Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Sicurezza in AWS HealthOmics
La sicurezza del cloud AWS è la massima priorità. In qualità di AWS cliente, puoi beneficiare di data center e architetture di rete progettati per soddisfare i requisiti delle organizzazioni più sensibili alla sicurezza.
La sicurezza è una responsabilità condivisa tra te e te. AWS Il [modello di responsabilità condivisa](https://aws.amazon.com/compliance/shared-responsibility-model/) descrive questo aspetto come sicurezza *del* cloud e sicurezza *nel* cloud:
+ **Sicurezza del cloud**: AWS è responsabile della protezione dell'infrastruttura che gestisce AWS i servizi in Cloud AWS. AWS fornisce inoltre servizi che è possibile utilizzare in modo sicuro. I revisori esterni testano e verificano regolarmente l'efficacia della nostra sicurezza nell'ambito dei [AWS Programmi di AWS conformità dei Programmi di conformità](https://aws.amazon.com/compliance/programs/) dei di . Per ulteriori informazioni sui programmi di conformità applicabili ad AWS HealthOmics, consulta [AWS Services in Scope by Compliance Program AWS](https://aws.amazon.com/compliance/services-in-scope/) .
+ **Sicurezza nel cloud**: la tua responsabilità è determinata dal AWS servizio che utilizzi. L’utente è anche responsabile di altri fattori, tra cui la riservatezza dei dati, i requisiti della propria azienda e le leggi e normative vigenti.
Questa documentazione ti aiuta a capire come applicare il modello di responsabilità condivisa quando usi AWS HealthOmics. I seguenti argomenti mostrano come configurare AWS per HealthOmics soddisfare i tuoi obiettivi di sicurezza e conformità. Imparerai anche a usare altri AWS servizi che ti aiutano a monitorare e proteggere le tue HealthOmics risorse AWS.
**Topics**
+ [Protezione dei dati in AWS HealthOmics](data-protection.md)
+ [Gestione delle identità e degli accessi in HealthOmics](security-iam.md)
+ [Convalida della conformità per AWS HealthOmics](compliance-validation.md)
+ [Resilienza in HealthOmics](disaster-recovery-resiliency.md)
+ [AWS HealthOmics e endpoint VPC di interfaccia ()AWS PrivateLink](vpc-interface-endpoints.md)
# Protezione dei dati in AWS HealthOmics
Il modello di [responsabilità AWS condivisa modello](https://aws.amazon.com/compliance/shared-responsibility-model/) di si applica alla protezione dei dati in AWS HealthOmics. Come descritto in questo modello, AWS è responsabile della protezione dell'infrastruttura globale che gestisce tutto il Cloud AWS. L’utente è responsabile del controllo dei contenuti ospitati su questa infrastruttura. L’utente è inoltre responsabile della configurazione della protezione e delle attività di gestione per i Servizi AWS utilizzati. Per maggiori informazioni sulla privacy dei dati, consulta le [Domande frequenti sulla privacy dei dati](https://aws.amazon.com/compliance/data-privacy-faq/). Per informazioni sulla protezione dei dati in Europa, consulta il post del blog relativo al [AWS Modello di responsabilità condivisa e GDPR](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) nel *AWS Blog sulla sicurezza*.
Ai fini della protezione dei dati, consigliamo di proteggere Account AWS le credenziali e configurare i singoli utenti con AWS IAM Identity Center or AWS Identity and Access Management (IAM). In tal modo, a ogni utente verranno assegnate solo le autorizzazioni necessarie per svolgere i suoi compiti. Suggeriamo, inoltre, di proteggere i dati nei seguenti modi:
+ Utilizza l’autenticazione a più fattori (MFA) con ogni account.
+ SSL/TLS Da utilizzare per comunicare con AWS le risorse. È richiesto TLS 1.2 ed è consigliato TLS 1.3.
+ Configura l'API e la registrazione delle attività degli utenti con AWS CloudTrail. Per informazioni sull'utilizzo dei CloudTrail percorsi per acquisire AWS le attività, consulta [Lavorare con i CloudTrail percorsi](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) nella *Guida per l'AWS CloudTrail utente*.
+ Utilizza soluzioni di AWS crittografia, insieme a tutti i controlli di sicurezza predefiniti all'interno Servizi AWS.
+ Utilizza i servizi di sicurezza gestiti avanzati, come Amazon Macie, che aiutano a individuare e proteggere i dati sensibili archiviati in Amazon S3.
+ Se hai bisogno di moduli crittografici convalidati FIPS 140-3 per accedere AWS tramite un'interfaccia a riga di comando o un'API, usa un endpoint FIPS. Per ulteriori informazioni sugli endpoint FIPS disponibili, consulta il [Federal Information Processing Standard (FIPS) 140-3](https://aws.amazon.com/compliance/fips/).
Ti consigliamo di non inserire mai informazioni riservate o sensibili, ad esempio gli indirizzi e-mail dei clienti, nei tag o nei campi di testo in formato libero, ad esempio nel campo **Nome**. Ciò include quando lavori con AWS HealthOmics o altri Servizi AWS utenti utilizzando la console, l'API o AWS SDKs. AWS CLI I dati inseriti nei tag o nei campi di testo in formato libero utilizzati per i nomi possono essere utilizzati per i la fatturazione o i log di diagnostica. Quando si fornisce un URL a un server esterno, suggeriamo vivamente di non includere informazioni sulle credenziali nell’URL per convalidare la richiesta al server.
## Crittografia dei dati a riposo
**Topics**
+ [Chiavi di proprietà di AWS](#AWS-owned-cmk)
+ [Chiavi gestite dal cliente](#customer-owned-cmk)
+ [Creazione di una chiave gestita dal cliente](#creating-co-cmk)
+ [Autorizzazioni IAM richieste per l'utilizzo di una chiave gestita dal cliente](#required-iam-cmk)
+ [Ulteriori informazioni](#more-info-kms)
Per proteggere i dati sensibili dei clienti archiviati, AWS HealthOmics fornisce la crittografia di default utilizzando una chiave AWS Key Management Service (AWS KMS) di proprietà del servizio. Sono supportate anche le chiavi gestite dal cliente. Per ulteriori informazioni sulla chiave gestita dal cliente, consulta [Amazon Key Management Service](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html).
Tutti gli archivi HealthOmics dati (Storage e Analytics) supportano l'uso di chiavi gestite dal cliente. La configurazione di crittografia non può essere modificata dopo la creazione di un archivio dati. Se un data store utilizza un Chiave di proprietà di AWS, verrà contrassegnato come «inattivo» AWS\$1OWNED\$1KMS\$1KEY e la chiave specifica utilizzata per la crittografia non sarà visibile.
Per i HealthOmics flussi di lavoro, le chiavi gestite dal cliente non sono supportate dal file system temporaneo; tuttavia, tutti i dati inattivi vengono crittografati automaticamente utilizzando l'algoritmo di crittografia a blocchi XTS-AES-256 per crittografare il file system. L'utente e il ruolo IAM utilizzati per avviare l'esecuzione di un workflow devono inoltre avere accesso alle chiavi utilizzate per i bucket di input e output del workflow. AWS KMS I flussi di lavoro non utilizzano sovvenzioni e la AWS KMS crittografia è limitata ai bucket Amazon S3 di input e output. Il ruolo IAM utilizzato sia per il flusso di lavoro APIs deve avere accesso alle AWS KMS chiavi utilizzate sia ai bucket Amazon S3 di input e output. Puoi utilizzare i ruoli e le autorizzazioni IAM per controllare l'accesso o le politiche. AWS KMS Per saperne di più, consulta [Autenticazione e controllo degli accessi per AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/control-access.html).
Quando utilizzi AWS Lake Formation HealthOmics Analytics, tutte le autorizzazioni di decrittografia associate a Lake Formation vengono assegnate anche ai bucket Amazon S3 di input e output. [Ulteriori informazioni su come AWS Lake Formation gestire le autorizzazioni sono disponibili nella documentazione.AWS Lake Formation](https://docs.aws.amazon.com/lake-formation/latest/dg/register-encrypted.html)
HealthOmics Analytics concede a Lake Formation kms: Decrypt le autorizzazioni per leggere i dati crittografati in un bucket Amazon S3. Finché disponi delle autorizzazioni per interrogare i dati tramite Lake Formation, sarai in grado di leggere i dati crittografati. L'accesso ai dati è controllato tramite il controllo dell'accesso ai dati in Lake Formation, non tramite una politica chiave KMS. Per ulteriori informazioni, consulta le [richieste di servizi AWS AWS integrate](https://docs.aws.amazon.com/lake-formation/latest/dg/access-control-underlying-data.html) nella documentazione di Lake Formation.
### Chiavi di proprietà di AWS
Per impostazione predefinita, HealthOmics Chiavi di proprietà di AWS crittografa automaticamente i dati inattivi, poiché questi dati possono contenere informazioni sensibili come informazioni di identificazione personale (PII) o Protected Health Information (PHI). Chiavi di proprietà di AWS non sono archiviati nel tuo account. Fanno parte di una raccolta di chiavi KMS di proprietà e gestione di AWS da utilizzare in più account AWS.
I servizi AWS possono essere utilizzati Chiavi di proprietà di AWS per proteggere i tuoi dati. Non puoi visualizzarne, gestirli Chiavi di proprietà di AWS, accedervi o verificarne l'utilizzo. Tuttavia, non è necessario eseguire alcuna operazione o modificare alcun programma per proteggere le chiavi che crittografano i dati.
