O Amazon Forecast não está mais disponível para novos clientes. Os clientes existentes do Amazon Forecast podem continuar usando o serviço normalmente. Saiba mais
As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Proteção de dados no Amazon Forecast
O modelo de responsabilidade AWS compartilhada
Para fins de proteção de dados, recomendamos que você proteja Conta da AWS as credenciais e configure usuários individuais com AWS IAM Identity Center ou AWS Identity and Access Management (IAM). Dessa maneira, cada usuário receberá apenas as permissões necessárias para cumprir suas obrigações de trabalho. Recomendamos também que você proteja seus dados das seguintes formas:
-
Use a autenticação multifator (MFA) com cada conta.
-
UseSSL/TLSpara se comunicar com AWS os recursos. Exigimos TLS 1,2 e recomendamos TLS 1,3.
-
Configure API e registre as atividades do usuário com AWS CloudTrail. Para obter informações sobre o uso de CloudTrail trilhas para capturar AWS atividades, consulte Como trabalhar com CloudTrail trilhas no Guia AWS CloudTrail do usuário.
-
Use soluções de AWS criptografia, juntamente com todos os controles de segurança padrão Serviços da AWS.
-
Use serviços gerenciados de segurança avançada, como o Amazon Macie, que ajuda a descobrir e proteger dados confidenciais armazenados no Amazon S3.
-
Se você precisar de FIPS 140-3 módulos criptográficos validados ao acessar AWS por meio de uma interface de linha de comando ou umaAPI, use um endpoint. FIPS Para obter mais informações sobre os FIPS endpoints disponíveis, consulte Federal Information Processing Standard (FIPS) 140-3
.
É altamente recomendável que nunca sejam colocadas informações confidenciais ou sigilosas, como endereços de e-mail de clientes, em tags ou campos de formato livre, como um campo Nome. Isso inclui quando você trabalha com Forecast ou outro Serviços da AWS usando o console,API, AWS CLI, ou AWS SDKs. Quaisquer dados inseridos em tags ou em campos de texto de formato livre usados para nomes podem ser usados para logs de faturamento ou de diagnóstico. Se você fornecer um URL para um servidor externo, é altamente recomendável que você não inclua informações de credenciais no URL para validar sua solicitação para esse servidor.
Criptografia em repouso
No Amazon Forecast, a configuração de criptografia é fornecida durante as operações CreateDataset e CreatePredictor. Se a configuração de criptografia for fornecida na CreateDataset operação, sua IAM função CMK e a função para criptografia em repouso serão usadas na CreateDatasetImportJob operação.
Por exemplo, se você fornecer suas chaves KMSKeyArn e a RoleArn na EncryptionConfig declaração da CreateDataset operação, a Forecast assumirá essa função e usará a chave para criptografar o conjunto de dados. Se nenhuma configuração for fornecida, o Forecast usará as chaves de serviço padrão para criptografia. Além disso, se você fornecer as EncryptionConfig informações da CreatePredictor operação, todas as operações subsequentes, como CreateForecast e CreatePredictorExplanability CreatePredictorBacktestExportJob, usarão a mesma configuração para realizar a criptografia em repouso. Novamente, se você não fornecer uma configuração de criptografia, o Forecast usará a criptografia de serviço padrão.
Para qualquer dado armazenado no bucket do Amazon S3, os dados são criptografados pela chave padrão do Amazon S3. Você também pode usar sua própria AWS KMS chave para criptografar seus dados e dar à Forecast acesso a essa chave. Para obter informações sobre a criptografia de dados do Amazon S3, consulte Proteção de dados usando criptografia. Para obter informações sobre como gerenciar sua própria AWS KMS chave, consulte Gerenciamento de chaves no Guia do AWS Key Management Service desenvolvedor.
