Protezione dei dati in Incident Manager

Il modello di responsabilità AWS condivisa modello di di si applica alla protezione dei dati in AWS Systems Manager Incident Manager. Come descritto in questo modello, AWS è responsabile della protezione dell'infrastruttura globale che gestisce tutti i Cloud AWS. L'utente è responsabile del controllo dei contenuti ospitati su questa infrastruttura. L'utente è inoltre responsabile della configurazione della protezione e delle attività di gestione per i Servizi AWS utilizzati. Per ulteriori informazioni sulla privacy dei dati, consulta la sezione Privacy dei dati FAQ. Per informazioni sulla protezione dei dati in Europa, consulta il Modello di responsabilitàAWS condivisa e GDPR il post sul blog sulla AWS sicurezza.

Ai fini della protezione dei dati, ti consigliamo di proteggere Account AWS le credenziali e di configurare i singoli utenti con AWS IAM Identity Center o AWS Identity and Access Management (IAM). In tal modo, a ogni utente verranno assegnate solo le autorizzazioni necessarie per svolgere i suoi compiti. Ti suggeriamo, inoltre, di proteggere i dati nei seguenti modi:

Utilizza l'autenticazione a più fattori (MFA) con ogni account.
UsaSSL/TLSper comunicare con AWS le risorse. Richiediamo TLS 1.2 e consigliamo TLS 1.3.
Configurazione API e registrazione delle attività degli utenti con AWS CloudTrail. Per informazioni sull'uso dei CloudTrail percorsi per registrare AWS le attività, consulta Lavorare con i CloudTrail percorsi nella Guida per l'AWS CloudTrail utente.
Utilizza soluzioni di AWS crittografia, insieme a tutti i controlli di sicurezza predefiniti all'interno Servizi AWS.
Utilizza i servizi di sicurezza gestiti avanzati, come Amazon Macie, che aiutano a individuare e proteggere i dati sensibili archiviati in Amazon S3.
Se hai bisogno di FIPS 140-3 moduli crittografici convalidati per accedere AWS tramite un'interfaccia a riga di comando o unAPI, usa un endpoint. FIPS Per ulteriori informazioni sugli FIPS endpoint disponibili, vedere Federal Information Processing Standard () 140-3. FIPS

Ti consigliamo vivamente di non inserire mai informazioni riservate o sensibili, ad esempio gli indirizzi e-mail dei clienti, nei tag o nei campi di testo in formato libero, ad esempio nel campo Nome. Ciò include quando si lavora con Incident Manager o altro Servizi AWS utilizzando la console, API AWS CLI, o. AWS SDKs I dati inseriti nei tag o nei campi di testo in formato libero utilizzati per i nomi possono essere utilizzati per i la fatturazione o i log di diagnostica. Se fornisci un messaggio URL a un server esterno, ti consigliamo vivamente di non includere le informazioni sulle credenziali nel modulo URL per convalidare la tua richiesta a quel server.

Per impostazione predefinita, Incident Manager crittografa i dati in transito utilizzando/. SSL TLS

Crittografia dei dati

Incident Manager utilizza le chiavi AWS Key Management Service (AWS KMS) per crittografare le risorse di Incident Manager. Per ulteriori informazioni in merito AWS KMS, consulta la Guida per gli AWS KMS sviluppatori. AWS KMS combina hardware e software sicuri e ad alta disponibilità per fornire un sistema di gestione delle chiavi scalabile per il cloud. Incident Manager crittografa i dati utilizzando la chiave specificata e crittografa i metadati utilizzando una chiave proprietaria. AWS Per utilizzare Incident Manager, è necessario configurare il set di replica, che include l'impostazione della crittografia. Incident Manager richiede la crittografia dei dati per l'uso.

È possibile utilizzare una chiave AWS proprietaria per crittografare il set di replica oppure è possibile utilizzare la chiave gestita dal cliente creata AWS KMS per crittografare le regioni del set di replica. Incident Manager supporta solo AWS KMS chiavi di crittografia simmetriche per crittografare i dati creati all'interno. AWS KMS Incident Manager non supporta AWS KMS chiavi con materiale chiave importato, archivi di chiavi personalizzati, Message Authentication Code (HMAC) basato su Hash o altri tipi di chiavi. Se si utilizzano chiavi gestite dal cliente, si utilizza la AWS KMS console o AWS KMS APIs per creare centralmente le chiavi gestite dal cliente e definire le politiche chiave che controllano il modo in cui Incident Manager può utilizzare le chiavi gestite dal cliente. Quando si utilizza una chiave gestita dal cliente per la crittografia con Incident Manager, la chiave gestita dal AWS KMS cliente deve trovarsi nella stessa regione delle risorse. Per ulteriori informazioni sulla configurazione della crittografia dei dati in Incident Manager, consultaPreparati alla procedura guidata.

Sono previsti costi aggiuntivi per l'utilizzo delle chiavi gestite dal AWS KMS cliente. Per ulteriori informazioni, consulta AWS KMS i concetti e KMS le chiavi nella Guida per gli AWS Key Management Service sviluppatori e AWS KMS i prezzi.

Importante

Se utilizzate una AWS KMS key (KMSchiave) per crittografare il set di repliche e i dati di Incident Manager, ma in seguito decidete di eliminare il set di repliche, assicuratevi di eliminare il set di repliche prima di disabilitare o eliminare la chiave. KMS

Per consentire a Incident Manager di utilizzare la chiave gestita dal cliente per crittografare i dati, è necessario aggiungere le seguenti istruzioni sulla politica alla politica chiave della chiave gestita dal cliente. Per ulteriori informazioni sulla configurazione e la modifica della politica chiave nel tuo account, consulta Using key policy AWS KMS nella AWS Key Management Service Developer Guide. La politica fornisce le seguenti autorizzazioni:

Consente a Incident Manager di eseguire operazioni di sola lettura per trovare Incident Manager nel tuo account. AWS KMS key
Consente a Incident Manager di utilizzare la KMS chiave per creare sovvenzioni e descrivere la chiave, ma solo quando agisce per conto dei responsabili dell'account che dispongono del permesso di utilizzare Incident Manager. Se i responsabili specificati nell'informativa non sono autorizzati a utilizzare KMS le chiavi e a utilizzare Incident Manager, la chiamata ha esito negativo, anche quando proviene dal servizio Incident Manager.


       {
       "Sid": "Allow CreateGrant through AWS Systems Manager Incident Manager",
       "Effect": "Allow",
       "Principal": {
         "AWS": "arn:aws:iam::111122223333:user/ssm-lead"
       },
       "Action": [
         "kms:CreateGrant",
         "kms:DescribeKey"
       ],
       "Resource": "*",
       "Condition": {
         "StringLike": {
           "kms:ViaService": [
             "ssm-incidents.amazonaws.com",
             "ssm-contacts.amazonaws.com"
           ]
         }
       }
      }

Sostituisci il Principal valore con il IAM principale che ha creato il set di replica.

Incident Manager utilizza un contesto di crittografia in tutte le richieste AWS KMS di operazioni crittografiche. È possibile utilizzare questo contesto di crittografia per identificare gli eventi di CloudTrail registro in cui Incident Manager utilizza le KMS chiavi. Incident Manager utilizza il seguente contesto di crittografia:

contactArn=ARN of the contact or escalation plan

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Sicurezza

Identity and Access Management