As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Proteção de dados em AWS Audit Manager
O modelo de responsabilidade AWS compartilhada modelo
Para fins de proteção de dados, recomendamos que você proteja Conta da AWS as credenciais e configure usuários individuais com AWS IAM Identity Center ou AWS Identity and Access Management (IAM). Dessa maneira, cada usuário receberá apenas as permissões necessárias para cumprir suas obrigações de trabalho. Recomendamos também que você proteja seus dados das seguintes formas:
-
Use a autenticação multifator (MFA) com cada conta.
-
UseSSL/TLSpara se comunicar com AWS os recursos. Exigimos TLS 1,2 e recomendamos TLS 1,3.
-
Configure API e registre as atividades do usuário com AWS CloudTrail. Para obter informações sobre o uso de CloudTrail trilhas para capturar AWS atividades, consulte Como trabalhar com CloudTrail trilhas no Guia AWS CloudTrail do usuário.
-
Use soluções de AWS criptografia, juntamente com todos os controles de segurança padrão Serviços da AWS.
-
Use serviços gerenciados de segurança avançada, como o Amazon Macie, que ajuda a localizar e proteger dados sigilosos armazenados no Amazon S3.
-
Se você precisar de FIPS 140-3 módulos criptográficos validados ao acessar AWS por meio de uma interface de linha de comando ou umaAPI, use um endpoint. FIPS Para obter mais informações sobre os FIPS endpoints disponíveis, consulte Federal Information Processing Standard (FIPS) 140-3
.
É altamente recomendável que nunca sejam colocadas informações de identificação confidenciais, como endereços de e-mail dos seus clientes, em marcações ou campos de formato livre, como um campo Nome. Isso inclui quando você trabalha com o Audit Manager ou outro Serviços da AWS usando o console,API, AWS CLI, ou AWS SDKs. Quaisquer dados inseridos em tags ou campos de texto de formato livre usados para nomes podem ser usados para logs de faturamento ou de diagnóstico. Se você fornecer um URL para um servidor externo, é altamente recomendável que você não inclua informações de credenciais no URL para validar sua solicitação para esse servidor.
Além da recomendação acima, recomendamos especificamente que os clientes do Audit Manager não incluam informações confidenciais de identificação em campos de formato livre ao criarem avaliações, controles personalizados, estruturas personalizadas e comentários de delegação.
Exclusão dos dados do Audit Manager
Existem diversas maneiras de excluir os dados do Audit Manager.
Exclusão de dados ao desativar o Audit Manager
Ao desativar o Audit Manager, você pode decidir se deseja excluir todos os dados do Audit Manager. Se você optar por excluir seus dados, eles serão excluídos até 7 dias após a desativação do Audit Manager. Depois que seus dados forem excluídos, você não poderá recuperá-los.
Exclusão de dados automática
Alguns dados do Audit Manager são excluídos automaticamente após um período específico. O Audit Manager retém os dados do cliente da seguinte forma:
| Tipo de dados | Período de retenção de dados | Observações |
|---|---|---|
|
Evidência |
Os dados são retidos por 2 anos a partir do momento da criação |
Inclui evidências automatizadas e evidências manuais |
|
Recursos criados pelo cliente |
Os dados são retidos indefinidamente |
Inclui avaliações, relatórios de avaliação, controles personalizados e estruturas personalizadas |
Exclusão manual de dados
É possível excluir recursos individuais do Audit Manager a qualquer momento. Para obter instruções, consulte:
-
Excluindo uma avaliação em AWS Audit Manager
-
Veja também: DeleteAssessmentna AWS Audit Manager APIReferência
-
-
Excluindo uma estrutura personalizada em AWS Audit Manager
-
Veja também: DeleteAssessmentFrameworkna AWS Audit Manager APIReferência
-
-
Excluindo solicitações de compartilhamento em AWS Audit Manager
-
Veja também: DeleteAssessmentFrameworkSharena AWS Audit Manager APIReferência
-
-
Como excluir um relatório de avaliação
-
Veja também: DeleteAssessmentReportna AWS Audit Manager APIReferência
-
-
Excluindo um controle personalizado no AWS Audit Manager
-
Veja também: DeleteControlna AWS Audit Manager APIReferência
-
Para excluir outros dados de recursos que você possa ter criado ao usar o Audit Manager, veja o seguinte:
-
Excluir um armazenamento de dados de eventos no AWS CloudTrail Guia do Usuário
-
Deletando um bucket no Guia do Usuário Amazon Simple Storage Service (Amazon S3)
Criptografia em repouso
Para criptografar dados em repouso, o Audit Manager usa criptografia do lado do servidor Chaves gerenciadas pela AWS para todos os seus repositórios de dados e registros.
