Proteção de dados em AWS Entity Resolution - AWS Entity Resolution
Criptografia de dados em repouso para AWS Entity ResolutionGerenciamento de chaves

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Proteção de dados em AWS Entity Resolution

O modelo de responsabilidade AWS compartilhada modelo se aplica à proteção de dados em AWS Entity Resolution. Conforme descrito neste modelo, AWS é responsável por proteger a infraestrutura global que executa todos os Nuvem AWS. Você é responsável por manter o controle sobre o conteúdo hospedado nessa infraestrutura. Você também é responsável pelas tarefas de configuração e gerenciamento de segurança dos Serviços da AWS que usa. Para obter mais informações sobre a privacidade de dados, consulte as Data Privacy FAQ. Para obter mais informações sobre a proteção de dados na Europa, consulte a postagem do blog AWS Shared Responsibility Model and RGPD no Blog de segurança da AWS .

Para fins de proteção de dados, recomendamos que você proteja Conta da AWS as credenciais e configure usuários individuais com AWS IAM Identity Center ou AWS Identity and Access Management (IAM). Dessa maneira, cada usuário receberá apenas as permissões necessárias para cumprir suas obrigações de trabalho. Recomendamos também que você proteja seus dados das seguintes formas:

  • Use uma autenticação multifator (MFA) com cada conta.

  • Use SSL/TLS para se comunicar com os recursos. AWS Exigimos TLS 1.2 e recomendamos TLS 1.3.

  • Configure a API e o registro de atividades do usuário com AWS CloudTrail. Para obter informações sobre o uso de CloudTrail trilhas para capturar AWS atividades, consulte Como trabalhar com CloudTrail trilhas no Guia AWS CloudTrail do usuário.

  • Use soluções de AWS criptografia, juntamente com todos os controles de segurança padrão Serviços da AWS.

  • Use serviços gerenciados de segurança avançada, como o Amazon Macie, que ajuda a localizar e proteger dados sigilosos armazenados no Amazon S3.

  • Se você precisar de módulos criptográficos validados pelo FIPS 140-3 ao acessar AWS por meio de uma interface de linha de comando ou de uma API, use um endpoint FIPS. Para obter mais informações sobre os endpoints FIPS disponíveis, consulte Federal Information Processing Standard (FIPS) 140-3.

É altamente recomendável que nunca sejam colocadas informações confidenciais ou sigilosas, como endereços de e-mail de clientes, em tags ou campos de formato livre, como um campo Nome. Isso inclui quando você trabalha com AWS Entity Resolution ou Serviços da AWS usa o console, a API ou AWS SDKs. AWS CLI Quaisquer dados inseridos em tags ou em campos de texto de formato livre usados para nomes podem ser usados para logs de faturamento ou de diagnóstico. Se você fornecer um URL para um servidor externo, é fortemente recomendável que não sejam incluídas informações de credenciais no URL para validar a solicitação nesse servidor.

Criptografia de dados em repouso para AWS Entity Resolution

AWS Entity Resolution fornece criptografia por padrão para proteger dados confidenciais do cliente em repouso usando chaves AWS de criptografia próprias.

Chaves de propriedade da AWS — AWS Entity Resolution usa essas chaves por padrão para criptografar automaticamente dados de identificação pessoal. Você não pode visualizar, gerenciar ou usar chaves de propriedade da AWS nem auditar seu uso. No entanto, você não precisa realizar nenhuma ação para proteger as chaves que criptografam seus dados. Para obter mais informações, consulte AWS owned keys no Guia do desenvolvedor do AWS Key Management Service .

Por padrão, a criptografia de dados em repouso ajuda a reduzir a sobrecarga operacional e a complexidade envolvidas na proteção de dados confidenciais. Ao mesmo tempo, você pode usá-lo para criar aplicativos seguros que atendam aos rigorosos requisitos regulamentares e de conformidade de criptografia.

Como alternativa, você também pode fornecer uma chave KMS gerenciada pelo cliente para criptografia ao criar seu recurso de fluxo de trabalho correspondente.

