei dati crittografati dalla chiave gestita dal cliente, il che influirà sulle operazioni che dipendono da tali dati. Ad esempio, se tenti di eseguire l' CreateForecast operazione su un predittore crittografato a cui Amazon Forecast non può accedere, l'operazione restituirà un AccessDeniedException errore.

Creazione di una chiave gestita dal cliente

Puoi creare una chiave simmetrica gestita dal cliente utilizzando o il AWS Management Console . AWS KMS API Per creare una chiave simmetrica gestita dal cliente, segui i passaggi per la creazione di una chiave gestita dal cliente simmetrica nella Guida per gli sviluppatori.AWS Key Management Service

Le policy della chiave controllano l'accesso alla chiave gestita dal cliente. Ogni chiave gestita dal cliente deve avere esattamente una policy della chiave, che contiene istruzioni che determinano chi può usare la chiave e come la possono usare. Quando crei la chiave gestita dal cliente, puoi specificare una policy della chiave. Per ulteriori informazioni, consulta Gestione dell'accesso alle chiavi gestite dal cliente nella Guida per gli sviluppatori di AWS Key Management Service .

Per utilizzare la chiave gestita dai clienti con le risorse Amazon Forecast, le seguenti API operazioni devono essere consentite nella politica chiave:

  • kms: DescribeKey — Fornisce i dettagli chiave gestiti dal cliente che consentono ad Amazon Forecast di convalidare la chiave.

  • kms: CreateGrant — Aggiunge una concessione a una chiave gestita dal cliente. Le concessioni controllano l'accesso a una AWS KMS chiave specificata, che consente l'accesso alle operazioni di concessione richieste da Amazon Forecast. Questa operazione consente ad Amazon Forecast di GenerateDataKey effettuare chiamate per generare una chiave dati crittografata e archiviarla, poiché la chiave dati non viene utilizzata immediatamente per la crittografia. Inoltre, l'operazione consente ad Amazon Forecast di effettuare chiamate Decrypt in modo da poter utilizzare la chiave dati crittografata memorizzata e accedere ai dati crittografati.

  • kms: RetireGrant - Ritira tutte le sovvenzioni fornite durante l'CreateGrantoperazione una volta completata l'operazione.

Nota

Amazon Forecast esegue kms:Decrypt e kms:GenerateDataKey convalida l'identità del chiamante. Riceverai un messaggio AccessDeniedException nel caso in cui il chiamante non disponga delle autorizzazioni pertinenti. La politica chiave dovrebbe inoltre assomigliare al codice seguente:

"Effect": "Allow",
"Principal": {
    "AWS": “AWS Invoking Identity”
},
"Action": [
    "kms:Decrypt",
    "kms:GenerateDataKey”
    ],
    "Resource": "*"
}

Per maggiori dettagli, consulta IAMPolicy.

Di seguito sono riportati alcuni esempi di policy che puoi aggiungere per Amazon Forecast. Queste sono le autorizzazioni minime richieste, che possono essere aggiunte anche utilizzando IAM le politiche.

  "Statement" : [ 
    {"Sid" : "Allow access to principals authorized to use Amazon Forecast",
      "Effect" : "Allow",
      "Principal" : {"AWS" : "arn:aws:iam::111122223333:role/ROLE_PASSED_TO_FORECAST"
      },
      "Action" : [ 
        "kms:DescribeKey", 
        "kms:CreateGrant",
        "kms:RetireGrant"
      ],
      "Resource" : "*",
      "Condition" : {"StringEquals" : {"kms:ViaService" : "forecast.region.amazonaws.com",
          "kms:CallerAccount" : "111122223333"
        }
    },
    {"Sid": "Allow access for key administrators",
      "Effect": "Allow",
      "Principal": {"AWS": "arn:aws:iam::111122223333:root"
       },
      "Action" : [ 
        "kms:*"
       ],
      "Resource": "arn:aws:kms:region:111122223333:key/key_ID"
    }
  ]

Consulta la Guida per gli AWS Key Management Service sviluppatori per ulteriori informazioni sulla specificazione delle autorizzazioni in una policy e sulla risoluzione dei problemi di accesso tramite chiave.