Criptografia em trânsito e processamento
O Amazon Forecast usa TLS AWS certificados para criptografar todos os dados enviados para outros AWS serviços. Qualquer comunicação com outros AWS serviços é encerradaHTTPS, e os endpoints da Forecast suportam apenas conexões seguras. HTTPS
O Amazon Forecast copia dados da sua conta e os processa em um AWS sistema interno. Ao processar dados, o Forecast criptografa os dados com uma AWS KMS chave Forecast ou com qualquer AWS KMS chave fornecida por você.
Como o Amazon Forecast usa subsídios em AWS KMS
O Amazon Forecast exige uma concessão para usar a chave gerenciada pelo cliente.
Forecast cria uma concessão usando a IAM função que é passada durante EncryptionConfiga CreateDatasetoperação CreatePredictorou. O Forecast assume o perfil e realiza uma operação de criação de concessão em seu nome. Consulte IAMFunção de configuração para obter mais detalhes.
No entanto, quando você cria um preditor criptografado com uma chave gerenciada pelo cliente, o Amazon Forecast cria uma concessão em seu nome enviando uma CreateGrantsolicitação para AWS KMS. Os subsídios AWS KMS são usados para dar à Amazon Forecast acesso a uma AWS KMS chave na conta de um cliente.
O Amazon Forecast exige a concessão para que possa usar sua chave gerenciada pelo cliente para enviar solicitações do Decrypt para ler os AWS KMS artefatos criptografados do conjunto de dados. O Forecast também usa a concessão para enviar GenerateDataKey solicitações a AWS KMS fim de criptografar os artefatos de treinamento de volta para o Amazon S3.
É possível revogar o acesso à concessão, ou remover o acesso do serviço à chave gerenciada pelo cliente a qualquer momento. Se você fizer isso, o Amazon Forecast não poderá acessar nenhum dos dados criptografados com a chave gerenciada pelo cliente, o que afetará as operações que dependerem desses dados. Por exemplo, se você tentar realizar a CreateForecast operação em um preditor criptografado que o Amazon Forecast não pode acessar, a operação retornará um AccessDeniedException erro.
Criar uma chave gerenciada pelo cliente
Você pode criar uma chave simétrica gerenciada pelo cliente usando o AWS Management Console ou o. AWS KMS API Para criar uma chave simétrica gerenciada pelo cliente, siga as etapas em Criação de chave simétrica gerenciada pelo cliente no Guia do desenvolvedor do AWS Key Management Service .
As políticas de chaves controlam o acesso à chave gerenciada pelo cliente. Cada chave gerenciada pelo cliente deve ter exatamente uma política de chaves, que contém declarações que determinam quem pode usar a chave e como pode usá-la. Ao criar a chave gerenciada pelo cliente, você pode especificar uma política de chaves. Para obter mais informações, consulte Managing access to customer managed keys (Administrando o acesso a chaves gerenciadas pelo cliente) no Guia do desenvolvedor do AWS Key Management Service .
Para usar sua chave gerenciada pelo cliente com os recursos do Amazon Forecast, as seguintes API operações devem ser permitidas na política de chaves:
kms: DescribeKey — Fornece os detalhes da chave gerenciada pelo cliente que permitem que a Amazon Forecast valide a chave.
kms: CreateGrant — Adiciona uma concessão a uma chave gerenciada pelo cliente. Concede acesso de controle a uma AWS KMS chave especificada, o que permite o acesso às operações de concessão exigidas pelo Amazon Forecast. Essa operação permite que o Amazon Forecast chame
GenerateDataKey
para gerar uma chave de dados criptografada e armazená-la, pois a chave de dados não é usada imediatamente para a criptografia. Além disso, a operação permite que o Amazon Forecast chameDecrypt
para que possa usar a chave de dados criptografada armazenada e acessar os dados criptografados.kms: RetireGrant - Retire todas as concessões fornecidas durante a
CreateGrant
operação após a conclusão da operação.
nota
O Amazon Forecast executa a validação kms:Decrypt
e kms:GenerateDataKey
na identidade do chamador. Você receberá um AccessDeniedException caso o chamador não tenha as permissões relevantes. A política de chave também deve ser semelhante ao código a seguir:
"Effect": "Allow", "Principal": { "AWS": “AWS Invoking Identity” }, "Action": [ "kms:Decrypt", "kms:GenerateDataKey” ], "Resource": "*" }
Para obter mais detalhes, consulte a IAMPolítica.