Chaves gerenciadas pelo cliente — AWS Entity Resolution suporta o uso de uma chave KMS simétrica gerenciada pelo cliente que você cria, possui e gerencia para permitir a criptografia de seus dados confidenciais. Como você tem controle total dessa camada de criptografia, é possível realizar tarefas como:

  • Estabelecer e manter as políticas de chave

  • Estabelecer e manter subsídios e IAM policies

  • Habilitar e desabilitar políticas de chaves

  • Alternar os materiais de criptografia de chave

  • Adicionar etiquetas

  • Criar réplicas de chaves

  • Programar chaves para exclusão

Para obter mais informações, consulte a chave gerenciada pelo cliente no Guia do AWS Key Management Service desenvolvedor.

Para obter mais informações sobre AWS KMS, consulte O que é o AWS Key Management Service?

Gerenciamento de chaves

Como AWS Entity Resolution usa subsídios em AWS KMS

AWS Entity Resolution exige uma concessão para usar sua chave gerenciada pelo cliente. Quando você cria um fluxo de trabalho correspondente criptografado com uma chave gerenciada pelo cliente, AWS Entity Resolution cria uma concessão em seu nome enviando uma CreateGrantsolicitação para AWS KMS. As concessões AWS KMS são usadas para dar AWS Entity Resolution acesso a uma chave KMS em uma conta de cliente. AWS Entity Resolution exige que a concessão use sua chave gerenciada pelo cliente para as seguintes operações internas:

É possível revogar o acesso à concessão, ou remover o acesso do serviço à chave gerenciada pelo cliente a qualquer momento. Se você fizer isso, AWS Entity Resolution não conseguirá acessar nenhum dos dados criptografados pela chave gerenciada pelo cliente, o que afeta as operações que dependem desses dados. Por exemplo, se você remover o acesso ao serviço à sua chave por meio da concessão e tentar iniciar um trabalho para um fluxo de trabalho correspondente criptografado com uma chave de cliente, a operação retornará um AccessDeniedException erro.

Criar uma chave gerenciada pelo cliente

Você pode criar uma chave simétrica gerenciada pelo cliente usando o AWS Management Console, ou o. AWS KMS APIs

Para criar uma chave simétrica gerenciada pelo cliente

AWS Entity Resolution suporta criptografia usando chaves KMS de criptografia simétrica. Siga as etapas de Criar uma chave simétrica gerenciada pelo cliente no Guia do desenvolvedor do AWS Key Management Service .

Declaração de política chave

As políticas de chaves controlam o acesso à chave gerenciada pelo cliente. Cada chave gerenciada pelo cliente deve ter exatamente uma política de chaves, que contém declarações que determinam quem pode usar a chave e como pode usá-la. Ao criar a chave gerenciada pelo cliente, você pode especificar uma política de chaves. Para obter mais informações, consulte Gerenciando o acesso às chaves gerenciadas pelo cliente no Guia do AWS Key Management Service desenvolvedor.

Para usar sua chave gerenciada pelo cliente com seus AWS Entity Resolution recursos, as seguintes operações de API devem ser permitidas na política de chaves:

  • kms:DescribeKey— fornece informações como o ARN da chave, a data de criação (e a data de exclusão, se aplicável), o estado da chave e a data de origem e expiração (se houver) do material da chave. Ele inclui campos, comoKeySpec, que ajudam você a distinguir diferentes tipos de chaves KMS. Ele também exibe o uso da chave (criptografia, assinatura ou geração e verificação MACs) e os algoritmos que a chave KMS suporta. AWS Entity Resolution valida que KeySpec é SYMMETRIC_DEFAULT e KeyUsage éENCRYPT_DECRYPT.

  • kms:CreateGrant: Adiciona uma concessão a uma chave gerenciada pelo cliente. Concede acesso de controle a uma chave KMS especificada, o que permite o acesso AWS Entity Resolution necessário às operações de concessão. Para obter mais informações sobre Utilizar concessões, consulte o Guia do desenvolvedor do AWS Key Management Service .