Non ti viene addebitato un canone mensile o un canone di utilizzo per l' Chiavi di proprietà di AWS utilizzo e non vengono conteggiati nelle quote AWS KMS per il tuo account. Per ulteriori informazioni, consulta [Chiavi gestite da AWS](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#AWS-owned-cmk).
### Chiavi gestite dal cliente
HealthOmics supporta l'uso di chiavi simmetriche gestite dal cliente che crei, possiedi e gestisci per aggiungere un secondo livello di crittografia rispetto alla crittografia esistente di proprietà di AWS. Avendo il pieno controllo di questo livello di crittografia, è possibile eseguire operazioni quali:
+ Stabilire e mantenere politiche chiave, politiche IAM e sovvenzioni
+ Ruotare i materiali crittografici delle chiavi
+ Abilitare e disabilitare le policy delle chiavi
+ Aggiungere tag
+ Creare alias delle chiavi
+ Pianificare l’eliminazione delle chiavi
Puoi anche utilizzarlo CloudTrail per tenere traccia delle richieste HealthOmics inviate a per tuo AWS KMS conto. AWS KMS Si applicano costi aggiuntivi. Per ulteriori informazioni, consulta [Customer Managed Keys](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html#customer-cmk).
### Creazione di una chiave gestita dal cliente
Puoi creare una chiave simmetrica gestita dal cliente utilizzando la Console di gestione AWS o il. AWS KMS APIs
Segui i passaggi per la [creazione di chiavi simmetriche gestite dal cliente](https://docs.aws.amazon.com/kms/latest/developerguide/create-keys.html#create-symmetric-cmk) nella AWS Key Management Service Developer Guide.
Le policy della chiave controllano l’accesso alla chiave gestita dal cliente. Ogni chiave gestita dal cliente deve avere esattamente una policy della chiave, che contiene istruzioni che determinano chi può usare la chiave e come la possono usare. Quando crei una chiave gestita dal cliente, puoi specificare una policy chiave. Per ulteriori informazioni, consulta [Managing access to customer managed keys](https://docs.aws.amazon.com/kms/latest/developerguide/control-access-overview.html#managing-access) nella AWS Key Management Service Developer Guide.
Per utilizzare una chiave gestita dal cliente con le tue risorse HealthOmics Analytics, il mittente chiamante richiede [kms: CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html) operations nella policy chiave. Ciò consente al sistema di utilizzare un token FAS per creare una concessione a una chiave gestita dal cliente che controlla l'accesso a una chiave KMS specificata. Questa chiave consente a un utente di accedere alle operazioni [kms:grant richieste](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html#terms-grant-operations ). HealthOmics Per ulteriori informazioni, vedere [Utilizzo delle sovvenzioni.](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html)
Per l' HealthOmics analisi, devono essere consentite le seguenti operazioni API per il principale chiamante:
+ kms: CreateGrant aggiunge le concessioni a una chiave gestita dal cliente specifica, che consente l'accesso alle operazioni di concessione in HealthOmics Analytics.
+ kms: DescribeKey fornisce i dettagli chiave gestiti dal cliente necessari per convalidare la chiave. Questo è necessario per tutte le operazioni.
+ kms: GenerateDataKey fornisce l'accesso alle risorse di crittografia a riposo per tutte le operazioni di scrittura. Inoltre, questa azione fornisce dettagli chiave gestiti dal cliente che il servizio può utilizzare per verificare che il chiamante abbia accesso all'utilizzo della chiave.
+ KMS:Decrypt fornisce l'accesso alle operazioni di lettura o ricerca per risorse crittografate.
Per utilizzare una chiave gestita dal cliente con le risorse HealthOmics di archiviazione, il responsabile del HealthOmics servizio e il principale chiamante devono essere consentiti nella politica chiave. Ciò consente al servizio di verificare che il chiamante abbia accesso alla chiave e utilizza il responsabile del servizio per eseguire la gestione del negozio utilizzando la chiave gestita dal cliente. Per quanto riguarda l' HealthOmics archiviazione, la politica chiave per il responsabile del servizio deve consentire le seguenti operazioni API:
+ kms: DescribeKey fornisce i dettagli chiave gestiti dal cliente necessari per convalidare la chiave. Questo è necessario per tutte le operazioni.
+ kms: GenerateDataKey fornisce l'accesso alle risorse di crittografia a riposo per tutte le operazioni di scrittura. Inoltre, questa azione fornisce dettagli chiave gestiti dal cliente che il servizio può utilizzare per verificare che il chiamante abbia accesso all'utilizzo della chiave.
+ KMS:Decrypt fornisce l'accesso alle operazioni di lettura o ricerca per risorse crittografate.
L'esempio seguente mostra una dichiarazione politica che consente a un responsabile del servizio di creare e interagire con una HealthOmics sequenza o un archivio di riferimento crittografato utilizzando la chiave gestita dal cliente:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "omics.amazonaws.com"
},
"Action": [
"kms:Decrypt",
"kms:DescribeKey",
"kms:Encrypt",
"kms:GenerateDataKey*"
],
"Resource": "*"
}
]
}
```
------
L'esempio seguente mostra una policy che crea autorizzazioni per un data store per decrittografare i dati da un bucket Amazon S3.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"omics:GetReference",
"omics:GetReferenceMetadata"
],
"Resource": [
"arn:aws:omics:us-east-1:123456789012:referenceStore/*"
]
},
{
"Effect": "Allow",
"Action": [
"s3:GetObject"
],
"Resource": [
"arn:aws:s3:::[[s3path]]/*"
]
},
{
"Effect": "Allow",
"Action": [
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:us-east-1:123456789012:key/key_id"
],
"Condition": {
"StringEquals": {
"kms:ViaService": [
"s3.us-east-1.amazonaws.com"
]
}
}
}
]
}
```
------
### Autorizzazioni IAM richieste per l'utilizzo di una chiave gestita dal cliente
Quando si crea una risorsa come un archivio dati con AWS KMS crittografia utilizzando una chiave gestita dal cliente, sono necessarie le autorizzazioni sia per la policy chiave che per la policy IAM per l'utente o il ruolo IAM.
Puoi utilizzare la chiave [kms: ViaService condition per limitare l'uso della chiave](https://docs.aws.amazon.com/kms/latest/developerguide/policy-conditions.html#conditions-kms-via-service) KMS solo alle richieste che provengono da. HealthOmics
Per ulteriori informazioni sulle policy chiave, consulta [Enabling IAM policies](https://docs.aws.amazon.com/kms/latest/developerguide/key-policies.html#key-policy-default-allow-root-enable-iam) nella AWS Key Management Service Developer Guide.
**Topics**
+ [Autorizzazioni dell'API di analisi](#analytics-permissions)
+ [Autorizzazioni dell'API di archiviazione](#storage-permissions)
+ [Come HealthOmics utilizza le sovvenzioni in AWS KMS](#grants-kms)
+ [Monitoraggio delle chiavi di crittografia per AWS HealthOmics](#monitoring-kms)
#### Autorizzazioni dell'API di analisi
Per l' HealthOmics analisi, l'utente o il ruolo IAM che crea gli store deve disporre delle autorizzazioni kms:CreateGrant, kms:GenerateDataKey, kms: Decrypt e e kms: DescribeKey delle autorizzazioni necessarie. HealthOmics
#### Autorizzazioni dell'API di archiviazione
Per HealthOmics lo storage APIs, l'utente o il ruolo IAM che richiama le seguenti operazioni API richiede le autorizzazioni elencate:
**CreateReferenceStore, CreateSequenceStore**
Per creare un negozio, il chiamante IAM deve disporre `kms:DescribeKey` delle autorizzazioni più le autorizzazioni necessarie. HealthOmics Il principale del HealthOmics servizio chiama `kms:GenerateDataKeyWithoutPlaintext` per eseguire controlli di convalida dell'accesso per il caricamento e l'accesso ai dati.
**StartReadSetImportJob, StartReferenceImportJob**
Per avviare i processi di importazione dei dati, il chiamante IAM deve disporre `kms:Decrypt` `kms:GenerateDataKey` delle autorizzazioni per la chiave KMS nello store per l'importazione e delle `kms:Decrypt` autorizzazioni per il bucket Amazon S3 contenente gli oggetti da importare. Inoltre, il ruolo passato alla chiamata deve disporre delle `kms:Decrypt` autorizzazioni sul bucket Amazon S3 contenente gli oggetti da importare. Il chiamante IAM deve inoltre disporre delle autorizzazioni per passare il ruolo al job.
**CreateMultipartReadSetUpload, UploadReadSetPart, CompleteMultipartReadSetUpload**
Per completare un caricamento in più parti, il chiamante IAM deve avere `kms:Decrypt` e deve creare, `kms:GenerateDataKey` caricare e completare il caricamento in più parti.
**StartReadSetExportJob**
Per avviare un processo di esportazione dei dati, il chiamante IAM deve disporre dell'`kms:Decrypt`autorizzazione per l'esportazione della chiave KMS sullo store da `kms:GenerateDataKey` e `kms:Decrypt` delle autorizzazioni sul bucket Amazon S3 che riceve gli oggetti. Inoltre, il ruolo passato alla chiamata deve disporre delle `kms:Decrypt` autorizzazioni sul bucket Amazon S3 che riceve gli oggetti. Il chiamante IAM deve inoltre disporre delle autorizzazioni per passare il ruolo al job.