Veja a seguir exemplos de instruções de política que você pode adicionar para o Amazon Forecast. Essas são as permissões mínimas necessárias e também podem ser adicionadas usando IAM políticas.
"Statement" : [ {"Sid" : "Allow access to principals authorized to use Amazon Forecast", "Effect" : "Allow", "Principal" : {"AWS" : "arn:aws:iam::111122223333:role/
ROLE_PASSED_TO_FORECAST
" }, "Action" : [ "kms:DescribeKey", "kms:CreateGrant", "kms:RetireGrant" ], "Resource" : "*", "Condition" : {"StringEquals" : {"kms:ViaService" : "forecast.region
.amazonaws.com", "kms:CallerAccount" : "111122223333" } }, {"Sid": "Allow access for key administrators", "Effect": "Allow", "Principal": {"AWS": "arn:aws:iam::111122223333:root" }, "Action" : [ "kms:*" ], "Resource": "arn:aws:kms:region
:111122223333:key/key_ID
" } ]
Consulte o Guia do desenvolvedor do AWS Key Management Service para obter mais informações sobre como especificar permissões em uma política e solucionar problemas de acesso à chave.
Monitoramento das chaves de criptografia do Amazon Forecast Service
Ao usar uma chave gerenciada pelo AWS KMS cliente com seus recursos do Amazon Forecast Service, você pode usar AWS CloudTrailo Amazon CloudWatch Logs para rastrear as solicitações enviadas pela Forecast AWS KMS. Os exemplos a seguir são AWS CloudTrail eventos paraCreateGrant
,RetireGrant
, e DescribeKey
para monitorar AWS KMS operações chamadas pelo Amazon Forecast para acessar dados criptografados pela chave gerenciada pelo cliente.
{ "eventVersion": "1.08", "userIdentity": { "type": "AssumedRole", "principalId": "
AROAIGDTESTANDEXAMPLE:Sampleuser01
", "arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01
", "accountId": "111122223333", "accessKeyId": "AKIAIOSFODNN7EXAMPLE3
", "sessionContext": { "sessionIssuer": { "type": "Role", "principalId": "AROAIGDTESTANDEXAMPLE:Sampleuser01
", "arn": "arn:aws:sts::111122223333:assumed-role/Admin/Sampleuser01
", "accountId": "111122223333", "userName": "Admin" }, "webIdFederationData": {}, "attributes": { "creationDate": "2022-10-05T21:16:23Z", "mfaAuthenticated": "false" } } }, "eventTime": "2022-10-05T21:16:23Z", "eventSource": "kms.amazonaws.com", "eventName": "DescribeKey", "awsRegion": "region
", "sourceIPAddress": "172.12.34.56", "userAgent": "ExampleDesktop/1.0 (V1; OS)", "requestParameters": { "keyId": "arn:aws:kms:region
:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE
" }, "responseElements": null, "requestID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE
", "eventID": "ff000af-00eb-00ce-0e00-ea000fb0fba0SAMPLE
", "readOnly": true, "resources": [ { "accountId": "111122223333", "type": "AWS::KMS::Key", "ARN": "arn:aws:kms:region
:111122223333:key/1234abcd-12ab-34cd-56ef-123456SAMPLE
" } ], "eventType": "AwsApiCall", "managementEvent": true, "recipientAccountId": "111122223333", "eventCategory": "Management", "tlsDetails": { "tlsVersion": "TLSv1.2", "cipherSuite": "ECDHE-RSA-AES256-GCM-SHA384", "clientProvidedHostHeader": "kms.region
.amazonaws.com" } }