Isso permite AWS Entity Resolution fazer o seguinte:

  • Ligar para GenerateDataKey para gerar uma chave de dados criptografada e armazená-la, porque a chave de dados não é usada imediatamente para criptografar.

  • Ligar para Decrypt para usar a chave de dados criptografada armazenada para acessar os dados criptografados.

  • Configure uma entidade principal aposentada para permitir que o serviço para RetireGrant.

Veja a seguir exemplos de declarações de política que você pode adicionar para AWS Entity Resolution:

{
      "Sid" : "Allow access to principals authorized to use AWS Entity Resolution",
      "Effect" : "Allow",
      "Principal" : {
        "AWS" : "*"
      },
      "Action" : ["kms:DescribeKey","kms:CreateGrant"],
      "Resource" : "*",
      "Condition" : {
        "StringEquals" : {
          "kms:ViaService" : "entityresolution.region.amazonaws.com",
          "kms:CallerAccount" : "111122223333"
        }
      }
}

Permissões para usuários

Quando você configura uma chave KMS como a chave padrão para criptografia, a política de chave KMS padrão permite que qualquer usuário com acesso às ações necessárias do KMS use essa chave KMS para criptografar ou descriptografar recursos. Você deve conceder permissão aos usuários para executar as seguintes ações para usar a criptografia de chave KMS gerenciada pelo cliente:

  • kms:CreateGrant

  • kms:Decrypt

  • kms:DescribeKey

  • kms:GenerateDataKey

Durante uma CreateMatchingWorkflowsolicitação, AWS Entity Resolution enviará uma DescribeKeye uma CreateGrantsolicitação para AWS KMS em seu nome. Isso exigirá que a entidade do IAM que faz a CreateMatchingWorkflow solicitação com uma chave KMS gerenciada pelo cliente tenha as kms:DescribeKey permissões na política de chaves do KMS.

Durante uma StartIdMappingJobsolicitação CreateIdMappingWorkflowe, AWS Entity Resolution enviará uma CreateGrantsolicitação DescribeKeye uma para AWS KMS em seu nome. Isso exigirá que a entidade do IAM que faz a StartIdMappingJob solicitação CreateIdMappingWorkflow e com uma chave KMS gerenciada pelo cliente tenha as kms:DescribeKey permissões na política de chaves do KMS. Os provedores poderão acessar a chave gerenciada pelo cliente para descriptografar os dados no bucket do Amazon S3 AWS Entity Resolution .

A seguir estão exemplos de declarações de política que você pode adicionar para que os provedores descriptografem os dados no bucket do Amazon S3: AWS Entity Resolution 

{
    "Version": "2012-10-17",
    "Statement": [{
        "Effect": "Allow",
        "Principal": {
            "AWS": "arn:aws:iam::715724997226:root" 
        },
        "Action": [
            "kms:Decrypt"
        ],
        "Resource": "<KMSKeyARN>",
        "Condition": {
            "StringEquals": {
                "kms:ViaService": "s3.amazonaws.com"
            }
        }
    }]
}

Substitua cada <user input placeholder> por suas próprias informações.

<KMSKeyARN> AWS KMS Nome do recurso da Amazon.

Da mesma forma, a entidade do IAM que invoca a StartMatchingJobAPI não deve ter kms:Decrypt nenhuma kms:GenerateDataKey permissão na chave KMS gerenciada pelo cliente fornecida no fluxo de trabalho correspondente.

Para obter mais informações sobre a especificação de permissões em uma política, consulte o Guia do AWS Key Management Service desenvolvedor.

Para obter mais informações sobre como solucionar problemas de acesso por chave, consulte o Guia do AWS Key Management Service desenvolvedor.

Especificando uma chave gerenciada pelo cliente para AWS Entity Resolution

Você pode especificar uma chave gerenciada pelo cliente para fornecer uma segunda camada de criptografia para os seguintes recursos:

Fluxo de trabalho correspondente — Ao criar um recurso de fluxo de trabalho correspondente, você pode especificar a chave de dados inserindo uma KMSArn, que é AWS Entity Resolution usada para criptografar os dados pessoais identificáveis armazenados pelo recurso.

