View a markdown version of this page

Protezione dei dati in AWS Systems Manager - AWS Systems Manager
Crittografia dei datiRiservatezza del traffico Internet

• La AWS Systems Manager CloudWatch dashboard non sarà più disponibile dopo il 30 aprile 2026. I clienti possono continuare a utilizzare la CloudWatch console Amazon per visualizzare, creare e gestire le proprie CloudWatch dashboard Amazon, proprio come fanno oggi. Per ulteriori informazioni, consulta la documentazione di Amazon CloudWatch Dashboard.

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Protezione dei dati in AWS Systems Manager

La protezione dei dati si riferisce alla protezione dei dati in transito (mentre viaggiano da e versoSystems Manager) e quando sono inattivi (mentre sono archiviati nei data AWS center).

Il modello di responsabilità AWS condivisa modello si applica alla protezione dei dati inAWS Systems Manager. Come descritto in questo modello, AWS è responsabile della protezione dell'infrastruttura globale che gestisce tutti i Cloud AWS. L’utente è responsabile del controllo dei contenuti ospitati su questa infrastruttura. L’utente è inoltre responsabile della configurazione della protezione e delle attività di gestione per i Servizi AWS utilizzati. Per maggiori informazioni sulla privacy dei dati, consulta le Domande frequenti sulla privacy dei dati. Per informazioni sulla protezione dei dati in Europa, consulta il post del blog relativo al AWS Modello di responsabilità condivisa e GDPR nel AWS Blog sulla sicurezza.

Ai fini della protezione dei dati, consigliamo di proteggere Account AWS le credenziali e configurare i singoli utenti con AWS IAM Identity Center or AWS Identity and Access Management (IAM). In tal modo, a ogni utente verranno assegnate solo le autorizzazioni necessarie per svolgere i suoi compiti. Suggeriamo, inoltre, di proteggere i dati nei seguenti modi:

  • Utilizza l’autenticazione a più fattori (MFA) con ogni account.

  • SSL/TLS Da utilizzare per comunicare con AWS le risorse. È richiesto TLS 1.2 ed è consigliato TLS 1.3.

  • Configura l'API e la registrazione delle attività degli utenti con AWS CloudTrail. Per informazioni sull'utilizzo dei CloudTrail percorsi per acquisire AWS le attività, consulta Lavorare con i CloudTrail percorsi nella Guida per l'AWS CloudTrail utente.

  • Utilizza soluzioni di AWS crittografia, insieme a tutti i controlli di sicurezza predefiniti all'interno Servizi AWS.

  • Utilizza i servizi di sicurezza gestiti avanzati, come Amazon Macie, che aiutano a individuare e proteggere i dati sensibili archiviati in Amazon S3.

  • Se hai bisogno di moduli crittografici convalidati FIPS 140-3 per accedere AWS tramite un'interfaccia a riga di comando o un'API, usa un endpoint FIPS. Per ulteriori informazioni sugli endpoint FIPS disponibili, consulta il Federal Information Processing Standard (FIPS) 140-3.

Ti consigliamo di non inserire mai informazioni riservate o sensibili, ad esempio gli indirizzi e-mail dei clienti, nei tag o nei campi di testo in formato libero, ad esempio nel campo Nome. Ciò include quando lavori Systems Manager o Servizi AWS utilizzi la console, l'API o. AWS CLI AWS SDKs I dati inseriti nei tag o nei campi di testo in formato libero utilizzati per i nomi possono essere utilizzati per i la fatturazione o i log di diagnostica. Quando si fornisce un URL a un server esterno, suggeriamo vivamente di non includere informazioni sulle credenziali nell’URL per convalidare la richiesta al server.

Crittografia dei dati

Crittografia dei dati a riposo

Parametri di Parameter Store

I tipi di parametri che è possibile creare in Parameter Store, uno strumento di AWS Systems Manager, includono String, StringList e SecureString.

Tutti i parametri, indipendentemente dal tipo, sono crittografati sia in transito che a riposo. In transito, i parametri vengono crittografati utilizzando Transport Layer Security (TLS), per creare una connessione HTTPS sicura per le richieste API. A riposo, sono crittografati con un Chiave di proprietà di AWS in AWS Key Management Service (AWS KMS). Per ulteriori informazioni sulla Chiave di proprietà di AWS crittografia, consulta Chiavi di proprietà di AWSla Guida per AWS Key Management Service gli sviluppatori.

Il SecureString tipo offre opzioni di crittografia aggiuntive ed è consigliato per tutti i dati sensibili. È possibile scegliere tra i seguenti tipi di chiavi AWS KMS per crittografare e decrittografare il valore di un parametro SecureString:

  • Il Chiave gestita da AWS per il tuo account

  • Una chiave gestita dal cliente (CMK) che hai creato nel tuo account

  • Un CMK in un altro Account AWS che è stato condiviso con te

Per ulteriori informazioni sulla AWS KMS crittografia, consulta la Guida per gli AWS Key Management Service sviluppatori.

Contenuto nei bucket S3

Come parte delle tue operazioni Systems Manager, puoi scegliere di caricare o archiviare i dati in uno o più bucket Amazon Simple Storage Service (Amazon S3).

