Protezione dei dati in Amazon VPC Lattice - Amazon VPC Lattice
Crittografia in transitoCrittografia a riposo

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Protezione dei dati in Amazon VPC Lattice

Il modello di responsabilità AWS condivisa Modello si applica alla protezione dei dati in Amazon VPC Lattice. Come descritto in questo modello, AWS è responsabile della protezione dell'infrastruttura globale che gestisce tutti i Cloud AWS. L'utente è responsabile di mantenere il controllo sui contenuti ospitati su questa infrastruttura. Questi contenuti comprendono la configurazione della protezione e le attività di gestione per i Servizi AWS utilizzati. Per ulteriori informazioni sulla privacy dei dati, consulta la sezione Privacy dei dati FAQ. Per informazioni sulla protezione dei dati in Europa, consulta il Modello di responsabilitàAWS condivisa e GDPR il post sul blog sulla AWS sicurezza.

Crittografia in transito

VPCLattice è un servizio completamente gestito che consiste in un piano di controllo e un piano dati. Ogni piano ha uno scopo distinto nel servizio. Il piano di controllo fornisce le risorse amministrative APIs utilizzate per creare, leggere/descrivere, aggiornare, eliminare ed elencare (CRUDL) le risorse (ad esempio CreateService eUpdateService). Le comunicazioni verso il piano di controllo VPC Lattice sono protette in transito da. TLS Il piano dati è il VPC Lattice InvokeAPI, che fornisce l'interconnessione tra i servizi. TLScrittografa le comunicazioni verso il piano dati VPC Lattice quando si utilizza o. HTTPS TLS La suite di crittografia e la versione del protocollo utilizzano i valori predefiniti forniti da VPC Lattice e non sono configurabili. Per ulteriori informazioni, consulta HTTPSVPCascoltatori per i servizi Lattice.

Crittografia a riposo

Per impostazione predefinita, la crittografia dei dati inattivi aiuta a ridurre il sovraccarico operativo e la complessità associati alla protezione dei dati sensibili. Allo stesso tempo, consente di creare applicazioni sicure che soddisfano i rigorosi requisiti normativi e di conformità alla crittografia.

Crittografia lato server con chiavi gestite Amazon S3 (-S3) SSE

Quando utilizzi la crittografia lato server con chiavi gestite di Amazon S3 SSE (-S3), ogni oggetto viene crittografato con una chiave unica. Come ulteriore protezione, crittografiamo la chiave stessa con una chiave radice che ruotiamo regolarmente. La crittografia lato server di Amazon S3 utilizza uno dei cifrari a blocchi più potenti disponibili, l'Advanced Encryption Standard a 256 bit (-256), per crittografare i dati. AES GCM Per gli oggetti crittografati prima di -, AES - GCM è ancora supportata la decrittografia di tali oggetti. AES CBC Per ulteriori informazioni, consulta Uso della crittografia lato server con le chiavi di crittografia gestite da Amazon S3 (-S3). SSE

Se abiliti la crittografia lato server con chiavi di crittografia gestite da Amazon S3 (SSE-S3) per il tuo bucket S3 per i log di accesso VPC Lattice, crittografiamo automaticamente ogni file di registro di accesso prima che venga archiviato nel tuo bucket S3. Per ulteriori informazioni, consulta Logs sent to Amazon S3 nella CloudWatch Amazon User Guide.

Crittografia lato server con AWS KMS chiavi memorizzate in (-) AWS KMS SSE KMS

La crittografia lato server con AWS KMS chiavi (SSE-KMS) è simile a SSE -S3, ma comporta vantaggi e costi aggiuntivi per l'utilizzo di questo servizio. Esistono autorizzazioni separate per la AWS KMS chiave che forniscono una protezione aggiuntiva contro l'accesso non autorizzato ai tuoi oggetti in Amazon S3. SSE- fornisce KMS anche una pista di controllo che mostra quando è stata utilizzata la AWS KMS chiave e da chi. Per ulteriori informazioni, vedere Utilizzo della crittografia lato server con AWS Key Management Service (SSE-KMS).

