Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Protezione dei dati in Incident Manager
Il AWS modello di responsabilità condivisa modello
Ai fini della protezione dei dati, ti consigliamo di proteggere Account AWS credenziali e configura singoli utenti con AWS IAM Identity Center oppure AWS Identity and Access Management (IAM). In tal modo, a ogni utente verranno assegnate solo le autorizzazioni necessarie per svolgere i suoi compiti. Ti suggeriamo, inoltre, di proteggere i dati nei seguenti modi:
-
Usa l'autenticazione a più fattori (MFA) con ogni account.
-
UsaSSL/TLSper comunicare con AWS risorse. Richiediamo TLS 1.2 e consigliamo TLS 1.3.
-
Configurazione API e registrazione delle attività degli utenti con AWS CloudTrail. Per informazioni sull'utilizzo dei CloudTrail percorsi per l'acquisizione AWS attività, vedi Lavorare con i CloudTrail sentieri in AWS CloudTrail Guida per l'utente.
-
Utilizzo AWS soluzioni di crittografia, insieme a tutti i controlli di sicurezza predefiniti all'interno AWS servizi.
-
Utilizza i servizi di sicurezza gestiti avanzati, come Amazon Macie, che aiutano a individuare e proteggere i dati sensibili archiviati in Amazon S3.
-
Se sono necessari FIPS 140-3 moduli crittografici convalidati per l'accesso AWS tramite un'interfaccia a riga di comando o unAPI, utilizza un endpoint. FIPS Per ulteriori informazioni sugli FIPS endpoint disponibili, vedere Federal Information Processing Standard (FIPS)
140-3.
Ti consigliamo vivamente di non inserire mai informazioni riservate o sensibili, ad esempio gli indirizzi e-mail dei clienti, nei tag o nei campi di testo in formato libero, ad esempio nel campo Nome. Ciò include quando si lavora con Incident Manager o altro AWS servizi utilizzando la consoleAPI, AWS CLI, oppure AWS SDKs. I dati inseriti nei tag o nei campi di testo in formato libero utilizzati per i nomi possono essere utilizzati per i la fatturazione o i log di diagnostica. Se fornisci un URL a un server esterno, ti consigliamo vivamente di non includere le informazioni sulle credenziali URL per convalidare la tua richiesta a quel server.
Per impostazione predefinita, Incident Manager crittografa i dati in transito utilizzando/. SSL TLS
Crittografia dei dati
Incident Manager utilizza AWS Key Management Service (AWS KMS) chiavi per crittografare le risorse di Incident Manager. Per ulteriori informazioni sull' AWS KMS, vedi il AWS KMS Guida per gli sviluppatori. AWS KMS combina hardware e software sicuri e ad alta disponibilità per fornire un sistema di gestione delle chiavi scalabile per il cloud. Incident Manager crittografa i dati utilizzando la chiave specificata e crittografa i metadati utilizzando un AWS chiave proprietaria. Per utilizzare Incident Manager, è necessario configurare il set di replica, che include l'impostazione della crittografia. Incident Manager richiede la crittografia dei dati per l'uso.
È possibile utilizzare un AWS chiave proprietaria per crittografare il set di repliche oppure è possibile utilizzare la propria chiave gestita dal cliente creata in AWS KMS per crittografare le regioni del set di replica. Incident Manager supporta solo la crittografia simmetrica AWS KMS chiavi per crittografare i dati creati all'interno AWS KMS. Incident Manager non supporta AWS KMS chiavi con materiale chiave importato, archivi di chiavi personalizzati, Message Authentication Code (HMAC) basato su Hash o altri tipi di chiavi. Se si utilizzano chiavi gestite dal cliente, si utilizza il AWS KMS console
Sono previsti costi aggiuntivi per l'utilizzo AWS KMS chiavi gestite dal cliente. Per ulteriori informazioni, consulta AWS KMS concetti - KMS chiavi in AWS Key Management Service Guida per gli sviluppatori e AWS KMS prezzi
Importante
Se utilizzate una chiave gestita dal cliente (CMK) per crittografare il set di repliche e i dati di Incident Manager, ma in seguito decidete di eliminare il set di repliche, assicuratevi di eliminare il set di repliche prima di disabilitare o eliminare il. CMK
Per consentire a Incident Manager di utilizzare la chiave gestita dal cliente per crittografare i dati, è necessario aggiungere le seguenti dichiarazioni politiche alla politica chiave della chiave gestita dal cliente. Per ulteriori informazioni sulla configurazione e la modifica della politica chiave nel tuo account, consulta Utilizzo delle politiche chiave in AWS KMS nella AWS Key Management Service Guida per gli sviluppatori. La politica fornisce le seguenti autorizzazioni:
-
Consente a Incident Manager di eseguire operazioni di sola lettura per trovare Incident Manager nel tuo account. CMK
-
Consente a Incident Manager di CMK utilizzare il per creare concessioni e descrivere la chiave, ma solo quando agisce per conto dei responsabili dell'account che dispongono del permesso di utilizzare Incident Manager. Se i responsabili specificati nell'informativa non sono autorizzati a utilizzare KMS le chiavi e a utilizzare Incident Manager, la chiamata ha esito negativo, anche quando proviene dal servizio Incident Manager.
{ "Sid": "Allow CreateGrant through AWS Systems Manager Incident Manager", "Effect": "Allow", "Principal": { "AWS": "
arn:aws:iam::111122223333:user/ssm-lead
" }, "Action": [ "kms:CreateGrant", "kms:DescribeKey" ], "Resource": "*", "Condition": { "StringLike": { "kms:ViaService": [ "ssm-incidents.amazonaws.com", "ssm-contacts.amazonaws.com" ] } } }
Sostituisci il Principal
valore con il IAM principale che ha creato il set di replica.
Incident Manager utilizza un contesto di crittografia in tutte le richieste di AWS KMS per operazioni crittografiche. È possibile utilizzare questo contesto di crittografia per identificare gli eventi di CloudTrail registro in cui Incident Manager utilizza le KMS chiavi. Incident Manager utilizza il seguente contesto di crittografia:
-
contactArn=
ARN of the contact or escalation plan