Monitoraggio delle chiavi di crittografia per Amazon Forecast Service

Quando utilizzi una chiave gestita AWS KMS dal cliente con le tue risorse Amazon Forecast Service, puoi utilizzare AWS CloudTrailo Amazon CloudWatch Logs per tenere traccia delle richieste a cui Forecast invia. AWS KMS Gli esempi seguenti sono AWS CloudTrail eventi per e per CreateGrant DescribeKey monitorare AWS KMS le operazioni richiamate da Amazon Forecast per accedere ai dati crittografati dalla chiave gestita dal cliente. RetireGrant

DescribeKey
{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "AssumedRole",
        "principalId": "AROAIGDTESTANDEXAMPLE:Sampleuser01",
        "arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
        "accountId": "111122223333",
        "accessKeyId": "AKIAIOSFODNN7EXAMPLE3",
        "sessionContext": {
            "sessionIssuer": {
                "type": "Role",
                "principalId": "AROAIGDTESTANDEXAMPLE:Sampleuser01",
                "arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
                "accountId": "111122223333",
                "userName": "Admin"
            },
            "webIdFederationData": {},
            "attributes": {
                "creationDate": "2022-10-05T21:16:23Z",
                "mfaAuthenticated": "false"
            }
        }
    },
    "eventTime": "2022-10-05T21:16:23Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "DescribeKey",
    "awsRegion": "region",
    "sourceIPAddress": "172.12.34.56",
    "userAgent": "ExampleDesktop/1.0 (V1; OS)",
    "requestParameters": {
        "keyId": "arn:aws:kms:region:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
    },
    "responseElements": null,
    "requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "readOnly": true,
    "resources": [
        {
            "accountId": "111122223333",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:region:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "111122223333",
    "eventCategory": "Management",
    "tlsDetails": {
        "tlsVersion": "TLSv1.2",
        "cipherSuite": "ECDHE-RSA-AES256-GCM-SHA384",
        "clientProvidedHostHeader": "kms.region.amazonaws.com"
    }
}
CreateGrant
{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "AssumedRole",
        "principalId": "AROAIGDTESTANDEXAMPLE:Sampleuser01",
        "arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
        "accountId": "111122223333",
        "accessKeyId": "AKIAIOSFODNN7EXAMPLE3",
        "sessionContext": {
            "sessionIssuer": {
                "type": "Role",
                "principalId": "AROAIGDTESTANDEXAMPLE:Sampleuser01",
                "arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
                "accountId": "111122223333",
                "userName": "Admin"
            },
            "webIdFederationData": {},
            "attributes": {
                "creationDate": "2022-10-05T23:10:27Z",
                "mfaAuthenticated": "false"
            }
        }
    },
    "eventTime": "2022-10-05T23:10:27Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "CreateGrant",
    "awsRegion": "region",
    "sourceIPAddress": "172.12.34.56",
    "userAgent": "ExampleDesktop/1.0 (V1; OS)",
    "requestParameters": {
        "operations": [
            "Decrypt",
            "GenerateDataKey"
        ],
        "granteePrincipal": "AWS Internal",
        "keyId": "arn:aws:kms:region:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
    },
    "responseElements": {
        "grantId": "0ab0ac0d0b000f00ea00cc0a0e00fc00bce000c000f0000000c0bc0a0000aaafSAMPLE"
    },
    "requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "readOnly": false,
    "resources": [
        {
            "accountId": "111122223333",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:region:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "111122223333",
    "eventCategory": "Management",
    "tlsDetails": {
        "tlsVersion": "TLSv1.2",
        "cipherSuite": "ECDHE-RSA-AES256-GCM-SHA384",
        "clientProvidedHostHeader": "kms.region.amazonaws.com"
    }
}
RetireGrant
{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "AssumedRole",
        "principalId": "AROAIGDTESTANDEXAMPLE:Sampleuser01",
        "arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
        "accountId": "111122223333",
        "accessKeyId": "AKIAIOSFODNN7EXAMPLE3",
        "sessionContext": {
            "sessionIssuer": {
                "type": "Role",
                "principalId": "AROAIGDTESTANDEXAMPLE:Sampleuser01",
                "arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
                "accountId": "111122223333",
                "userName": "Admin"
            },
            "webIdFederationData": {},
            "attributes": {
                "creationDate": "2022-10-06T04:56:14Z",
                "mfaAuthenticated": "false"
            }
        }
    },
    "eventTime": "2022-10-06T04:56:14Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "RetireGrant",
    "awsRegion": "region",
    "sourceIPAddress": "172.12.34.56",
    "userAgent": "ExampleDesktop/1.0 (V1; OS)",
    "requestParameters": null,
    "responseElements": null,
    "additionalEventData": {
        "grantId": "0ab0ac0d0b000f00ea00cc0a0e00fc00bce000c000f0000000c0bc0a0000aaafSAMPLE"
    },
    "requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "readOnly": false,
    "resources": [
        {
            "accountId": "111122223333",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:region:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "111122223333",
    "eventCategory": "Management",
    "tlsDetails": {
        "tlsVersion": "TLSv1.2",
        "cipherSuite": "ECDHE-RSA-AES256-GCM-SHA384",
        "clientProvidedHostHeader": "kms.region.amazonaws.com"
    }
}