Per informazioni sulla crittografia bucket S3, consulta Protezione dei dati tramite crittografia e Protezione dei dati in Amazon S3 nella Guida per gli sviluppatori Amazon Simple Storage Service.

Di seguito sono riportati i tipi di dati che puoi caricare o che sono stati archiviati nei bucket S3 come parte delle attività Systems Manager:

  • L'output dei comandi inRun Command, uno strumento in AWS Systems Manager

  • Pacchetti inDistributor, uno strumento in AWS Systems Manager

  • Login per l'operazione di applicazione delle patchPatch Manager, accesso a uno strumento AWS Systems Manager

  • Patch ManagerElenchi di override delle patch

  • Script o Ansible playbook da eseguire in un flusso di lavoro di runbook in Automation, uno strumento in AWS Systems Manager

  • Chef InSpecprofili da utilizzare con le scansioni in Compliance, uno strumento in AWS Systems Manager

  • AWS CloudTrail registri

  • La cronologia delle sessioni accedeSession Manager, uno strumento accede AWS Systems Manager

  • Rapporti daExplorer, uno strumento in entrata AWS Systems Manager

  • OpsData daOpsCenter, uno strumento in AWS Systems Manager

  • AWS CloudFormation modelli da utilizzare con i flussi di lavoro di automazione

  • Dati di conformità da una scansione di sincronizzazione dei dati di una risorsa

  • Output delle richieste per creare o modificare l'associazione in State Manager, uno strumento di AWS Systems Manager nei nodi gestiti.

  • Documenti di Systems Manager personalizzati (documenti SSM) che è possibile eseguire utilizzando il AWS Documento SSM gestito AWS-RunDocument

CloudWatch Registra i gruppi di log

Come parte delle tue Systems Manager operazioni, puoi scegliere di trasmettere i dati a uno o più gruppi di log di Amazon CloudWatch Logs.

Per informazioni sulla crittografia dei gruppi di log di CloudWatch Logs, consulta Encrypt log data in CloudWatch Logs using AWS Key Management Service nella Amazon CloudWatch Logs User Guide.

Di seguito sono riportati i tipi di dati che potresti aver trasmesso in streaming a un gruppo di log di CloudWatch Logs come parte delle tue attività: Systems Manager

  • L'output dei comandi di Run Command

  • L'output degli script eseguiti utilizzando l'operazione aws:executeScript in un runbook Automation

  • Log della cronologia delle sessioni di Session Manager

  • I log da SSM Agent sui tuoi nodi gestiti

Crittografia dei dati in transito

Consigliamo di utilizzare un protocollo di crittografia quale Transport Layer Security (TLS) per eseguire la crittografia dei dati sensibili in transito tra i client e i nodi.

Systems Manager fornisce il seguente supporto per la crittografia dei dati in transito.

Connessioni agli endpoint dell'API Systems Manager

Gli endpoint API di Systems Manager supportano solo connessioni protette tramite HTTPS. Quando gestisci Systems Manager le risorse con l' Console di gestione AWS AWS SDK o l'Systems ManagerAPI, tutte le comunicazioni vengono crittografate con Transport Layer Security (TLS). Per un elenco completo degli endpoint API, consulta Endpoint del Servizio AWS nella Riferimenti generali di Amazon Web Services.

Istanze gestite

AWS fornisce connettività sicura e privata tra le istanze Amazon Elastic Compute Cloud (Amazon EC2). Inoltre, crittografiamo automaticamente il traffico in transito tra le istanze supportate nello stesso cloud privato virtuale (VPC) o in modalità peering VPCs, utilizzando algoritmi AEAD con crittografia a 256 bit. Tale funzione di crittografia utilizza le funzionalità di offload dell'hardware sottostante e non ha alcun impatto sulle prestazioni della rete. Le istanze supportate sono: C5n, G4, I3en, M5dn, M5n, P3dn, R5dn e R5n.

Sessioni di Session Manager

Per impostazione predefinita, Session Manager utilizza TLS 1.3 per crittografare i dati delle sessioni trasmessi tra i computer locali di utenti nell'account e le istanze EC2. Puoi anche scegliere di crittografare ulteriormente i dati in transito utilizzando un file creato in. AWS KMS key AWS KMS AWS KMS la crittografia è disponibile per e per Standard_Stream InteractiveCommands i tipi di NonInteractiveCommands sessione.

Accesso a Run Command

Per impostazione predefinita, l'accesso remoto ai nodi mediante Run Command è crittografato utilizzando TLS 1.3 e le richieste per creare una connessione sono firmate utilizzando SigV4.

Riservatezza del traffico Internet

Puoi utilizzare Amazon Virtual Private Cloud (Amazon VPC) per creare delimitatori tra le risorse nei nodi gestiti e nel traffico di controllo fra di esse, la rete on-premises e Internet. Per i dettagli, consulta la sezione Migliora la sicurezza delle istanze EC2 utilizzando gli endpoint VPC per Systems Manager.

Per ulteriori informazioni sulla sicurezza di Amazon Virtual Private Cloud, consulta Riservatezza del traffico Internet in Amazon VPC nella Guida per l'utente di Amazon VPC.