Selecione suas preferências de cookies

Usamos cookies essenciais e ferramentas semelhantes que são necessárias para fornecer nosso site e serviços. Usamos cookies de desempenho para coletar estatísticas anônimas, para que possamos entender como os clientes usam nosso site e fazer as devidas melhorias. Cookies essenciais não podem ser desativados, mas você pode clicar em “Personalizar” ou “Recusar” para recusar cookies de desempenho.

Se você concordar, a AWS e terceiros aprovados também usarão cookies para fornecer recursos úteis do site, lembrar suas preferências e exibir conteúdo relevante, incluindo publicidade relevante. Para aceitar ou recusar todos os cookies não essenciais, clique em “Aceitar” ou “Recusar”. Para fazer escolhas mais detalhadas, clique em “Personalizar”.

Proteção de dados no AWS Snowball Edge

Modo de foco
Proteção de dados no AWS Snowball Edge - Guia do desenvolvedor do AWS Snowball Edge

O AWS Snowball está em conformidade com o modelo de responsabilidade compartilhada da AWS, que inclui regulamentos e diretrizes de proteção de dados. A AWS é responsável por proteger a infraestrutura global que executa todos os serviços da AWS. A AWS mantém controle dos dados hospedados nessa infraestrutura, incluindo os controles de configuração de segurança para lidar com o conteúdo e com os dados pessoais do cliente. Os clientes da AWS e os parceiros do APN, atuando como controladores ou processadores de dados, são responsáveis por todos os dados pessoais que colocam na Nuvem AWS.

Para fins de proteção de dados, recomendamos que você proteja as credenciais da sua Conta da AWS e configure contas de usuário individuais com o AWS Identity and Access Management de modo que cada usuário receba somente as permissões necessárias para cumprir suas funções. Recomendamos também que você proteja seus dados das seguintes formas:

  • Use uma autenticação multifator (MFA) com cada conta.

  • Use SSL/TLS para se comunicar com os recursos da AWS. Recomendamos TLS 1.2 ou posterior.

  • Configure o registro em log das atividades da API e do usuário com o AWS CloudTrail.

  • Use as soluções de criptografia da AWS, juntamente com todos os controles de segurança padrão nos serviços da AWS.

  • Use serviços gerenciados de segurança avançada, como o Amazon Macie, que ajuda a localizar e proteger dados pessoais armazenados no Amazon S3.

  • Se você precisar de módulos criptográficos validados pelo FIPS 140-2 ao acessar a AWS por meio de uma interface de linha de comando ou uma API, use um endpoint do FIPS. Para obter mais informações sobre endpoints do FIPS, consulte Federal Information Processing Standard (FIPS) 140-2.

É altamente recomendável que você nunca coloque informações de identificação confidenciais, como números de conta dos seus clientes, em campos de formato livre, como um campo Nome. Isso também vale para o uso do AWS Snowball ou de outros serviços da AWS com o console, a API, a AWS CLI ou os AWS SDKs. Todos os dados inseridos por você no AWS Snowball ou em outros serviços podem ser separados para inclusão em logs de diagnóstico. Ao fornecer um URL para um servidor externo, não inclua informações de credenciais no URL para validar a solicitação a esse servidor.

Para mais informações sobre proteção de dados, consulte a publicação Modelo de responsabilidade compartilhada da AWS e do GDPR no Blog de segurança da AWS.

Proteção de dados na nuvem

O AWS Snowball protege os dados quando você está importando ou exportando dados para o Amazon S3, quando cria um trabalho para solicitar um dispositivo da família Snow e quando ele é atualizado. As seções a seguir descrevem como você pode proteger seus dados quando você usa o Snowball Edge e está online ou interagindo com a AWS na nuvem.

Criptografia para AWS Snowball Edge

Quando você estiver usando um Snowball Edge para importar dados para S3, todos os dados transferidos para um dispositivo são protegidos por criptografia SSL pela rede. Para proteger dados em repouso, o AWS Snowball Edge usa criptografia do lado do servidor (SSE).

Criptografia do lado do servidor no AWS Snowball Edge

O AWS Snowball Edge dá suporte à criptografia do lado do servidor com chaves de criptografia gerenciadas pelo Amazon S3 (SSE-S3). A criptografia do lado do servidor tem a ver com proteção de dados em repouso, e o SSE-S3 tem criptografia multifator forte para proteger os dados em repouso no Amazon S3. Para obter mais informações sobre o SSE-S3, consulte Proteção de dados usando criptografia do lado do servidor com chaves de criptografia gerenciadas pelo Amazon S3 (SSE-S3) no Manual do usuário do Amazon Simple Storage Service.

No momento, o AWS Snowball Edge não oferece suporte à criptografia do lado do servidor usando as chaves de criptografia fornecidas pelo cliente (SSE-C). O armazenamento compatível com o Amazon S3 em dispositivos da família Snow oferece SSE-C para trabalhos de computação e de armazenamento locais. No entanto, você pode usar esse tipo de SSE para proteger dados que foram importados, ou talvez você já a esteja usando nos dados que deseja exportar. Nesses casos, tenha em mente o seguinte:

  • Importar:

    Se quiser usar SSE-C para criptografar os objetos que importou para o Amazon S3, prefira a criptografia SSE-KMS ou SSE-S3 estabelecida como parte da política desse bucket. No entanto, se você precisar usar o SSE-C para criptografar os objetos que você importou para o Amazon S3, precisará copiar o objeto dentro do seu bucket para criptografar com o SSE-C. Um exemplo de comando CLI para fazer isso é mostrado abaixo:

    aws s3 cp s3://amzn-s3-demo-bucket/object.txt s3://amzn-s3-demo-bucket/object.txt --sse-c --sse-c-key 1234567891SAMPLEKEY

    ou

    aws s3 cp s3://amzn-s3-demo-bucket s3://amzn-s3-demo-bucket --sse-c --sse-c-key 1234567891SAMPLEKEY --recursive
  • Exportar: se quiser exportar objetos criptografados com SSE-SSE, copie esses objetos para outro bucket que não tenha criptografia do lado do servidor ou que tenha SSE-KMS ou SSE-S3 especificada na política desse bucket.