**StartReadsetActivationJob**
Per avviare un processo di attivazione del set di lettura, il chiamante IAM deve disporre delle autorizzazioni `kms:Decrypt` e dei `kms:GenerateDataKey` permessi per gli oggetti.
**GetReference, GetReadSet**
Per leggere gli oggetti dallo store, il chiamante IAM deve disporre dell'`kms:Decrypt`autorizzazione per gli oggetti.
**Leggi Set S3 GetObject**
Per leggere gli oggetti dallo store utilizzando l'`GetObject`API Amazon S3, il chiamante IAM deve disporre dell'`kms:Decrypt`autorizzazione per gli oggetti. Imposta questa autorizzazione sia per la chiave gestita dal cliente che per le configurazioni Chiave di proprietà di AWS .
#### Come HealthOmics utilizza le sovvenzioni in AWS KMS
HealthOmics Analytics richiede una [concessione](https://docs.aws.amazon.com/kms/latest/developerguide/grants.html) per utilizzare la chiave KMS gestita dal cliente. Le sovvenzioni non sono richieste o utilizzate per HealthOmics i flussi di lavoro. HealthOmics Lo storage utilizza la chiave gestita dal cliente direttamente dal responsabile del servizio, quindi non utilizzare una concessione. Quando crei un archivio di analisi crittografato con una chiave gestita dal cliente, HealthOmics Analytics crea una concessione per tuo conto inviando una [CreateGrant](https://docs.aws.amazon.com/kms/latest/APIReference/API_CreateGrant.html)richiesta ad AWS KMS. Le sovvenzioni in AWS KMS vengono utilizzate per consentire l' HealthOmics accesso a una chiave KMS in un account cliente.
Non è consigliabile revocare o ritirare le sovvenzioni che Analytics crea per tuo conto. HealthOmics Se revochi o ritiri la concessione che HealthOmics autorizza l'uso delle chiavi AWS KMS nel tuo account, HealthOmics non puoi accedere a questi dati, crittografare nuove risorse trasferite nel data store o decrittografarle quando vengono estratte.
Quando revochi o ritiri una sovvenzione per, la modifica avviene immediatamente. HealthOmics Per revocare i diritti di accesso, ti consigliamo di eliminare l'archivio dati anziché revocare la concessione. Quando elimini il data store, annulla le HealthOmics concessioni per tuo conto.
#### Monitoraggio delle chiavi di crittografia per AWS HealthOmics
Puoi utilizzarlo CloudTrail per tenere traccia delle richieste AWS HealthOmics inviate a per tuo AWS KMS conto quando utilizzi una chiave gestita dal cliente. Le voci di registro nel CloudTrail registro mostrano HealthOmics .amazonaws.com nel campo UserAgent per distinguere chiaramente le richieste effettuate da. HealthOmics
Gli esempi seguenti sono CloudTrail eventi per CreateGrant GenerateDataKey, Decrypt e per monitorare AWS KMS le operazioni richieste per accedere DescribeKey HealthOmics ai dati crittografati dalla chiave gestita dal cliente.
Di seguito viene inoltre illustrato come utilizzare per consentire CreateGrant all' HealthOmics analisi di accedere a una chiave KMS fornita dal cliente, in modo HealthOmics da utilizzare tale chiave KMS per crittografare tutti i dati inattivi del cliente.
Non è necessario creare le proprie sovvenzioni. HealthOmics crea una sovvenzione per tuo conto inviando una CreateGrant richiesta ad AWS KMS. Le sovvenzioni AWS KMS vengono utilizzate per HealthOmics consentire l'accesso a una AWS KMS chiave in un account cliente.
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AssumedRole",
"principalId": "xx:test",
"arn": "arn:AWS:sts::555555555555:assumed-role/user-admin/test",
"accountId": "xx",
"accessKeyId": "xxx",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "xxxx",
"arn": "arn:AWS:iam::555555555555:role/user-admin",
"accountId": "555555555555",
"userName": "user-admin"
},
"webIdFederationData": {},
"attributes": {
"creationDate": "2022-11-11T01:36:17Z",
"mfaAuthenticated": "false"
}
},
"invokedBy": "apigateway.amazonAWS.com"
},
"eventTime": "2022-11-11T02:34:41Z",
"eventSource": "kms.amazonAWS.com",
"eventName": "CreateGrant",
"AWSRegion": "us-west-2",
"sourceIPAddress": "apigateway.amazonAWS.com",
"userAgent": "apigateway.amazonAWS.com",
"requestParameters": {
"granteePrincipal": "AWS Internal",
"keyId": "arn:AWS:kms:us-west-2:555555555555:key/a6e87d77-cc3e-4a98-a354-e4c275d775ef",
"operations": [
"CreateGrant",
"RetireGrant",
"Decrypt",
"GenerateDataKey"
]
},
"responseElements": {
"grantId": "4869b81e0e1db234342842af9f5531d692a76edaff03e94f4645d493f4620ed7",
"keyId": "arn:AWS:kms:us-west-2:245126421963:key/xx-cc3e-4a98-a354-e4c275d775ef"
},
"requestID": "d31d23d6-b6ce-41b3-bbca-6e0757f7c59a",
"eventID": "3a746636-20ef-426b-861f-e77efc56e23c",
"readOnly": false,
"resources": [
{
"accountId": "245126421963",
"type": "AWS::KMS::Key",
"ARN": "arn:AWS:kms:us-west-2:245126421963:key/xx-cc3e-4a98-a354-e4c275d775ef"
}
],
"eventType": "AWSApiCall",
"managementEvent": true,
"recipientAccountId": "245126421963",
"eventCategory": "Management"
}
```
L'esempio seguente mostra come utilizzare per GenerateDataKey garantire che l'utente disponga delle autorizzazioni necessarie per crittografare i dati prima di archiviarli.
```
{
"eventVersion": "1.08",
"userIdentity": {
"type": "AssumedRole",
"principalId": "EXAMPLEUSER",
"arn": "arn:AWS:sts::111122223333:assumed-role/Sampleuser01",
"accountId": "111122223333",
"accessKeyId": "EXAMPLEKEYID",
"sessionContext": {
"sessionIssuer": {
"type": "Role",
"principalId": "EXAMPLEROLE",
"arn": "arn:AWS:iam::111122223333:role/Sampleuser01",
"accountId": "111122223333",
"userName": "Sampleuser01"
},
"webIdFederationData": {},
"attributes": {
"creationDate": "2021-06-30T21:17:06Z",
"mfaAuthenticated": "false"
}
},
"invokedBy": "omics.amazonAWS.com"
},
"eventTime": "2021-06-30T21:17:37Z",
"eventSource": "kms.amazonAWS.com",
"eventName": "GenerateDataKey",
"AWSRegion": "us-east-1",
"sourceIPAddress": "omics.amazonAWS.com",
"userAgent": "omics.amazonAWS.com",
"requestParameters": {
"keySpec": "AES_256",
"keyId": "arn:AWS:kms:us-east-1:111122223333:key/EXAMPLE_KEY_ARN"
},
"responseElements": null,
"requestID": "EXAMPLE_ID_01",
"eventID": "EXAMPLE_ID_02",
"readOnly": true,
"resources": [
{
"accountId": "111122223333",
"type": "AWS::KMS::Key",
"ARN": "arn:AWS:kms:us-east-1:111122223333:key/EXAMPLE_KEY_ARN"
}
],
"eventType": "AWSApiCall",
"managementEvent": true,
"recipientAccountId": "111122223333",
"eventCategory": "Management"
}
```
### Ulteriori informazioni
Le seguenti risorse forniscono ulteriori informazioni sulla crittografia dei dati a riposo.
Per ulteriori informazioni sui [concetti di base di AWS Key Management Service](https://docs.aws.amazon.com/kms/latest/developerguide/concepts.html), consulta la AWS KMS documentazione.
Per ulteriori informazioni sulle [best practice di sicurezza](https://docs.aws.amazon.com/kms/latest/developerguide/best-practices.html), consulta la AWS KMS documentazione.
## Crittografia dei dati in transito
AWS HealthOmics utilizza TLS 1.2\$1 per crittografare i dati in transito attraverso gli endpoint pubblici e tramite i servizi di backend.
# Gestione delle identità e degli accessi in HealthOmics
AWS Identity and Access Management (IAM) è uno strumento Servizio AWS che aiuta un amministratore a controllare in modo sicuro l'accesso alle risorse. AWS Gli amministratori IAM controllano chi può essere *autenticato* (effettuato l'accesso) e *autorizzato* (disporre delle autorizzazioni) a utilizzare le risorse AWS. HealthOmics IAM è uno Servizio AWS strumento che puoi utilizzare senza costi aggiuntivi.
