Seleziona le tue preferenze relative ai cookie

Utilizziamo cookie essenziali e strumenti simili necessari per fornire il nostro sito e i nostri servizi. Utilizziamo i cookie prestazionali per raccogliere statistiche anonime in modo da poter capire come i clienti utilizzano il nostro sito e apportare miglioramenti. I cookie essenziali non possono essere disattivati, ma puoi fare clic su \"Personalizza\" o \"Rifiuta\" per rifiutare i cookie prestazionali.

Se sei d'accordo, AWS e le terze parti approvate utilizzeranno i cookie anche per fornire utili funzionalità del sito, ricordare le tue preferenze e visualizzare contenuti pertinenti, inclusa la pubblicità pertinente. Per continuare senza accettare questi cookie, fai clic su \"Continua\" o \"Rifiuta\". Per effettuare scelte più dettagliate o saperne di più, fai clic su \"Personalizza\".

Preferenze
Contattaci
Feedback
AWS Documentation
Crea un Account AWS

Protezione dei dati in AWS Systems Manager

PDF
RSS
Modalità Focus
Protezione dei dati in AWS Systems Manager - AWS Systems Manager
Crittografia dei datiRiservatezza del traffico Internet

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

La protezione dei dati si riferisce alla protezione dei dati durante il transito (mentre viaggiano da e verso) Systems Manager) e a riposo (mentre sono archiviati nei data AWS center).

Il modello di responsabilità AWS condivisa (modello di di ) si applica alla protezione dei dati in AWS Systems Manager. Come descritto in questo modello, AWS è responsabile della protezione dell'infrastruttura globale che gestisce tutti i Cloud AWS. L'utente è responsabile del controllo dei contenuti ospitati su questa infrastruttura. L'utente è inoltre responsabile della configurazione della protezione e delle attività di gestione per i Servizi AWS utilizzati. Per ulteriori informazioni sulla privacy dei dati, vedi le Domande frequenti sulla privacy dei dati. Per informazioni sulla protezione dei dati in Europa, consulta il post del blog relativo al Modello di responsabilità condivisa AWS e GDPR nel Blog sulla sicurezza AWS .

Ai fini della protezione dei dati, consigliamo di proteggere Account AWS le credenziali e configurare i singoli utenti con AWS IAM Identity Center or AWS Identity and Access Management (IAM). In tal modo, a ogni utente verranno assegnate solo le autorizzazioni necessarie per svolgere i suoi compiti. Ti suggeriamo, inoltre, di proteggere i dati nei seguenti modi:

  • Utilizza l'autenticazione a più fattori (MFA) con ogni account.

  • Usa SSL/TLS per comunicare con le risorse. AWS È richiesto TLS 1.2 ed è consigliato TLS 1.3.

  • Configura l'API e la registrazione delle attività degli utenti con. AWS CloudTrail Per informazioni sull'utilizzo dei CloudTrail percorsi per acquisire AWS le attività, consulta Lavorare con i CloudTrail percorsi nella Guida per l'AWS CloudTrail utente.

  • Utilizza soluzioni di AWS crittografia, insieme a tutti i controlli di sicurezza predefiniti all'interno Servizi AWS.

  • Utilizza i servizi di sicurezza gestiti avanzati, come Amazon Macie, che aiutano a individuare e proteggere i dati sensibili archiviati in Amazon S3.

  • Se hai bisogno di moduli crittografici convalidati FIPS 140-3 per accedere AWS tramite un'interfaccia a riga di comando o un'API, usa un endpoint FIPS. Per ulteriori informazioni sugli endpoint FIPS disponibili, consulta il Federal Information Processing Standard (FIPS) 140-3.

Ti consigliamo di non inserire mai informazioni riservate o sensibili, ad esempio gli indirizzi e-mail dei clienti, nei tag o nei campi di testo in formato libero, ad esempio nel campo Nome. Ciò include quando lavori con Systems Manager o altro Servizi AWS utilizzando la console AWS CLI, l'API o AWS SDKs. I dati inseriti nei tag o nei campi di testo in formato libero utilizzati per i nomi possono essere utilizzati per i la fatturazione o i log di diagnostica. Quando fornisci un URL a un server esterno, ti suggeriamo vivamente di non includere informazioni sulle credenziali nell'URL per convalidare la tua richiesta al server.

Crittografia dei dati

Crittografia a riposo

Parameter Store parametri

I tipi di parametri in cui è possibile creare Parameter Store, uno strumento in AWS Systems ManagerStringStringList, include eSecureString.

Tutti i parametri, indipendentemente dal tipo, sono crittografati sia in transito che a riposo. In transito, i parametri vengono crittografati utilizzando TLS (Transport Layer Security) per creare una connessione HTTPS sicura per le richieste API. A riposo, vengono crittografati con un Chiave di proprietà di AWS in AWS Key Management Service (AWS KMS). Per ulteriori informazioni sulla Chiave di proprietà di AWS crittografia, consulta Chiavi di proprietà di AWSla Guida per AWS Key Management Service gli sviluppatori.

Il SecureString tipo offre opzioni di crittografia aggiuntive ed è consigliato per tutti i dati sensibili. È possibile scegliere tra i seguenti tipi di AWS KMS chiavi per crittografare e decrittografare il valore di un parametro: SecureString

  • Il Chiave gestita da AWS per il tuo account

  • Una chiave gestita dal cliente (CMK) che hai creato nel tuo account

  • Una CMK in un'altra Account AWS che è stata condivisa con te

Per ulteriori informazioni sulla AWS KMS crittografia, consulta la Guida per gli AWS Key Management Service sviluppatori.