KMSArn— Insira um ARN de chave, que é um identificador de chave para uma chave gerenciada pelo AWS KMS cliente.

Você pode especificar uma chave gerenciada pelo cliente como uma criptografia de segunda camada para os seguintes recursos se estiver criando ou executando um fluxo de trabalho de mapeamento de ID em dois Contas da AWS:

Fluxo de trabalho de mapeamento de ID ou Iniciar fluxo de trabalho de mapeamento de ID — Ao criar um recurso de fluxo de trabalho de mapeamento de ID ou iniciar um trabalho de fluxo de trabalho de mapeamento de ID KMSArn, você pode especificar a chave de dados inserindo uma, que AWS Entity Resolution usa para criptografar os dados pessoais identificáveis armazenados pelo recurso.

KMSArn— Insira um ARN de chave, que é um identificador de chave para uma chave gerenciada pelo AWS KMS cliente.

Monitorando suas chaves de criptografia para o AWS Entity Resolution serviço

Ao usar uma chave gerenciada pelo AWS KMS cliente com seus recursos AWS Entity Resolution de serviço, você pode usar a AWS CloudTrail ou a Amazon CloudWatch Logs para rastrear solicitações AWS Entity Resolution enviadas para AWS KMS.

Os exemplos a seguir são AWS CloudTrail eventos paraCreateGrant, GenerateDataKeyDecrypt, e DescribeKey para monitorar AWS KMS operações chamadas por AWS Entity Resolution para acessar dados criptografados pela chave gerenciada pelo cliente:

CreateGrant

Quando você usa uma chave gerenciada pelo AWS KMS cliente para criptografar seu recurso de fluxo de trabalho correspondente, AWS Entity Resolution envia uma CreateGrant solicitação em seu nome para acessar a chave KMS no seu. Conta da AWS A concessão AWS Entity Resolution criada é específica para o recurso associado à chave gerenciada pelo AWS KMS cliente. Além disso, AWS Entity Resolution usa a RetireGrant operação para remover uma concessão quando você exclui um recurso.

O evento de exemplo a seguir registra a operação CreateGrant:


{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "AssumedRole",
        "principalId": "AROAIGDTESTANDEXAMPLE:Sampleuser01",
        "arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
        "accountId": "111122223333",
        "accessKeyId": "AKIAIOSFODNN7EXAMPLE3",
        "sessionContext": {
            "sessionIssuer": {
                "type": "Role",
                "principalId": "AROAIGDTESTANDEXAMPLE:Sampleuser01",
                "arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
                "accountId": "111122223333",
                "userName": "Admin"
            },
            "webIdFederationData": {},
            "attributes": {
                "mfaAuthenticated": "false",
                "creationDate": "2021-04-22T17:02:00Z"
            }
        },
        "invokedBy": "entityresolution.amazonaws.com"
    },
    "eventTime": "2021-04-22T17:07:02Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "CreateGrant",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "172.12.34.56",
    "userAgent": "ExampleDesktop/1.0 (V1; OS)",
    "requestParameters": {
        "retiringPrincipal": "entityresolution.region.amazonaws.com",
        "operations": [
            "GenerateDataKey",
            "Decrypt",
        ],
        "keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
        "granteePrincipal": "entityresolution.region.amazonaws.com"
    },
    "responseElements": {
        "grantId": "0ab0ac0d0b000f00ea00cc0a0e00fc00bce000c000f0000000c0bc0a0000aaafSAMPLE",
        "keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
    },
    "requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "readOnly": false,
    "resources": [
        {
            "accountId": "111122223333",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "eventCategory": "Management",
    "recipientAccountId": "111122223333"
}

DescribeKey

AWS Entity Resolution usa a DescribeKey operação para verificar se a chave gerenciada pelo AWS KMS cliente associada ao seu recurso correspondente existe na conta e na região.