**Topics**
+ [Destinatari](#security_iam_audience)
+ [Autenticazione con identità](#security_iam_authentication)
+ [Gestione dell’accesso tramite policy](#security_iam_access-manage)
+ [Come AWS HealthOmics funziona con IAM](security_iam_service-with-iam.md)
+ [Esempi di policy basate sull'identità per AWS HealthOmics](security_iam_id-based-policy-examples.md)
+ [AWS politiche gestite per AWS HealthOmics](security-iam-awsmanpol.md)
+ [Risoluzione dei problemi AWS HealthOmics di identità e accesso](security_iam_troubleshoot.md)
## Destinatari
Il modo in cui utilizzi AWS Identity and Access Management (IAM) varia in base al tuo ruolo:
+ **Utente del servizio**: richiedi le autorizzazioni all’amministratore se non riesci ad accedere alle funzionalità (consulta [Risoluzione dei problemi AWS HealthOmics di identità e accesso](security_iam_troubleshoot.md))
+ **Amministratore del servizio**: determina l’accesso degli utenti e invia le richieste di autorizzazione (consulta [Come AWS HealthOmics funziona con IAM](security_iam_service-with-iam.md))
+ **Amministratore IAM**: scrivi policy per gestire l’accesso (consulta [Esempi di policy basate sull'identità per AWS HealthOmics](security_iam_id-based-policy-examples.md))
## Autenticazione con identità
L'autenticazione è il modo in cui accedi AWS utilizzando le tue credenziali di identità. Devi autenticarti come utente IAM o assumendo un ruolo IAM. Utente root dell'account AWS
Puoi accedere come identità federata utilizzando credenziali provenienti da una fonte di identità come AWS IAM Identity Center (IAM Identity Center), autenticazione Single Sign-On o credenziali. Google/Facebook Per ulteriori informazioni sull’accesso, consulta [Come accedere all’ Account AWS](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) nella *Guida per l’utente di Accedi ad AWS *.
Per l'accesso programmatico, AWS fornisce un SDK e una CLI per firmare crittograficamente le richieste. Per ulteriori informazioni, consulta [AWS Signature Version 4 per le richieste API](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) nella *Guida per l’utente di IAM*.
### Account AWS utente root
Quando si crea un Account AWS, si inizia con un'identità di accesso denominata *utente Account AWS root* che ha accesso completo a tutte Servizi AWS le risorse. Consigliamo vivamente di non utilizzare l’utente root per le attività quotidiane. Per le attività che richiedono le credenziali dell’utente root, consulta [Attività che richiedono le credenziali dell’utente root](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) nella *Guida per l’utente IAM*.
### Identità federata
Come procedura ottimale, richiedi agli utenti umani di utilizzare la federazione con un provider di identità per accedere Servizi AWS utilizzando credenziali temporanee.
Un'*identità federata* è un utente della directory aziendale, del provider di identità Web o Directory Service che accede Servizi AWS utilizzando le credenziali di una fonte di identità. Le identità federate assumono ruoli che forniscono credenziali temporanee.
Per la gestione centralizzata degli accessi, si consiglia di utilizzare AWS IAM Identity Center. Per ulteriori informazioni, consulta [Che cos’è il Centro identità IAM?](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html) nella *Guida per l’utente di AWS IAM Identity Center *.
### Utenti e gruppi IAM
Un *[utente IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* è una identità che dispone di autorizzazioni specifiche per una singola persona o applicazione. Ti consigliamo di utilizzare credenziali temporanee invece di utenti IAM con credenziali a lungo termine. *Per ulteriori informazioni, consulta [Richiedere agli utenti umani di utilizzare la federazione con un provider di identità per accedere AWS utilizzando credenziali temporanee](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) nella Guida per l'utente IAM.*
Un [https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) specifica una raccolta di utenti IAM e semplifica la gestione delle autorizzazioni per gestire gruppi di utenti di grandi dimensioni. Per ulteriori informazioni, consulta [Casi d’uso per utenti IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) nella *Guida per l’utente di IAM*.
### Ruoli IAM
Un *[ruolo IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* è un’identità con autorizzazioni specifiche che fornisce credenziali temporanee. Puoi assumere un ruolo [passando da un ruolo utente a un ruolo IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) o chiamando un'operazione AWS CLI o AWS API. Per ulteriori informazioni, consulta [Metodi per assumere un ruolo](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) nella *Guida per l’utente di IAM*.
I ruoli IAM sono utili per l’accesso degli utenti federati, le autorizzazioni utente IAM temporanee, l’accesso multi-account, l’accesso multi-servizio e le applicazioni in esecuzione su Amazon EC2. Per maggiori informazioni, consultare [Accesso a risorse multi-account in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) nella *Guida per l’utente IAM*.
## Gestione dell’accesso tramite policy
Puoi controllare l'accesso AWS creando policy e associandole a AWS identità o risorse. Una policy definisce le autorizzazioni quando è associata a un'identità o a una risorsa. AWS valuta queste politiche quando un preside effettua una richiesta. La maggior parte delle politiche viene archiviata AWS come documenti JSON. Per maggiori informazioni sui documenti delle policy JSON, consulta [Panoramica delle policy JSON](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) nella *Guida per l’utente IAM*.
Utilizzando le policy, gli amministratori specificano chi ha accesso a cosa definendo quale **principale** può eseguire **azioni** su quali **risorse** e in quali **condizioni**.
Per impostazione predefinita, utenti e ruoli non dispongono di autorizzazioni. Un amministratore IAM crea le policy IAM e le aggiunge ai ruoli, che gli utenti possono quindi assumere. Le policy IAM definiscono le autorizzazioni indipendentemente dal metodo utilizzato per eseguirle.
### Policy basate sull’identità
Le policy basate su identità sono documenti di policy di autorizzazione JSON che è possibile collegare a un’identità (utente, gruppo o ruolo). Tali policy controllano le operazioni autorizzate per l’identità, nonché le risorse e le condizioni in cui possono essere eseguite. Per informazioni su come creare una policy basata su identità, consultare [Definizione di autorizzazioni personalizzate IAM con policy gestite dal cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) nella *Guida per l’utente IAM*.
Le policy basate su identità possono essere *policy in linea* (con embedding direttamente in una singola identità) o *policy gestite* (policy autonome collegate a più identità). Per informazioni su come scegliere tra una policy gestita o una policy inline, consulta [Scegliere tra policy gestite e policy in linea](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) nella *Guida per l’utente di IAM*.
### Policy basate sulle risorse
Le policy basate su risorse sono documenti di policy JSON che è possibile collegare a una risorsa. Gli esempi includono le *policy di trust dei ruoli* IAM e le *policy dei bucket* di Amazon S3. Nei servizi che supportano policy basate sulle risorse, gli amministratori dei servizi possono utilizzarli per controllare l’accesso a una risorsa specifica. In una policy basata sulle risorse è obbligatorio [specificare un’entità principale](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html).
Le policy basate sulle risorse sono policy inline che si trovano in tale servizio. Non è possibile utilizzare le policy AWS gestite di IAM in una policy basata sulle risorse.
### Altri tipi di policy
AWS supporta tipi di policy aggiuntivi che possono impostare le autorizzazioni massime concesse dai tipi di policy più comuni:
+ **Limiti delle autorizzazioni**: imposta il numero massimo di autorizzazioni che una policy basata su identità ha la possibilità di concedere a un’entità IAM. Per ulteriori informazioni, consulta [Limiti delle autorizzazioni per le entità IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) nella *Guida per l’utente di IAM*.
+ **Politiche di controllo del servizio (SCPs)**: specificano le autorizzazioni massime per un'organizzazione o un'unità organizzativa in. AWS Organizations Per ulteriori informazioni, consultare [Policy di controllo dei servizi](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) nella *Guida per l’utente di AWS Organizations *.
+ **Politiche di controllo delle risorse (RCPs)**: imposta le autorizzazioni massime disponibili per le risorse nei tuoi account. Per ulteriori informazioni, consulta [Politiche di controllo delle risorse (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html) nella *Guida per l'AWS Organizations utente*.
+ **Policy di sessione**: policy avanzate passate come parametro quando si crea una sessione temporanea per un ruolo o un utente federato. Per maggiori informazioni, consultare [Policy di sessione](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) nella *Guida per l’utente IAM*.
### Più tipi di policy
Quando a una richiesta si applicano più tipi di policy, le autorizzazioni risultanti sono più complicate da comprendere. Per scoprire come si AWS determina se consentire o meno una richiesta quando sono coinvolti più tipi di policy, consulta [Logica di valutazione delle policy](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) nella *IAM User Guide*.
# Come AWS HealthOmics funziona con IAM
Prima di utilizzare IAM per gestire l'accesso ad AWS HealthOmics, scopri quali funzionalità IAM sono disponibili per l'uso con AWS HealthOmics.
**Funzionalità IAM che puoi utilizzare con AWS HealthOmics**
| Funzionalità IAM | HealthOmics supporto |
| --- | --- |
| [Policy basate sull’identità](#security_iam_service-with-iam-id-based-policies) | Sì |
| [Policy basate su risorse](#security_iam_service-with-iam-resource-based-policies) | No |
| [Operazioni di policy](#security_iam_service-with-iam-id-based-policies-actions) | Sì |
| [Risorse relative alle policy](#security_iam_service-with-iam-id-based-policies-resources) | Sì |
| [Chiavi di condizione delle policy](#security_iam_service-with-iam-id-based-policies-conditionkeys) | No |
| [ACLs](#security_iam_service-with-iam-acls) | No |
| [ABAC (tag nelle politiche)](#security_iam_service-with-iam-tags) | Sì |
| [Credenziali temporanee](#security_iam_service-with-iam-roles-tempcreds) | Sì |
| [Autorizzazioni del principale](#security_iam_service-with-iam-principal-permissions) | Sì |
| [Ruoli di servizio](#security_iam_service-with-iam-roles-service) | Sì |
| [Ruoli collegati al servizio](#security_iam_service-with-iam-roles-service-linked) | No |
Per avere una visione generale di come HealthOmics e altri AWS servizi funzionano con la maggior parte delle funzionalità IAM, consulta [AWS i servizi che funzionano con IAM nella IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) *User Guide*.