Crittografia e decrittografia della chiave privata del certificato

Il ACM certificato e la chiave privata vengono crittografati utilizzando una KMS chiave AWS gestita con l'alias aws/acm. Puoi visualizzare l'ID della chiave con questo alias nella console sotto chiavi gestite. AWS KMS AWS

VPCLattice non accede direttamente alle tue ACM risorse. Utilizza AWS TLS Connection Manager per proteggere e accedere alle chiavi private del certificato. Quando si utilizza il ACM certificato per creare un servizio VPC Lattice, VPC Lattice associa il certificato a Connection Manager. AWS TLS Questo viene fatto creando una concessione a AWS KMS fronte della vostra AWS Managed Key con il prefisso aws/acm. Una concessione è uno strumento politico che consente a TLS Connection Manager di utilizzare KMS le chiavi nelle operazioni crittografiche. La concessione consente al responsabile del beneficiario (TLSConnection Manager) di richiamare le operazioni di concessione specificate sulla KMS chiave per decrittografare la chiave privata del certificato. TLSConnection Manager utilizza quindi il certificato e la chiave privata decrittografata (in chiaro) per stabilire una connessione sicura (SSL/TLSsessione) con i client dei servizi Lattice. VPC Quando il certificato viene dissociato da un VPC servizio Lattice, la concessione viene ritirata.

Se desideri rimuovere l'accesso alla KMS chiave, ti consigliamo di sostituire o eliminare il certificato dal servizio utilizzando AWS Management Console o il update-service comando in. AWS CLI

Contesto di crittografia per VPC Lattice

Un contesto di crittografia è un insieme opzionale di coppie chiave-valore che contengono informazioni contestuali sullo scopo per cui potrebbe essere utilizzata la chiave privata. AWS KMS associa il contesto di crittografia ai dati crittografati e lo utilizza come dati autenticati aggiuntivi per supportare la crittografia autenticata.

Quando le TLS chiavi vengono utilizzate con VPC Lattice e TLS Connection manager, il nome del servizio VPC Lattice è incluso nel contesto di crittografia utilizzato per crittografare la chiave inattiva. Puoi verificare per quale servizio VPC Lattice vengono utilizzati il tuo certificato e la tua chiave privata visualizzando il contesto di crittografia nei tuoi CloudTrail registri, come mostrato nella sezione successiva, o guardando la scheda Risorse associate nella console. ACM

Per decrittografare i dati, nella richiesta è incluso lo stesso contesto di crittografia. VPCLattice utilizza lo stesso contesto di crittografia in tutte le operazioni AWS KMS crittografiche, dove la chiave è aws:vpc-lattice:arn e il valore è l'Amazon Resource Name (ARN) del servizio VPC Lattice.

L'esempio seguente mostra il contesto di crittografia nell'output di un'operazione come. CreateGrant

"encryptionContextEquals": {
    "aws:acm:arn": "arn:aws:acm:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
    "aws:vpc-lattice:arn": "arn:aws:vpc-lattice:us-west-2:111122223333:service/svc-0b23c1234567890ab"
}

Monitoraggio delle chiavi di crittografia per VPC Lattice

Quando utilizzi una chiave AWS gestita con il tuo servizio VPC Lattice, puoi utilizzarla AWS CloudTrailper tenere traccia delle richieste a cui VPC Lattice invia. AWS KMS

CreateGrant

Quando aggiungi il tuo ACM certificato a un servizio VPC Lattice, viene inviata una CreateGrant richiesta a tuo nome affinché TLS Connection Manager sia in grado di decrittografare la chiave privata associata al tuo certificato ACM

È possibile visualizzare l'CreateGrantoperazione come evento in CloudTrail, Cronologia eventi,. CreateGrant

Di seguito è riportato un esempio di record di CloudTrail eventi nella cronologia degli eventi dell'CreateGrantoperazione.