O evento de exemplo a seguir registra a operação DescribeKey:

{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "AssumedRole",
        "principalId": "AROAIGDTESTANDEXAMPLE:Sampleuser01",
        "arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
        "accountId": "111122223333",
        "accessKeyId": "AKIAIOSFODNN7EXAMPLE3",
        "sessionContext": {
            "sessionIssuer": {
                "type": "Role",
                "principalId": "AROAIGDTESTANDEXAMPLE:Sampleuser01",
                "arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01",
                "accountId": "111122223333",
                "userName": "Admin"
            },
            "webIdFederationData": {},
            "attributes": {
                "mfaAuthenticated": "false",
                "creationDate": "2021-04-22T17:02:00Z"
            }
        },
        "invokedBy": "entityresolution.amazonaws.com"
    },
    "eventTime": "2021-04-22T17:07:02Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "DescribeKey",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "172.12.34.56",
    "userAgent": "ExampleDesktop/1.0 (V1; OS)",
    "requestParameters": {
        "keyId": "00dd0db0-0000-0000-ac00-b0c000SAMPLE"
    },
    "responseElements": null,
    "requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "readOnly": true,
    "resources": [
        {
            "accountId": "111122223333",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "eventCategory": "Management",
    "recipientAccountId": "111122223333"
}

GenerateDataKey

Quando você habilita uma chave gerenciada pelo AWS KMS cliente para seu recurso de fluxo de trabalho correspondente, AWS Entity Resolution envia uma GenerateDataKey solicitação por meio do Amazon Simple Storage Service (Amazon S3) AWS KMS para especificar a chave gerenciada AWS KMS pelo cliente para o recurso.

O evento de exemplo a seguir registra a operação GenerateDataKey:

{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "AWSService",
        "invokedBy": "s3.amazonaws.com"
    },
    "eventTime": "2021-04-22T17:07:02Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "GenerateDataKey",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "172.12.34.56",
    "userAgent": "ExampleDesktop/1.0 (V1; OS)",
    "requestParameters": {
        "keySpec": "AES_256",
        "keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
    },
    "responseElements": null,
    "requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "readOnly": true,
    "resources": [
        {
            "accountId": "111122223333",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "eventCategory": "Management",
    "recipientAccountId": "111122223333",
    "sharedEventID": "57f5dbee-16da-413e-979f-2c4c6663475e"
}

Decrypt

Quando você habilita uma chave gerenciada pelo AWS KMS cliente para seu recurso de fluxo de trabalho correspondente, AWS Entity Resolution envia uma Decrypt solicitação por meio do Amazon Simple Storage Service (Amazon S3) AWS KMS para especificar a chave gerenciada AWS KMS pelo cliente para o recurso.

O evento de exemplo a seguir registra a operação Decrypt:

{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "AWSService",
        "invokedBy": "s3.amazonaws.com"
    },
    "eventTime": "2021-04-22T17:10:51Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "Decrypt",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "172.12.34.56",
    "userAgent": "ExampleDesktop/1.0 (V1; OS)",
    "requestParameters": {
        "keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE",
        "encryptionAlgorithm": "SYMMETRIC_DEFAULT"
    },
    "responseElements": null,
    "requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE",
    "readOnly": true,
    "resources": [
        {
            "accountId": "111122223333",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "eventCategory": "Management",
    "recipientAccountId": "111122223333",
    "sharedEventID": "dc129381-1d94-49bd-b522-f56a3482d088"
}

Considerações

AWS Entity Resolution não oferece suporte à atualização de um fluxo de trabalho correspondente com uma nova chave KMS gerenciada pelo cliente. Nesses casos, você pode criar um novo fluxo de trabalho com a chave KMS gerenciada pelo cliente.

Saiba mais

Os recursos a seguir fornecem mais informações sobre a criptografia de dados em repouso.

Para obter mais informações sobre os conceitos básicos do AWS Key Management Service, consulte o Guia do AWS Key Management Service desenvolvedor.

Para obter mais informações sobre as melhores práticas de segurança do AWS Key Management Service, consulte o Guia do AWS Key Management Service desenvolvedor.