# Prevenzione del problema "confused deputy" tra servizi
Il problema confused deputy è un problema di sicurezza in cui un’entità che non dispone dell’autorizzazione per eseguire un’azione può costringere un’entità maggiormente privilegiata a eseguire l’azione. Nel AWS, l'impersonificazione tra servizi può portare al problema del vicesceriffo confuso. La rappresentazione tra servizi può verificarsi quando un servizio (il *servizio chiamante*) effettua una chiamata a un altro servizio (il *servizio chiamato*). Il servizio chiamante può essere manipolato per utilizzare le proprie autorizzazioni e agire sulle risorse di un altro cliente, a cui normalmente non avrebbe accesso. Per evitare ciò, AWS fornisce alcuni strumenti che consentono di proteggere i dati per tutti i servizi che dispongono di principali del servizio a cui è stato consentito l’accesso alle risorse del tuo account.
Consigliamo di utilizzare le chiavi di contesto [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourcearn)e [https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html#condition-keys-sourceaccount)global condition nelle policy delle risorse per limitare le autorizzazioni che AWS HealthOmics concede a un altro servizio alla risorsa.
Per evitare il problema confuso dei vicedirettori nei ruoli assunti da HealthOmics, imposta il valore di `aws:SourceArn` to `arn:aws:omics:region:accountNumber:*` nella politica di fiducia del ruolo. La wildcard (`*`) applica la condizione a tutte le HealthOmics risorse.
La seguente politica sulle relazioni di fiducia concede HealthOmics l'accesso alle risorse e utilizza le `aws:SourceArn` chiavi di contesto della condizione `aws:SourceAccount` globale per prevenire il confuso problema del vice. Utilizza questa politica quando crei un ruolo per HealthOmics.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "",
"Effect": "Allow",
"Principal": {
"Service": [
"omics.amazonaws.com"
]
},
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals": {
"aws:SourceAccount": "123456789012"
},
"ArnLike": {
"aws:SourceArn": "arn:aws:omics:us-east-1:123456789012:*"
}
}
}
]
}
```
------
## Politiche basate sull'identità per HealthOmics
**Supporta le policy basate sull’identità:** sì
Le policy basate sull'identità sono documenti di policy di autorizzazione JSON che è possibile allegare a un'identità (utente, gruppo di utenti o ruolo IAM). Tali policy definiscono le operazioni che utenti e ruoli possono eseguire, su quali risorse e in quali condizioni. Per informazioni su come creare una policy basata su identità, consulta [Definizione di autorizzazioni personalizzate IAM con policy gestite dal cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) nella *Guida per l’utente di IAM*.
Con le policy basate sull’identità di IAM, è possibile specificare quali operazioni e risorse sono consentite o respinte, nonché le condizioni in base alle quali le operazioni sono consentite o respinte. Per informazioni su tutti gli elementi utilizzabili in una policy JSON, consulta [Guida di riferimento agli elementi delle policy JSON IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) nella *Guida per l’utente IAM*.
### Esempi di politiche basate sull'identità per HealthOmics
Per visualizzare esempi di policy HealthOmics basate sull'identità di AWS, consulta. [Esempi di policy basate sull'identità per AWS HealthOmics](security_iam_id-based-policy-examples.md)
## Politiche basate sulle risorse all'interno HealthOmics
**Supporta le policy basate su risorse:** no
Le policy basate su risorse sono documenti di policy JSON che è possibile collegare a una risorsa. Esempi di policy basate sulle risorse sono le *policy di attendibilità dei ruoli* IAM e le *policy di bucket* Amazon S3. Nei servizi che supportano policy basate sulle risorse, gli amministratori dei servizi possono utilizzarli per controllare l’accesso a una risorsa specifica. Quando è collegata a una risorsa, una policy definisce le operazioni che un principale può eseguire su tale risorsa e a quali condizioni. In una policy basata sulle risorse è obbligatorio [specificare un’entità principale](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html). I principali possono includere account, utenti, ruoli, utenti federati o. Servizi AWS
Per consentire l’accesso multi-account, è possibile specificare un intero account o entità IAM in un altro account come entità principale in una policy basata sulle risorse. Per ulteriori informazioni, consulta [Accesso a risorse multi-account in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) nella *Guida per l’utente IAM*.
## Azioni politiche per HealthOmics
**Supporta le operazioni di policy:** si
Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. In altre parole, quale **entità principale** può eseguire **operazioni** su quali **risorse** e in quali **condizioni**.
L'elemento `Action` di una policy JSON descrive le operazioni che è possibile utilizzare per consentire o negare l'accesso in una policy. Includere le operazioni in una policy per concedere le autorizzazioni a eseguire l’operazione associata.
Per visualizzare un elenco di HealthOmics azioni, consulta [Actions Defined by AWS HealthOmics ](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awshealthomics.html#awshealthomics-actions-as-permissions) nel *Service Authorization Reference*.
Le azioni politiche in HealthOmics uso utilizzano il seguente prefisso prima dell'azione:
```
omics
```
Per specificare più operazioni in una sola istruzione, occorre separarle con la virgola.
```
"Action": [
"omics:action1",
"omics:action2"
]
```
Per visualizzare esempi di policy HealthOmics basate sull'identità di AWS, consulta. [Esempi di policy basate sull'identità per AWS HealthOmics](security_iam_id-based-policy-examples.md)
## Risorse politiche per HealthOmics
**Supporta le risorse relative alle policy:** sì
Gli amministratori possono utilizzare le policy AWS JSON per specificare chi ha accesso a cosa. In altre parole, quale **entità principale** può eseguire **operazioni** su quali **risorse** e in quali **condizioni**.
L’elemento JSON `Resource` della policy specifica l’oggetto o gli oggetti ai quali si applica l’operazione. Come best practice, specifica una risorsa utilizzando il suo [nome della risorsa Amazon (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html). Per le azioni che non supportano le autorizzazioni a livello di risorsa, si utilizza un carattere jolly (\$1) per indicare che l’istruzione si applica a tutte le risorse.
```
"Resource": "*"
```
Per visualizzare un elenco dei tipi di HealthOmics risorse e relativi ARNs, consulta [Resources Defined by AWS HealthOmics ](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awshealthomics.html.html#awshealthomics-resources-for-iam-policies) nel *Service Authorization Reference*. Per sapere con quali azioni è possibile specificare l'ARN di ogni risorsa, consulta [Actions Defined by AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awshealthomics.html#awshealthomics-actions-as-permissions). HealthOmics
Per visualizzare esempi di policy HealthOmics basate sull'identità di AWS, consulta. [Esempi di policy basate sull'identità per AWS HealthOmics](security_iam_id-based-policy-examples.md)
## Chiavi relative alle condizioni della policy per HealthOmics
Le chiavi delle condizioni delle politiche non sono supportate in HealthOmics.
## Liste di controllo degli accessi (ACLs) in HealthOmics
**Supporti ACLs:** no
Le liste di controllo degli accessi (ACLs) controllano quali principali (membri dell'account, utenti o ruoli) dispongono delle autorizzazioni per accedere a una risorsa. ACLs sono simili alle politiche basate sulle risorse, sebbene non utilizzino il formato del documento di policy JSON.
## Controllo degli accessi basato sugli attributi (ABAC) con HealthOmics
**Supporta ABAC (tag nelle policy):** sì
Il controllo degli accessi basato su attributi (ABAC) è una strategia di autorizzazione che definisce le autorizzazioni in base ad attributi chiamati tag. Puoi allegare tag a entità e AWS risorse IAM, quindi progettare politiche ABAC per consentire le operazioni quando il tag del principale corrisponde al tag sulla risorsa.
Per controllare l’accesso basato su tag, fornire informazioni sui tag nell’[elemento condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) di una policy utilizzando le chiavi di condizione `aws:ResourceTag/key-name`, `aws:RequestTag/key-name` o `aws:TagKeys`.
Se un servizio supporta tutte e tre le chiavi di condizione per ogni tipo di risorsa, il valore per il servizio è **Sì**. Se un servizio supporta tutte e tre le chiavi di condizione solo per alcuni tipi di risorsa, allora il valore sarà **Parziale**.
Per maggiori informazioni su ABAC, consulta [Definizione delle autorizzazioni con autorizzazione ABAC](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) nella *Guida per l’utente di IAM*. Per visualizzare un tutorial con i passaggi per l’impostazione di ABAC, consulta [Utilizzo del controllo degli accessi basato su attributi (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_attribute-based-access-control.html) nella *Guida per l’utente di IAM*.
Per ulteriori informazioni sul tagging delle risorse di HealthOmics, consulta [Taggare le risorse in HealthOmics](tagging.md).
L'esempio seguente mostra come scrivere una policy IAM che neghi l'accesso a una risorsa senza un tag specifico.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": [
"omics:*"
],
"Resource": [
"*"
],
"Condition": {
"Null": {
"aws:RequestTag/MyCustomTag": "true"
}
}
}
]
}
```
------
## Utilizzo di credenziali temporanee con HealthOmics
**Supporta le credenziali temporanee:** sì
Le credenziali temporanee forniscono l'accesso a breve termine alle AWS risorse e vengono create automaticamente quando si utilizza la federazione o si cambia ruolo. AWS consiglia di generare dinamicamente credenziali temporanee anziché utilizzare chiavi di accesso a lungo termine. Per ulteriori informazioni, consulta [Credenziali di sicurezza temporanee in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) e [Servizi AWS compatibili con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) nella *Guida per l’utente IAM*.
