Protezione dei dati in Incident Manager

Il AWS modello di responsabilità condivisa modello di di si applica alla protezione dei dati in AWS Systems Manager Incident Manager. Come descritto in questo modello, AWS è responsabile della protezione dell'infrastruttura globale che gestisce tutte le Cloud AWS. L'utente è responsabile del mantenimento del controllo sui contenuti ospitati su questa infrastruttura. L'utente è inoltre responsabile delle attività di configurazione e gestione della sicurezza per AWS servizi che usi. Per ulteriori informazioni sulla privacy dei dati, consulta la sezione Privacy dei dati FAQ. Per informazioni sulla protezione dei dati in Europa, consulta la AWS Modello di responsabilità condivisa e post sul GDPR blog sul AWS Blog sulla sicurezza.

Ai fini della protezione dei dati, ti consigliamo di proteggere Account AWS credenziali e configura singoli utenti con AWS IAM Identity Center oppure AWS Identity and Access Management (IAM). In tal modo, a ogni utente verranno assegnate solo le autorizzazioni necessarie per svolgere i suoi compiti. Ti suggeriamo, inoltre, di proteggere i dati nei seguenti modi:

Usa l'autenticazione a più fattori (MFA) con ogni account.
UsaSSL/TLSper comunicare con AWS risorse. Richiediamo TLS 1.2 e consigliamo TLS 1.3.
Configurazione API e registrazione delle attività degli utenti con AWS CloudTrail. Per informazioni sull'utilizzo dei CloudTrail percorsi per l'acquisizione AWS attività, vedi Lavorare con i CloudTrail sentieri in AWS CloudTrail Guida per l'utente.
Utilizzo AWS soluzioni di crittografia, insieme a tutti i controlli di sicurezza predefiniti all'interno AWS servizi.
Utilizza i servizi di sicurezza gestiti avanzati, come Amazon Macie, che aiutano a individuare e proteggere i dati sensibili archiviati in Amazon S3.
Se sono necessari FIPS 140-3 moduli crittografici convalidati per l'accesso AWS tramite un'interfaccia a riga di comando o unAPI, utilizza un endpoint. FIPS Per ulteriori informazioni sugli FIPS endpoint disponibili, vedere Federal Information Processing Standard (FIPS) 140-3.

Ti consigliamo vivamente di non inserire mai informazioni riservate o sensibili, ad esempio gli indirizzi e-mail dei clienti, nei tag o nei campi di testo in formato libero, ad esempio nel campo Nome. Ciò include quando si lavora con Incident Manager o altro AWS servizi utilizzando la consoleAPI, AWS CLI, oppure AWS SDKs. I dati inseriti nei tag o nei campi di testo in formato libero utilizzati per i nomi possono essere utilizzati per i la fatturazione o i log di diagnostica. Se fornisci un URL a un server esterno, ti consigliamo vivamente di non includere le informazioni sulle credenziali URL per convalidare la tua richiesta a quel server.

Per impostazione predefinita, Incident Manager crittografa i dati in transito utilizzando/. SSL TLS

Crittografia dei dati

Incident Manager utilizza AWS Key Management Service (AWS KMS) chiavi per crittografare le risorse di Incident Manager. Per ulteriori informazioni sull' AWS KMS, vedi il AWS KMS Guida per gli sviluppatori. AWS KMS combina hardware e software sicuri e ad alta disponibilità per fornire un sistema di gestione delle chiavi scalabile per il cloud. Incident Manager crittografa i dati utilizzando la chiave specificata e crittografa i metadati utilizzando un AWS chiave proprietaria. Per utilizzare Incident Manager, è necessario configurare il set di replica, che include l'impostazione della crittografia. Incident Manager richiede la crittografia dei dati per l'uso.

È possibile utilizzare un AWS chiave proprietaria per crittografare il set di repliche oppure è possibile utilizzare la propria chiave gestita dal cliente creata in AWS KMS per crittografare le regioni del set di replica. Incident Manager supporta solo la crittografia simmetrica AWS KMS chiavi per crittografare i dati creati all'interno AWS KMS. Incident Manager non supporta AWS KMS chiavi con materiale chiave importato, archivi di chiavi personalizzati, Message Authentication Code (HMAC) basato su Hash o altri tipi di chiavi. Se si utilizzano chiavi gestite dal cliente, si utilizza il AWS KMS console o AWS KMS APIsper creare centralmente le chiavi gestite dal cliente e definire le politiche chiave che controllano il modo in cui Incident Manager può utilizzare le chiavi gestite dal cliente. Quando si utilizza una chiave gestita dal cliente per la crittografia con Incident Manager, AWS KMS la chiave gestita dal cliente deve trovarsi nella stessa regione delle risorse. Per ulteriori informazioni sulla configurazione della crittografia dei dati in Incident Manager, consultaPreparati alla procedura guidata.

Sono previsti costi aggiuntivi per l'utilizzo AWS KMS chiavi gestite dal cliente. Per ulteriori informazioni, consulta AWS KMS concetti - KMS chiavi in AWS Key Management Service Guida per gli sviluppatori e AWS KMS prezzi.

Importante

Se utilizzate una chiave gestita dal cliente (CMK) per crittografare il set di repliche e i dati di Incident Manager, ma in seguito decidete di eliminare il set di repliche, assicuratevi di eliminare il set di repliche prima di disabilitare o eliminare il. CMK

Per consentire a Incident Manager di utilizzare la chiave gestita dal cliente per crittografare i dati, è necessario aggiungere le seguenti dichiarazioni politiche alla politica chiave della chiave gestita dal cliente. Per ulteriori informazioni sulla configurazione e la modifica della politica chiave nel tuo account, consulta Utilizzo delle politiche chiave in AWS KMS nella AWS Key Management Service Guida per gli sviluppatori. La politica fornisce le seguenti autorizzazioni:

Consente a Incident Manager di eseguire operazioni di sola lettura per trovare Incident Manager nel tuo account. CMK
Consente a Incident Manager di CMK utilizzare il per creare concessioni e descrivere la chiave, ma solo quando agisce per conto dei responsabili dell'account che dispongono del permesso di utilizzare Incident Manager. Se i responsabili specificati nell'informativa non sono autorizzati a utilizzare KMS le chiavi e a utilizzare Incident Manager, la chiamata ha esito negativo, anche quando proviene dal servizio Incident Manager.


       {
       "Sid": "Allow CreateGrant through AWS Systems Manager Incident Manager",
       "Effect": "Allow",
       "Principal": {
         "AWS": "arn:aws:iam::111122223333:user/ssm-lead"
       },
       "Action": [
         "kms:CreateGrant",
         "kms:DescribeKey"
       ],
       "Resource": "*",
       "Condition": {
         "StringLike": {
           "kms:ViaService": [
             "ssm-incidents.amazonaws.com",
             "ssm-contacts.amazonaws.com"
           ]
         }
       }
      }

Sostituisci il Principal valore con il IAM principale che ha creato il set di replica.

Incident Manager utilizza un contesto di crittografia in tutte le richieste di AWS KMS per operazioni crittografiche. È possibile utilizzare questo contesto di crittografia per identificare gli eventi di CloudTrail registro in cui Incident Manager utilizza le KMS chiavi. Incident Manager utilizza il seguente contesto di crittografia:

contactArn=ARN of the contact or escalation plan

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Sicurezza

Identity and Access Management