Protezione dei dati in AWS Proton - AWS Proton

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Protezione dei dati in AWS Proton

AWS Proton AWSè responsabile della protezione dell'infrastruttura globale che esegue tutto l'Servizi AWS. AWSmantiene il controllo su questa infrastruttura, inclusi i controlli di configurazione di sicurezza per la gestione dei contenuti del cliente e i dati personali. AWSi clienti e i partner APN, che agiscano come controller dei dati o processori dei dati, sono responsabili per gli eventuali dati personali inseriti nel processoCloud AWS

Per gli scopi di protezione dei dati, ti consigliamo di proteggereAccount AWS le credenziali dell'e di configurare singoli account utente conAWS Identity and Access Management (IAM), in modo che a ogni utente vengano fornite solo le autorizzazioni necessarie per soddisfare le attività del processo. Ti suggeriamo, inoltre, di proteggere i dati nei seguenti modi:

  • Utilizza l'autenticazione a più fattori (MFA) con ogni account.

  • Utilizza SSL/TLS per comunicare con le risorse AWS. È consigliabile TLS 1.2 o versioni successive.

  • Configura la registrazione delle API e delle attività degli utenti con AWS CloudTrail.

  • Utilizza le soluzioni di crittografia AWS, insieme a tutti i controlli di sicurezza di default all'interno dei Servizi AWS.

Consigliamo vivamente di non inserire mai informazioni identificative sensibili, ad esempio i numeri di account dei clienti, in campi di testo a formato libero, ad esempio un campo Name (Nome). Questo include il lavoro con AWS Proton o altri Servizi AWS utilizzando la console, l'API, la AWS CLI o gli SDK AWS. Gli eventuali dati immessi nei campi di testo a formato libero per gli identificativi delle chiavi di diagnostica o altri elementi relativi alla gestione delleAWS risorse potrebbero essere prelevati per l'inserimento nei log di diagnostica. Quando fornisci un URL a un server esterno, non includere informazioni sulle credenziali nell'URL per convalidare la tua richiesta a tale server.

Per ulteriori informazioni sulla protezione dei dati, consulta il post del blog AWS Modello di responsabilità condivisa e GDPR su AWS Security Blog.

Crittografia lato server inattiva

Se si sceglie di crittografare i dati sensibili nei pacchetti di modelli inattivi nel bucket S3 in cui vengono archiviati i pacchetti di modelli, è necessario utilizzare una chiave SSE-S3 o SSE-KMSAWS Proton per consentire di recuperare i pacchetti di modelli in modo che possano essere allegati a unAWS Proton modello registrato.

Crittografia dei dati in transito

Tutte le comunicazioni da servizio a servizio sono crittografate in transito utilizzando SSL/TLS.

AWS Protongestione delle chiavi di crittografia

All'internoAWS Proton, tutti i dati dei clienti sono crittografati per impostazione predefinita utilizzando una chiaveAWS Proton di proprietà. Se fornisci unaAWS KMS chiave gestita e di proprietà del cliente, tutti i dati del cliente vengono crittografati utilizzando la chiave fornita dal cliente come descritto nei paragrafi seguenti.

Quando si crea unAWS Proton modello, si specifica la chiave eAWS Proton si utilizzano le credenziali per creare una concessione cheAWS Proton consenta di utilizzare la chiave.

Se si ritira manualmente la concessione o si disabilita o si elimina la chiave specificata, nonAWS Proton è in grado di leggere i dati crittografati dalla chiave specificata e lanciatiValidationException.

Contesto di crittografia AWS Proton

AWS Protonsupporta le intestazioni del contesto di crittografia. Un contesto di crittografia è un set facoltativo di coppie chiave-valore che possono contenere ulteriori informazioni contestuali sui dati. Per informazioni generali sul contesto di crittografia, consulta Concetti di AWS Key Management Service - Contesto di crittografia nella Guida per gli sviluppatori di AWS Key Management Service.

Un contesto di crittografia è un set di coppie chiave-valore che contiene dati arbitrari non segreti. Quando includi un contesto di crittografia in una richiesta di crittografia dei dati, lega il contesto di crittografia ai datiAWS KMS crittografati crittografati crittografati crittografati crittografati crittografati crittografati crittografati crittografati crittografati crittografati crittografati crittografati crittografati crittografati crittografati crittograficamente lo stesso contesto di crittografia sia necessario per decrittografare i dati.

I clienti possono utilizzare il contesto di crittografia per identificare l'utilizzo della chiavi gestita dal cliente nei record e nei log di audit. Viene inoltre visualizzato nei log in testo chiaro, ad esempioAWS CloudTrail e Amazon CloudWatch Logs.

AWS Protonnon include alcun contesto di crittografia specificato dal cliente o specificato esternamente.

AWS Protonaggiunge il seguente contesto di crittografia.

{ "aws:proton:template": "<proton-template-arn>", "aws:proton:resource": "<proton-resource-arn>" }

Il primo contesto di crittografia identifica ilAWS Proton modello a cui è associata la risorsa e funge anche da vincolo per le autorizzazioni e le concessioni delle chiavi gestite dal cliente.

Il secondo contesto di crittografia identifica laAWS Proton risorsa crittografata.

Gli esempi seguenti mostrano l'uso del contesto diAWS Proton crittografia.

Sviluppatore che crea un'istanza di servizio.

{ "aws:proton:template": "arn:aws:proton:region_id:123456789012:service-template/my-template", "aws:proton:resource": "arn:aws:proton:region_id:123456789012:service/my-service/service-instance/my-service-instance" }

Un amministratore che crea un modello.

{ "aws:proton:template": "arn:aws:proton:region_id:123456789012:service-template/my-template", "aws:proton:resource": "arn:aws:proton:region_id:123456789012:service-template/my-template" }