As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Proteção de dados no Incident Manager
O modelo de responsabilidade AWS compartilhada modelo
Para fins de proteção de dados, recomendamos que você proteja Conta da AWS as credenciais e configure usuários individuais com AWS IAM Identity Center ou AWS Identity and Access Management (IAM). Dessa maneira, cada usuário receberá apenas as permissões necessárias para cumprir suas obrigações de trabalho. Recomendamos também que você proteja seus dados das seguintes formas:
-
Use uma autenticação multifator (MFA) com cada conta.
-
Use SSL/TLS para se comunicar com os recursos. AWS Exigimos TLS 1.2 e recomendamos TLS 1.3.
-
Configure a API e o registro de atividades do usuário com AWS CloudTrail. Para obter informações sobre o uso de CloudTrail trilhas para capturar AWS atividades, consulte Como trabalhar com CloudTrail trilhas no Guia AWS CloudTrail do usuário.
-
Use soluções de AWS criptografia, juntamente com todos os controles de segurança padrão Serviços da AWS.
-
Use serviços gerenciados de segurança avançada, como o Amazon Macie, que ajuda a localizar e proteger dados sigilosos armazenados no Amazon S3.
-
Se você precisar de módulos criptográficos validados pelo FIPS 140-3 ao acessar AWS por meio de uma interface de linha de comando ou de uma API, use um endpoint FIPS. Para obter mais informações sobre os endpoints FIPS disponíveis, consulte Federal Information Processing Standard (FIPS) 140-3
.
É altamente recomendável que nunca sejam colocadas informações confidenciais ou sigilosas, como endereços de e-mail de clientes, em tags ou campos de formato livre, como um campo Nome. Isso inclui quando você trabalha com o Incident Manager ou outro Serviços da AWS usando o console AWS CLI, a API ou AWS SDKs. Quaisquer dados inseridos em tags ou em campos de texto de formato livre usados para nomes podem ser usados para logs de faturamento ou de diagnóstico. Se você fornecer um URL para um servidor externo, é fortemente recomendável que não sejam incluídas informações de credenciais no URL para validar a solicitação nesse servidor.
Por padrão, o Incident Manager criptografa os dados em trânsito usando SSL/TLS.
Criptografia de dados
O Incident Manager usa as chaves AWS Key Management Service (AWS KMS) para criptografar seus recursos do Incident Manager. Para obter mais informações sobre AWS KMS, consulte o Guia do AWS KMS desenvolvedor. AWS KMS combina hardware e software seguros e de alta disponibilidade para fornecer um sistema de gerenciamento de chaves dimensionado para a nuvem. O Incident Manager criptografa seus dados usando a chave especificada e criptografa os metadados usando uma AWS chave própria. Para usar o Incident Manager, você deve configurar seu conjunto de replicação, o que inclui a configuração da criptografia. O Incident Manager requer criptografia de dados para uso.
Você pode usar uma chave AWS própria para criptografar seu conjunto de replicação ou pode usar sua própria chave gerenciada pelo cliente que você criou AWS KMS para criptografar as regiões em seu conjunto de replicação. O Incident Manager só oferece suporte a AWS KMS chaves de criptografia simétricas para criptografar seus dados criados nele. AWS KMS O Incident Manager não oferece suporte a AWS KMS chaves com material de chaves importadas, armazenamentos de chaves personalizados, Código de Autenticação de Mensagens (HMAC) baseado em Hash ou outros tipos de chaves. Se você usa chaves gerenciadas pelo cliente, usa o AWS KMS console
Há cobranças adicionais pelo uso de chaves gerenciadas pelo AWS KMS cliente. Para obter mais informações, consulte Conceitos de AWS KMS - Chaves KMS no Guia do desenvolvedor do AWS Key Management Service e Preços do AWS KMS
Importante
Se você usar uma AWS KMS key (chave KMS) para criptografar seu conjunto de replicação e os dados do Incident Manager, mas depois decidir excluir o conjunto de replicação, certifique-se de excluir o conjunto de replicação antes de desativar ou excluir a chave KMS.
Para permitir que o Incident Manager use sua chave gerenciada pelo cliente para criptografar seus dados, você deve adicionar as seguintes declarações de política à política de chave da sua chave gerenciada pelo cliente. Para saber mais sobre como configurar e alterar a política de chave em sua conta, consulte Como usar políticas de chaves AWS KMS no Guia do desenvolvedor AWS Key Management Service . A política a seguir fornece essas permissões:
-
Permite que o Incident Manager realize operações somente de leitura para encontrar o AWS KMS key Incident Manager em sua conta.
-
Permite que o Incident Manager use a chave KMS para criar concessões e descrever a chave, mas somente quando estiver agindo em nome dos diretores da conta que têm permissão para usar o Incident Manager. Se as entidades principais especificadas na instrução da política não tiverem permissão para usar as chaves KMS e o Incident Manager, a chamada falhará, mesmo se vier do serviço do Incident Manager.
{ "Sid": "Allow CreateGrant through AWS Systems Manager Incident Manager", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:user/ssm-lead" }, "Action": [ "kms:CreateGrant", "kms:DescribeKey" ], "Resource": "*", "Condition": { "StringLike": { "kms:ViaService": [ "ssm-incidents.amazonaws.com", "ssm-contacts.amazonaws.com" ] } } }
Substitua o valor de Principal pela entidade principal do IAM que criou seu conjunto de replicação.
O Incident Manager usa um contexto de criptografia em todas as solicitações AWS KMS de operações criptográficas. Você pode usar esse contexto de criptografia para identificar eventos de CloudTrail log nos quais o Incident Manager usa suas chaves KMS. O Incident Manager usa o seguinte contexto de criptografia:
-
contactArn=ARN of the contact or escalation plan