## Autorizzazioni principali multiservizio per HealthOmics
**Supporta l’inoltro delle sessioni di accesso (FAS):** sì
Le sessioni di accesso inoltrato (FAS) utilizzano le autorizzazioni del principale che chiama an Servizio AWS, combinate con la richiesta di effettuare richieste Servizio AWS ai servizi downstream. Per i dettagli delle policy relative alle richieste FAS, consulta [Forward access sessions](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_forward_access_sessions.html).
## Ruoli di servizio per HealthOmics
**Supporta i ruoli di servizio:** sì
Un ruolo di servizio è un [ruolo IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) che un servizio assume per eseguire operazioni per tuo conto. Un amministratore IAM può creare, modificare ed eliminare un ruolo di servizio dall’interno di IAM. Per ulteriori informazioni, consulta [Create a role to delegate permissions to an Servizio AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-service.html) nella *Guida per l’utente IAM*.
**avvertimento**
La modifica delle autorizzazioni per un ruolo di servizio potrebbe compromettere HealthOmics la funzionalità. Modifica i ruoli di servizio solo quando viene HealthOmics fornita una guida in tal senso.
## Ruoli collegati ai servizi per HealthOmics
**Supporta i ruoli collegati ai servizi:** no
Un ruolo collegato al servizio è un tipo di ruolo di servizio collegato a un. Servizio AWS Il servizio può assumere il ruolo per eseguire un’operazione per tuo conto. I ruoli collegati al servizio vengono visualizzati nel tuo account Account AWS e sono di proprietà del servizio. Un amministratore IAM può visualizzare le autorizzazioni per i ruoli collegati al servizio, ma non modificarle.
Per ulteriori informazioni su come creare e gestire i ruoli collegati ai servizi, consulta [Servizi AWS supportati da IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html). Trova un servizio nella tabella che include un `Yes` nella colonna **Service-linked role (Ruolo collegato ai servizi)**. Scegli il collegamento **Sì** per visualizzare la documentazione relativa al ruolo collegato ai servizi per tale servizio.
# Esempi di policy basate sull'identità per AWS HealthOmics
Per impostazione predefinita, gli utenti e i ruoli non dispongono dell'autorizzazione per creare o modificare HealthOmics risorse AWS. Per concedere agli utenti l’autorizzazione a eseguire azioni sulle risorse di cui hanno bisogno, un amministratore IAM può creare policy IAM.
Per informazioni su come creare una policy basata su identità IAM utilizzando questi documenti di policy JSON di esempio, consulta [Creazione di policy IAM (console)](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) nella *Guida per l’utente di IAM*.
Per dettagli sulle azioni e sui tipi di risorse definiti da AWS HealthOmics, incluso il formato di ARNs per ogni tipo di risorsa, consulta [Actions, Resources and Condition Keys for AWS HealthOmics ](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awshealthomics.html) nel *Service Authorization Reference*.
**Topics**
+ [Best practice per le policy](#security_iam_service-with-iam-policy-best-practices)
+ [Utilizzo della console HealthOmics](#security_iam_id-based-policy-examples-console)
+ [Consentire agli utenti di visualizzare le loro autorizzazioni](#security_iam_id-based-policy-examples-view-own-permissions)
## Best practice per le policy
Le policy basate sull'identità determinano se qualcuno può creare, accedere o eliminare HealthOmics risorse AWS nel tuo account. Queste azioni possono comportare costi aggiuntivi per l’ Account AWS. Quando si creano o modificano policy basate sull’identità, seguire queste linee guida e raccomandazioni:
+ **Inizia con le policy AWS gestite e passa alle autorizzazioni con privilegi minimi: per iniziare a concedere autorizzazioni** *a utenti e carichi di lavoro, utilizza le policy gestite che concedono le autorizzazioni per molti casi d'uso comuni.AWS * Sono disponibili nel tuo. Account AWS Ti consigliamo di ridurre ulteriormente le autorizzazioni definendo politiche gestite dai AWS clienti specifiche per i tuoi casi d'uso. Per maggiori informazioni, consulta [Policy gestite da AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) o [Policy gestite da AWS per le funzioni dei processi](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) nella *Guida per l’utente di IAM*.
+ **Applicazione delle autorizzazioni con privilegio minimo** - Quando si impostano le autorizzazioni con le policy IAM, concedere solo le autorizzazioni richieste per eseguire un’attività. È possibile farlo definendo le azioni che possono essere intraprese su risorse specifiche in condizioni specifiche, note anche come *autorizzazioni con privilegio minimo*. Per maggiori informazioni sull’utilizzo di IAM per applicare le autorizzazioni, consulta [Policy e autorizzazioni in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) nella *Guida per l’utente di IAM*.
+ **Condizioni d’uso nelle policy IAM per limitare ulteriormente l’accesso** - Per limitare l’accesso ad azioni e risorse è possibile aggiungere una condizione alle policy. Ad esempio, è possibile scrivere una condizione di policy per specificare che tutte le richieste devono essere inviate utilizzando SSL. Puoi anche utilizzare le condizioni per concedere l'accesso alle azioni del servizio se vengono utilizzate tramite uno specifico Servizio AWS, ad esempio CloudFormation. Per maggiori informazioni, consultare la sezione [Elementi delle policy JSON di IAM: condizione](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) nella *Guida per l’utente di IAM*.
+ **Utilizzo dello strumento di analisi degli accessi IAM per convalidare le policy IAM e garantire autorizzazioni sicure e funzionali** - Lo strumento di analisi degli accessi IAM convalida le policy nuove ed esistenti in modo che aderiscano al linguaggio (JSON) della policy IAM e alle best practice di IAM. Lo strumento di analisi degli accessi IAM offre oltre 100 controlli delle policy e consigli utili per creare policy sicure e funzionali. Per maggiori informazioni, consultare [Convalida delle policy per il Sistema di analisi degli accessi IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) nella *Guida per l’utente di IAM*.
+ **Richiedi l'autenticazione a più fattori (MFA**): se hai uno scenario che richiede utenti IAM o un utente root nel Account AWS tuo, attiva l'MFA per una maggiore sicurezza. Per richiedere la MFA quando vengono chiamate le operazioni API, aggiungere le condizioni MFA alle policy. Per maggiori informazioni, consultare [Protezione dell’accesso API con MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) nella *Guida per l’utente di IAM*.
Per maggiori informazioni sulle best practice in IAM, consulta [Best practice di sicurezza in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) nella *Guida per l’utente di IAM*.
## Utilizzo della console HealthOmics
Per accedere alla HealthOmics console AWS, devi disporre di un set minimo di autorizzazioni. Queste autorizzazioni devono consentirti di elencare e visualizzare i dettagli sulle HealthOmics risorse AWS presenti nel tuo Account AWS. Se crei una policy basata sull’identità più restrittiva rispetto alle autorizzazioni minime richieste, la console non funzionerà nel modo previsto per le entità (utenti o ruoli) associate a tale policy.
Non è necessario concedere autorizzazioni minime per la console agli utenti che effettuano chiamate solo verso AWS CLI o l' AWS API. Al contrario, è opportuno concedere l’accesso solo alle azioni che corrispondono all’operazione API che stanno cercando di eseguire.
## Consentire agli utenti di visualizzare le loro autorizzazioni
Questo esempio mostra in che modo è possibile creare una policy che consente agli utenti IAM di visualizzare le policy inline e gestite che sono collegate alla relativa identità utente. Questa politica include le autorizzazioni per completare questa azione sulla console o utilizzando l'API o a livello di codice. AWS CLI AWS
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
# AWS politiche gestite per AWS HealthOmics
Una politica AWS gestita è una politica autonoma creata e amministrata da AWS. AWS le politiche gestite sono progettate per fornire autorizzazioni per molti casi d'uso comuni, in modo da poter iniziare ad assegnare autorizzazioni a utenti, gruppi e ruoli.
Tieni presente che le policy AWS gestite potrebbero non concedere le autorizzazioni con il privilegio minimo per i tuoi casi d'uso specifici, poiché sono disponibili per tutti i clienti. AWS Si consiglia pertanto di ridurre ulteriormente le autorizzazioni definendo [policy gestite dal cliente](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies) specifiche per i propri casi d'uso.
Non è possibile modificare le autorizzazioni definite nelle politiche gestite. AWS Se AWS aggiorna le autorizzazioni definite in una politica AWS gestita, l'aggiornamento ha effetto su tutte le identità principali (utenti, gruppi e ruoli) a cui è associata la politica. AWS è più probabile che aggiorni una policy AWS gestita quando ne Servizio AWS viene lanciata una nuova o quando diventano disponibili nuove operazioni API per i servizi esistenti.
Per ulteriori informazioni, consultare [Policy gestite da AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) nella *Guida per l'utente di IAM*.
## AWS politica gestita: AmazonOmicsFullAccess
Puoi allegare la `AmazonOmicsFullAccess` policy alle tue identità IAM per dare loro pieno accesso a HealthOmics.