Contenuto nei bucket S3

Come parte del tuo Systems Manager operazioni, puoi scegliere di caricare o archiviare i dati in uno o più bucket Amazon Simple Storage Service (Amazon S3).

Per informazioni sulla crittografia bucket S3, consulta Protezione dei dati tramite crittografia e Protezione dei dati in Amazon S3 nella Guida per gli sviluppatori Amazon Simple Storage Service.

Di seguito sono riportati i tipi di dati che puoi caricare o far archiviare in bucket S3 come parte del tuo Systems Manager attività:

  • L'output dei comandi in Run Command, uno strumento in AWS Systems Manager

  • Pacchetti in Distributor, uno strumento in AWS Systems Manager

  • L'operazione di patching effettua l'accesso Patch Manager, uno strumento in AWS Systems Manager

  • Patch Manager elenchi di patch override

  • Script o Ansible Playbook da eseguire in un flusso di lavoro runbook in Automation, uno strumento in AWS Systems Manager

  • Chef InSpec profili da utilizzare con le scansioni in Compliance, uno strumento in AWS Systems Manager

  • AWS CloudTrail registri

  • La cronologia delle sessioni accede Session Manager, uno strumento in AWS Systems Manager

  • Rapporti di Explorer, uno strumento in AWS Systems Manager

  • OpsData da OpsCenter, uno strumento in AWS Systems Manager

  • AWS CloudFormation modelli da utilizzare con i flussi di lavoro di automazione

  • Dati di conformità da una scansione di sincronizzazione dei dati di una risorsa

  • Emissione delle richieste per creare o modificare un'associazione in State Manager, uno strumento in AWS Systems Manager, su nodi gestiti

  • Documenti di Systems Manager personalizzati (documenti SSM) che è possibile eseguire utilizzando il AWS Documento SSM gestito AWS-RunDocument

CloudWatch Registra i gruppi di log

Come parte del tuo Systems Manager operazioni, puoi scegliere di trasmettere i dati a uno o più gruppi di log di Amazon CloudWatch Logs.

Per informazioni sulla crittografia dei gruppi di log di CloudWatch Logs, consulta Encrypt log data in CloudWatch Logs using AWS Key Management Service nella Amazon CloudWatch Logs User Guide.

Di seguito sono riportati i tipi di dati che potresti aver trasmesso in streaming a un gruppo di CloudWatch log Logs come parte del Systems Manager attività:

  • L'output di Run Command comandi

  • L'output degli script eseguiti utilizzando l'operazione aws:executeScript in un runbook Automation

  • Session Manager registri della cronologia delle sessioni

  • Registri da SSM Agent sui tuoi nodi gestiti

Crittografia in transito

Consigliamo di utilizzare un protocollo di crittografia quale Transport Layer Security (TLS) per eseguire la crittografia dei dati sensibili in transito tra i client e i nodi.

Systems Manager fornisce il seguente supporto per la crittografia dei dati in transito.

Connessioni a Systems Manager Endpoint API

Systems Manager Gli endpoint API supportano solo connessioni sicure tramite HTTPS. Quando gestisci Systems Manager risorse con AWS Management Console, AWS SDK o Systems Manager API, tutte le comunicazioni sono crittografate con Transport Layer Security (TLS). Per un elenco completo degli endpoint API, consulta Endpoint del Servizio AWS nella Riferimenti generali di Amazon Web Services.

Istanze gestite

AWS fornisce connettività sicura e privata tra le istanze di Amazon Elastic Compute Cloud (Amazon EC2). Inoltre, crittografiamo automaticamente il traffico in transito tra le istanze supportate nello stesso cloud privato virtuale (VPC) o in modalità peering VPCs, utilizzando algoritmi AEAD con crittografia a 256 bit. Tale funzione di crittografia utilizza le funzionalità di offload dell'hardware sottostante e non ha alcun impatto sulle prestazioni della rete. Le istanze supportate sono: C5n, G4, I3en, M5dn, M5n, P3dn, R5dn e R5n.

Session Manager sessioni

Per impostazione predefinita, Session Manager utilizza TLS 1.3 per crittografare i dati di sessione trasmessi tra i computer locali degli utenti del tuo account e le tue istanze. EC2 Puoi anche scegliere di crittografare ulteriormente i dati in transito utilizzando uno AWS KMS key che è stato creato in. AWS KMS AWS KMS la crittografia è disponibile per e per Standard_Stream InteractiveCommands i tipi di NonInteractiveCommands sessione.

Run Command accedi

Per impostazione predefinita, l'accesso remoto ai nodi tramite Run Command è crittografato utilizzando TLS 1.3 e le richieste di creazione di una connessione vengono firmate utilizzando SigV4.

Riservatezza del traffico Internet

Puoi utilizzare Amazon Virtual Private Cloud (Amazon VPC) per creare delimitatori tra le risorse nei nodi gestiti e nel traffico di controllo fra di esse, la rete locale e Internet. Per i dettagli, consulta Migliorare la sicurezza delle EC2 istanze utilizzando gli endpoint VPC per Systems Manager.

Per ulteriori informazioni sulla sicurezza di Amazon Virtual Private Cloud, consulta Riservatezza del traffico Internet in Amazon VPC nella guida per l'utente di Amazon VPC.

In questa pagina

PrivacyCondizioni del sitoPreferenze cookie
© 2025, Amazon Web Services, Inc. o società affiliate. Tutti i diritti riservati.