{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "IAMUser",
        "principalId": "EX_PRINCIPAL_ID",
        "arn": "arn:aws:iam::111122223333:user/Alice",
        "accountId": "111122223333",
        "accessKeyId": "EXAMPLE_KEY_ID",
        "sessionContext": {
            "sessionIssuer": {
                "type": "IAMUser",
                "principalId": "EX_PRINCIPAL_ID",
                "arn": "arn:aws:iam::111122223333:user/Alice",
                "accountId": "111122223333",
                "userName": "Alice"
            },
            "webIdFederationData": {},
            "attributes": {
                "creationDate": "2023-02-06T23:30:50Z",
                "mfaAuthenticated": "false"
            }
        },
        "invokedBy": "acm.amazonaws.com"
    },
    "eventTime": "2023-02-07T00:07:18Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "CreateGrant",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "acm.amazonaws.com",
    "userAgent": "acm.amazonaws.com",
    "requestParameters": {
        "granteePrincipal": "tlsconnectionmanager.amazonaws.com",
        "keyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
        "operations": [
            "Decrypt"
        ],
        "constraints": {
            "encryptionContextEquals": {
                "aws:acm:arn": "arn:aws:acm:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
                "aws:vpc-lattice:arn": "arn:aws:vpc-lattice:us-west-2:111122223333:service/svc-0b23c1234567890ab"
            }
        },
        "retiringPrincipal": "acm.us-west-2.amazonaws.com"
    },
    "responseElements": {
        "grantId": "f020fe75197b93991dc8491d6f19dd3cebb24ee62277a05914386724f3d48758",
        "keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
    },
    "requestID": "ba178361-8ab6-4bdd-9aa2-0d1a44b2974a",
    "eventID": "8d449963-1120-4d0c-9479-f76de11ce609",
    "readOnly": false,
    "resources": [
        {
            "accountId": "111122223333",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "111122223333",
    "eventCategory": "Management"
}

Nell'CreateGrantesempio precedente, il beneficiario principale è TLS Connection Manager e il contesto di crittografia include il servizio VPC Lattice. ARN

ListGrants

Puoi usare il tuo ID KMS chiave e l'ID del tuo account per chiamare il. ListGrants API In questo modo viene visualizzato un elenco di tutte le concessioni per la KMS chiave specificata. Per ulteriori informazioni, vedere ListGrants.

Usa il seguente ListGrants comando in AWS CLI per vedere i dettagli di tutte le sovvenzioni.

aws kms list-grants —key-id your-kms-key-id

Di seguito è riportato un output di esempio.

{
    "Grants": [
        {
            "Operations": [
                "Decrypt"
            ], 
            "KeyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab", 
            "Name": "IssuedThroughACM", 
            "RetiringPrincipal": "acm.us-west-2.amazonaws.com", 
            "GranteePrincipal": "tlsconnectionmanager.amazonaws.com", 
            "GrantId": "f020fe75197b93991dc8491d6f19dd3cebb24ee62277a05914386724f3d48758", 
            "IssuingAccount": "arn:aws:iam::111122223333:root", 
            "CreationDate": "2023-02-06T23:30:50Z", 
            "Constraints": {
                "encryptionContextEquals": {
                  "aws:acm:arn": "arn:aws:acm:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
                  "aws:vpc-lattice:arn": "arn:aws:vpc-lattice:us-west-2:111122223333:service/svc-0b23c1234567890ab"
                }
            }
        }
    ]
}

Nell'ListGrantsesempio precedente, il beneficiario principale è TLS Connection Manager e il contesto di crittografia ha il VPC servizio Lattice. ARN

Decrypt

VPCLattice utilizza TLS Connection Manager per richiamare l'Decryptoperazione di decrittografia della chiave privata al fine di servire TLS le connessioni nel servizio Lattice. VPC È possibile visualizzare l'Decryptoperazione come un evento in CloudTrailCronologia eventi, Decrypt.

Di seguito è riportato un esempio di record di eventi nella cronologia CloudTrail degli eventi dell'Decryptoperazione.

{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "AWSService",
        "invokedBy": "tlsconnectionmanager.amazonaws.com"
    },
    "eventTime": "2023-02-07T00:07:23Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "Decrypt",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "tlsconnectionmanager.amazonaws.com",
    "userAgent": "tlsconnectionmanager.amazonaws.com",
    "requestParameters": {
        "encryptionContext": {
            "aws:acm:arn": "arn:aws:acm:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
            "aws:vpc-lattice:arn": "arn:aws:vpc-lattice:us-west-2:111122223333:service/svc-0b23c1234567890ab"
        },
        "encryptionAlgorithm": "SYMMETRIC_DEFAULT"
    },
    "responseElements": null,
    "requestID": "12345126-30d5-4b28-98b9-9153da559963",
    "eventID": "abcde202-ba1a-467c-b4ba-f729d45ae521",
    "readOnly": true,
    "resources": [
        {
            "accountId": "111122223333",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "111122223333",
    "sharedEventID": "abcde202-ba1a-467c-b4ba-f729d45ae521",
    "eventCategory": "Management"
}