Questa policy concede le autorizzazioni di accesso complete a tutte le azioni. HealthOmics Quando crei un'annotazione o un archivio di varianti, Omics ti consentirà anche di accedere a quel negozio tramite un Resource Share Invitation nella console Resource Access Manager (RAM). Per ulteriori informazioni sugli inviti alla condivisione delle risorse tramite Lake Formation, consulta la [sezione Condivisione dei dati tra account in Lake](https://docs.aws.amazon.com/lake-formation/latest/dg/cross-account-permissions.html) Formation. Per una politica di amministrazione di Omics, sono necessarie anche le seguenti autorizzazioni per accedere al tuo bucket Amazon S3.
+ PutObject
+ GetObject
+ ListBucket
+ AbortMultipartUpload
+ ListMultipartUploadParts
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"omics:*"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ram:AcceptResourceShareInvitation",
"ram:GetResourceShareInvitations"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:CalledViaLast": "omics.amazonaws.com"
}
}
},
{
"Effect": "Allow",
"Action": "iam:PassRole",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:PassedToService": "omics.amazonaws.com"
}
}
}
]
}
```
------
## AWS politica gestita: AmazonOmicsReadOnlyAccess
Puoi allegare la `AWSOmicsReadOnlyAccess` policy alle tue identità IAM quando desideri limitare le autorizzazioni di tale identità all'accesso in sola lettura.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"omics:Get*",
"omics:List*"
],
"Resource": "*"
}
]
}
```
------
## HealthOmics aggiornamenti alle politiche gestite AWS
Visualizza i dettagli sugli aggiornamenti delle politiche AWS gestite HealthOmics da quando questo servizio ha iniziato a tenere traccia di queste modifiche. Per ricevere avvisi automatici sulle modifiche a questa pagina, iscriviti al feed RSS nella pagina della cronologia dei HealthOmics documenti.
| Modifica | Descrizione | Data |
| --- | --- | --- |
| AmazonOmicsFullAccess - Aggiunta una nuova politica | HealthOmics ha aggiunto una nuova politica per garantire a un utente l'accesso completo a tutte le azioni e le risorse. Per ulteriori informazioni, consulta [AmazonOmicsFullAccess](#security-iam-awsmanpol-AmazonOmicsFullAccess). | 23 febbraio 2023 |
| HealthOmics ha iniziato a tenere traccia delle modifiche | HealthOmics ha iniziato a tenere traccia delle modifiche per le sue politiche AWS gestite. | 29 novembre 2022 |
| AmazonOmicsReadOnlyAccess - Aggiunta una nuova politica | HealthOmics ha aggiunto una nuova politica che limita l'accesso alla sola lettura. Per ulteriori informazioni, vedi [AmazonOmicsReadOnlyAccess](#security-iam-awsmanpol-AmazonOmicsReadOnlyAccess). | 29 novembre 2022 |
# Risoluzione dei problemi AWS HealthOmics di identità e accesso
Utilizza le seguenti informazioni per aiutarti a diagnosticare e risolvere i problemi più comuni che potresti incontrare quando lavori con AWS HealthOmics e IAM.
**Topics**
+ [Non sono autorizzato a eseguire alcuna azione in HealthOmics](#security_iam_troubleshoot-no-permissions)
+ [Non sono autorizzato a eseguire iam: PassRole](#security_iam_troubleshoot-passrole)
+ [Voglio consentire a persone esterne a me di accedere Account AWS alle mie HealthOmics risorse](#security_iam_troubleshoot-cross-account-access)
## Non sono autorizzato a eseguire alcuna azione in HealthOmics
Se ricevi un errore che indica che non sei autorizzato a eseguire un’operazione, le tue policy devono essere aggiornate per poter eseguire l’operazione.
L’errore di esempio seguente si verifica quando l’utente IAM `mateojackson` prova a utilizzare la console per visualizzare i dettagli relativi a una risorsa `my-example-widget` fittizia ma non dispone di autorizzazioni `omics:GetWidget` fittizie.
```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: omics:GetWidget on resource: my-example-widget
```
In questo caso, la policy per l’utente `mateojackson` deve essere aggiornata per consentire l’accesso alla risorsa `my-example-widget` utilizzando l’azione `omics:GetWidget`.
Se hai bisogno di aiuto, contatta il tuo AWS amministratore. L’amministratore è la persona che ti ha fornito le credenziali di accesso.
## Non sono autorizzato a eseguire iam: PassRole
Se ricevi un messaggio di errore indicante che non sei autorizzato a eseguire l'`iam:PassRole`azione, le tue policy devono essere aggiornate per consentirti di trasferire un ruolo ad AWS HealthOmics.
Alcuni Servizi AWS consentono di trasferire un ruolo esistente a quel servizio invece di creare un nuovo ruolo di servizio o un ruolo collegato al servizio. Per eseguire questa operazione, è necessario disporre delle autorizzazioni per trasmettere il ruolo al servizio.
Il seguente errore di esempio si verifica quando un utente IAM denominato `marymajor` tenta di utilizzare la console per eseguire un'azione in AWS HealthOmics. Tuttavia, l’azione richiede che il servizio disponga delle autorizzazioni concesse da un ruolo di servizio. Mary non dispone delle autorizzazioni per trasmettere il ruolo al servizio.
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
In questo caso, le policy di Mary devono essere aggiornate per poter eseguire l’operazione `iam:PassRole`.
Se hai bisogno di aiuto, contatta il tuo AWS amministratore. L’amministratore è la persona che ti ha fornito le credenziali di accesso.
## Voglio consentire a persone esterne a me di accedere Account AWS alle mie HealthOmics risorse
È possibile creare un ruolo con il quale utenti in altri account o persone esterne all’organizzazione possono accedere alle tue risorse. È possibile specificare chi è attendibile per l’assunzione del ruolo. Per i servizi che supportano politiche basate sulle risorse o liste di controllo degli accessi (ACLs), puoi utilizzare tali politiche per concedere alle persone l'accesso alle tue risorse.
Per maggiori informazioni, consulta gli argomenti seguenti:
+ Per sapere se AWS HealthOmics supporta queste funzionalità, consulta[Come AWS HealthOmics funziona con IAM](security_iam_service-with-iam.md).
+ Per scoprire come fornire l'accesso alle tue risorse attraverso Account AWS le risorse di tua proprietà, consulta [Fornire l'accesso a un utente IAM in un altro Account AWS di tua proprietà](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html) nella *IAM User Guide*.
+ Per scoprire come fornire l'accesso alle tue risorse a terze parti Account AWS, consulta [Fornire l'accesso a soggetti Account AWS di proprietà di terze parti](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html) nella *Guida per l'utente IAM*.
+ Per informazioni su come fornire l'accesso tramite la federazione delle identità, consulta [Fornire l'accesso a utenti autenticati esternamente (federazione delle identità)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) nella *Guida per l'utente IAM*.
+ Per informazioni sulle differenze di utilizzo tra ruoli e policy basate su risorse per l’accesso multi-account, consulta [Accesso a risorse multi-account in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) nella *Guida per l’utente IAM*.
# Convalida della conformità per AWS HealthOmics
I revisori esterni valutano la sicurezza e la conformità nell' AWS HealthOmics ambito di più programmi di AWS conformità. Ciò include HIPAA, FedRAMP e altri. La tabella seguente mostra le certificazioni di conformità per il servizio. HealthOmics
| Certificazione | Link |
| --- | --- |
| HIPAA | [Riferimento ai servizi idonei alla normativa HIPAA](https://aws.amazon.com/compliance/hipaa-eligible-services-reference) |
| HiTrust-CSF | [Quadro di sicurezza comune della Health Information Trust Alliance](https://aws.amazon.com/compliance/services-in-scope/HITRUST-CSF/) |
| FedRAMP Moderate (Est/Ovest) | [Programma federale di gestione dei rischi e delle autorizzazioni](https://aws.amazon.com/compliance/services-in-scope/FedRAMP) |
| STELLA ISO/CSA | [Certificato ISO e CSA STAR](https://aws.amazon.com/compliance/iso-certified/) |
| C5 | [Catalogo dei controlli di conformità del cloud computing](https://aws.amazon.com/compliance/services-in-scope/C5) |
| DoD CC SRG IL2 | [Guida ai requisiti di sicurezza del cloud computing del Dipartimento della Difesa](https://aws.amazon.com/compliance/services-in-scope/DoD_CC_SRG) |
| ENS High | [Esquema Nacional de Seguridad](https://aws.amazon.com/compliance/services-in-scope//ENS-High) |
| FINMA | [Autorità svizzera di vigilanza sui mercati finanziari](https://aws.amazon.com/compliance/services-in-scope/FINMA) |
| È UNA MAPPA | [Programma di gestione e valutazione della sicurezza dei sistemi informativi](https://aws.amazon.com/compliance/services-in-scope/ISMAP/) |
| OSPAR | [Rapporto di audit del fornitore di servizi esternalizzato](https://aws.amazon.com/compliance/services-in-scope/OSPAR/) |
| PCI | [Standard di sicurezza dei dati del settore delle carte di pagamento](https://aws.amazon.com/compliance/services-in-scope/PCI/) |
| Pinakes | [Associazione bancaria CCI - Third Party Qualification](https://aws.amazon.com/compliance/services-in-scope/pinakes/) |
| PiTuKri | [Criteri per la valutazione della sicurezza delle informazioni dei servizi cloud](https://aws.amazon.com/compliance/services-in-scope/PiTuKri/) |
| SOC 1,2,3 | [Controlli di sistema e organizzazione](https://aws.amazon.com/compliance/services-in-scope/SOC/) |
Per un elenco di tutti i AWS servizi che rientrano nell'ambito di programmi di conformità specifici, consulta [Servizi AWS nell'ambito del programma di conformità](https://aws.amazon.com/compliance/services-in-scope/) . Per informazioni generali, consulta [Programmi di conformitàAWS](https://aws.amazon.com/compliance/programs/).