Seus dados são criptografados sob uma chave gerenciada pelo cliente ou uma Chave pertencente à AWS, dependendo das configurações selecionadas. Se você não fornecer uma chave gerenciada pelo cliente, o Audit Manager usa uma Chave pertencente à AWS para criptografar seu conteúdo. Todos os metadados de serviço no DynamoDB e no Amazon S3 no Audit Manager são criptografados usando um Chave pertencente à AWS.
O Audit Manager criptografa os dados da seguinte forma:
-
Os metadados do serviço armazenados no Amazon S3 são criptografados Chave pertencente à AWS usando -. SSE KMS
-
Os metadados de serviço armazenados no DynamoDB são criptografados no lado do servidor usando e um. KMS Chave pertencente à AWS
-
Seu conteúdo armazenado no DynamoDB é criptografado do lado do cliente usando uma chave gerenciada pelo cliente ou Chave pertencente à AWS. A KMS chave é baseada nas configurações escolhidas.
-
Seu conteúdo armazenado no Amazon S3 no Audit Manager é criptografado usando SSE -. KMS A KMS chave é baseada na sua seleção e pode ser uma chave gerenciada pelo cliente ou uma Chave pertencente à AWS.
-
Os relatórios de avaliação publicados em seu bucket do S3 são criptografados da seguinte forma:
-
Se você forneceu uma chave gerenciada pelo cliente, seus dados serão criptografados usando SSE -KMS.
-
Se você usou o Chave pertencente à AWS, seus dados são criptografados usando SSE -S3.
-
Criptografia em trânsito
O Audit Manager fornece endpoints seguros e privados para criptografar dados em trânsito. Os endpoints seguros e privados permitem proteger AWS a integridade das API solicitações ao Audit Manager.
Trânsito entre serviços
Por padrão, todas as comunicações entre serviços são protegidas usando a criptografia Transport Layer Security (TLS).
Gerenciamento de chaves
O Audit Manager suporta chaves gerenciadas Chaves pertencentes à AWS tanto pelo cliente quanto pelo cliente para criptografar todos os recursos do Audit Manager (avaliações, controles, estruturas, evidências e relatórios de avaliação salvos nos buckets do S3 em suas contas).
Recomendamos usar uma chave gerenciada pelo cliente. Ao fazer isso, você pode visualizar e gerenciar as chaves de criptografia que protegem seus dados, inclusive a visualização de logs de seu uso em AWS CloudTrail. Quando você escolhe uma chave gerenciada pelo cliente, o Audit Manager cria uma concessão na KMS chave para que ela possa ser usada para criptografar seu conteúdo.
Atenção
Depois de excluir ou desativar uma KMS chave usada para criptografar os recursos do Audit Manager, você não poderá mais descriptografar o recurso que foi criptografado com essa KMS chave, o que significa que os dados se tornam irrecuperáveis.
Excluir uma KMS chave em AWS Key Management Service (AWS KMS) é destrutivo e potencialmente perigoso. Para obter mais informações sobre a exclusão de KMS chaves, consulte Excluindo AWS KMS keys no Guia do AWS Key Management Service usuário.
Você pode especificar suas configurações de criptografia ao ativar o Audit Manager usando o AWS Management Console, o Audit Manager API ou o AWS Command Line Interface (AWS CLI). Para obter instruções, consulte Habilitando AWS Audit Manager.
Você pode revisar e alterar suas configurações de criptografia a qualquer momento. Para obter instruções, consulte Definindo suas configurações de criptografia de dados.
Para obter mais informações sobre como configurar chaves gerenciadas pelo cliente, consulte Criando chaves no AWS Key Management Service Guia do Usuário.