Puoi scaricare report di audit di terze parti utilizzando AWS Artifact. Per ulteriori informazioni, consulta [Scaricamento dei report in AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html) .
HealthOmics gli archivi di dati utilizzano l'ID di esempio per la denominazione interna dei file e per l'etichettatura delle risorse. Prima di importare i dati, controlla se l'ID di esempio contiene dati PHI. In caso affermativo, modificate l'ID del campione prima di importare i dati. Per ulteriori informazioni, consulta le linee guida sulla pagina web sulla [conformità AWS HIPAA](https://aws.amazon.com/compliance/hipaa-compliance).
La vostra responsabilità di conformità durante l'utilizzo AWS HealthOmics è determinata dalla sensibilità dei dati, dagli obiettivi di conformità dell'azienda e dalle leggi e dai regolamenti applicabili. AWS fornisce le seguenti risorse per contribuire alla conformità:
+ [Security and Compliance Quick Start Guides (Guide Quick Start Sicurezza e compliance)](https://aws.amazon.com/quickstart/?awsf.quickstart-homepage-filter=categories%23security-identity-compliance): queste guide alla distribuzione illustrano considerazioni relative all'architettura e forniscono procedure per la distribuzione di ambienti di base incentrati sulla sicurezza e sulla conformità su AWS.
+ [Whitepaper sull'architettura per la sicurezza e la conformità HIPAA: questo white paper](https://docs.aws.amazon.com/whitepapers/latest/architecting-hipaa-security-and-compliance-on-aws/architecting-hipaa-security-and-compliance-on-aws.html) descrive come le aziende possono utilizzare per creare applicazioni conformi allo standard HIPAA. AWS
+ AWS Risorse per [la conformità Risorse per la conformità](https://aws.amazon.com/compliance/resources/): questa raccolta di potrebbe riguardare il settore e la località in cui operate.
+ [Evaluating Resources with Rules](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html) nella *AWS Config Developer Guide*: AWS Config valuta la conformità delle configurazioni delle risorse alle pratiche interne, alle linee guida del settore e alle normative.
+ [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html)— Questo AWS servizio offre una visione completa dello stato di sicurezza dell'utente e consente di verificare la conformità agli standard e alle best practice del settore della sicurezza. AWS
# Resilienza in HealthOmics
L'infrastruttura AWS globale è costruita attorno a Regioni AWS zone di disponibilità. Regioni AWS forniscono più zone di disponibilità fisicamente separate e isolate, collegate con reti a bassa latenza, ad alto throughput e altamente ridondanti. Con le zone di disponibilità, puoi progettare e gestire applicazioni e database che eseguono automaticamente il failover tra zone di disponibilità senza interruzioni. Le zone di disponibilità sono più disponibili, tolleranti ai guasti e scalabili rispetto alle infrastrutture a data center singolo o multiplo tradizionali.
[Per ulteriori informazioni sulle zone di disponibilità, vedere Global Regioni AWS Infrastructure.AWS](https://aws.amazon.com/about-aws/global-infrastructure/)
Oltre all'infrastruttura AWS globale, AWS HealthOmics offre diverse funzionalità per supportare le esigenze di resilienza e backup dei dati.
# AWS HealthOmics e endpoint VPC di interfaccia ()AWS PrivateLink
Puoi stabilire una connessione privata tra il tuo VPC e creare un AWS HealthOmics endpoint *VPC* di interfaccia. Gli endpoint di interfaccia sono alimentati da [AWS PrivateLink](https://aws.amazon.com/privatelink), una tecnologia che puoi utilizzare per accedere in modo privato alle operazioni HealthOmics API senza un gateway Internet, un dispositivo NAT, una connessione VPN o una connessione AWS Direct Connect. Le istanze nel tuo VPC non richiedono indirizzi IP pubblici per comunicare HealthOmics con le operazioni API. Il traffico tra il tuo VPC e HealthOmics non esce dalla rete Amazon.
Ogni endpoint dell'interfaccia è rappresentato da una o più [interfacce di rete elastiche](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html) nelle sottoreti.
Per ulteriori informazioni, consulta [Interface VPC endpoints (AWS PrivateLink)](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html) nella Amazon *VPC* User Guide.
Le policy relative agli endpoint VPC sono supportate HealthOmics per tutte le regioni ad eccezione di Israele (Tel Aviv). Per impostazione predefinita, l'accesso completo a HealthOmics è consentito tramite l'endpoint.
## Considerazioni sugli endpoint HealthOmics VPC
Prima di configurare un endpoint VPC di interfaccia HealthOmics, assicurati di esaminare le [proprietà e le limitazioni degli endpoint dell'interfaccia nella](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#vpce-interface-limitations) Amazon *VPC* User Guide.
HealthOmics supporta l'effettuazione di chiamate a tutte le azioni dell'API di HealthOmics archiviazione dal tuo VPC.
Le policy degli endpoint VPC non sono supportate per impostazione HealthOmics predefinita, ma puoi creare un endpoint VPC per l'accesso completo HealthOmics alle operazioni di storage. HealthOmics Per ulteriori informazioni, consulta [Controllo degli accessi ai servizi con endpoint VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-access.html) nella *Guida per l’utente di Amazon VPC.*
## Creazione di un endpoint VPC di interfaccia per HealthOmics
Puoi creare un endpoint VPC per il HealthOmics servizio utilizzando la console Amazon VPC o il (). AWS Command Line Interface AWS CLI Per ulteriori informazioni, consultare [Creazione di un endpoint di interfaccia](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#create-interface-endpoint) nella *Guida per l’utente di Amazon VPC*.
Crea un endpoint VPC per HealthOmics utilizzando i seguenti nomi di servizio:
+ com.amazonaws. *region*.storage-omics
+ com.amazonaws. *region*. control-storage-omics
+ com.amazonaws. *region*.analisi-omics
+ com.amazonaws. *region*.workflows-omics
+ com.amazonaws. *region*.tag-omics
Le regioni Stati Uniti orientali (Virginia settentrionale) e Stati Uniti occidentali (Oregon) supportano gli endpoint FIPS. AWS PrivateLink Per queste regioni, puoi anche utilizzare i seguenti nomi di servizio:
+ com.amazonaws. *region*. storage-omics-fips
+ com.amazonaws. *region*. control-storage-omics-fips
+ com.amazonaws. *region*. analytics-omics-fips
+ com.amazonaws. *region*. workflows-omics-fips
+ com.amazonaws. *region*. tags-omics-fips
Se attivi il DNS privato per l'endpoint, puoi effettuare richieste API a HealthOmics utilizzando il nome DNS predefinito per la regione, ad esempio. `omics.us-east-1.amazonaws.com`
Per ulteriori informazioni, consultare [Accesso a un servizio tramite un endpoint di interfaccia](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#access-service-though-endpoint) in *Guida per l'utente di Amazon VPC*.
## Creazione di una policy per gli endpoint VPC per HealthOmics
È possibile allegare un criterio all'endpoint VPC che controlla l'accesso all' HealthOmics. Questa policy specifica le informazioni riportate di seguito:
+ Il principale che può eseguire operazioni.
+ Le azioni che possono essere eseguite
+ Le risorse sui cui si possono eseguire le azioni
Per ulteriori informazioni, consultare [Controllo degli accessi ai servizi con endpoint VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-access.html) in *Guida per l'utente di Amazon VPC*.
**Esempio: policy degli endpoint VPC per le azioni. HealthOmics**
Di seguito è riportato un esempio di policy sugli endpoint per. HealthOmics Se associata a un endpoint, questa policy garantisce l'accesso alle HealthOmics azioni per tutti i principali utenti su tutte le risorse.
------
#### [ API ]
```
{
"Statement":[
{
"Principal":"*",
"Effect":"Allow",
"Action":[
"omics:List*"
],
"Resource":"*"
}
]
}
```
------
#### [ AWS CLI ]
```
aws ec2 modify-vpc-endpoint \
--vpc-endpoint-id vpce-id \
--region us-west-2 \
--policy-document \
"{\"Statement\":[{\"Principal\":\"*\",\"Effect\":\"Allow\",\"Action\":[\"omics:List*\"],\"Resource\":\"*\"}]}"
```
------
## Considerazioni speciali per l'accesso ai set di lettura tramite Amazon S3 URIs
Per accedere ai set di lettura tramite Amazon S3 URIs quando utilizzi una connessione privata, configura gli endpoint dell' PrivateLinkinterfaccia nel Sequence Store. Dopo averli configurati, gli endpoint hanno i seguenti formati:
```
com.amazonaws.region.storage-omics
com.amazonaws.region.control-storage-omics
```
Per utilizzare gli endpoint Gateway, segui la guida [Gateway endpoints for Amazon S3 per](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints-s3.html) configurare gli endpoint gateway. HealthOmics possiede il bucket Amazon S3, quindi non è necessario creare o modificare la policy del bucket. Gli endpoint Gateway si basano sulla policy associata all'utente o al ruolo che accede ai dati, ma puoi anche configurare gli endpoint con politiche più restrittive. Queste policy possono includere restrizioni all'accesso basate sull'ARN di Amazon S3 Access Point e sulle azioni di Amazon S3.