Habilitação de SSE-S3 para dados importados para o Amazon S3 de um Snowball Edge

Use o procedimento a seguir no Console de Gerenciamento do Amazon S3 para ativar o SSE-S3 para dados importados para o Amazon S3. Nenhuma configuração é necessária no Console de Gerenciamento da família AWS Snow ou no próprio dispositivo do Snowball.

Para habilitar a criptografia SSE-S3 para os dados que você estiver importando para o Amazon S3, defina as políticas de bucket para todos os buckets para os quais você estiver importando dados. Você atualiza as políticas para negar a permissão de objeto de upload (s3:PutObject) se a solicitação de upload não incluir o cabeçalho x-amz-server-side-encryption.

Para habilitar o SSE-S3 para dados importados para o Amazon S3
  1. Faça login no AWS Management Console e abra o console do Amazon S3 em https://console.aws.amazon.com/s3/.

  2. Selecione o bucket para o qual você deseja importar os dados na lista de buckets.

  3. Escolha Permissões.

  4. Escolha Bucket Policy.

  5. No Bucket policy editor, insira a política a seguir. Substitua todas as instâncias de YourBucket nessa política com o nome real do seu bucket.

    { "Version": "2012-10-17", "Id": "PutObjPolicy", "Statement": [ { "Sid": "DenyIncorrectEncryptionHeader", "Effect": "Deny", "Principal": "*", "Action": "s3:PutObject", "Resource": "arn:aws:s3:::YourBucket/*", "Condition": { "StringNotEquals": { "s3:x-amz-server-side-encryption": "AES256" } } }, { "Sid": "DenyUnEncryptedObjectUploads", "Effect": "Deny", "Principal": "*", "Action": "s3:PutObject", "Resource": "arn:aws:s3:::YourBucket/*", "Condition": { "Null": { "s3:x-amz-server-side-encryption": "true" } } } ] }
  6. Escolha Salvar.

Você acabou de configurar seu bucket do Amazon S3. Quando os dados são importados para esse bucket, eles são protegidos pelo SSE-S3. Repita esse procedimento para qualquer outro bucket, conforme necessário.

AWS Key Management Service no AWS Snowball Edge

O AWS Key Management Service (AWS KMS) é um serviço gerenciado que facilita a criação e o controle das chaves de criptografia usadas para criptografar dados. O AWS KMS usa os módulos de segurança de hardware (HSMs) para garantir a segurança das chaves. Especificamente, o nome do recurso da Amazon (ARN) para a chave do AWS KMS escolhida para um trabalho no AWS Snowball Edge está associado a uma chave KMS. Essa chave do KMS é usada para criptografar o código de desbloqueio do trabalho. O código de desbloqueio é usado para descriptografar a camada superior de criptografia no arquivo manifesto. As chaves de criptografia armazenadas no arquivo manifesto são usadas para criptografar e descriptografar dados no dispositivo.

No AWS Snowball Edge, o AWS KMS protege as chaves de criptografia usadas para proteger os dados em cada dispositivo do AWS Snowball Edge. Ao criar o trabalho, você também pode escolher uma chave KMS existente. Especificar o ARN para uma chave do AWS KMS aponta ao AWS Snowball qual AWS KMS keys deve ser usada para criptografar as chaves exclusivas no dispositivo AWS Snowball Edge. Para obter mais informações sobre a criptografia do lado do servidor do Amazon S3 com suporte no AWS Snowball Edge, consulte Criptografia do lado do servidor no AWS Snowball Edge.

Usando o cliente gerenciado do AWS KMS keys para Snowball Edge

Se você quiser usar o cliente gerenciado do AWS KMS keys para Snowball Edge criado para sua conta, siga estas etapas.

Para selecionar a AWS KMS keys para seu trabalho
  1. No Console de Gerenciamento da família AWS Snow, escolha Criar trabalho.

  2. Selecione o tipo de trabalho e, em seguida, Avançar.

  3. Forneça os dados de entrega e, em seguida, escolha Avançar.

  4. Preencha os dados do trabalho e, em seguida, escolha Avançar.

  5. Defina as opções de segurança. Em Criptografia, para Chave KMS, selecione a Chave gerenciada pela AWS ou uma chave personalizada que tenha sido criada anteriormente no AWS KMS, ou escolha Inserir ARN da chave, se precisar inserir uma chave pertencente a uma conta separada.

    nota

    O ARN do AWS KMS key é um identificador globalmente exclusivo para chaves gerenciadas pelo cliente.

  6. Escolha Próximo para terminar de selecionar seu AWS KMS key.

  7. Conceda acesso à chave do KMS ao usuário do IAM do dispositivo Snow.

    1. No console do IAM (https://console.aws.amazon.com/iam/), acesse Chaves de criptografia e abra a chave KMS que você escolheu usar para criptografar os dados no dispositivo.

    2. Em Usuários chave, selecione Adicionar, pesquise o usuário do IAM do dispositivo Snow e selecione Anexar.

Criação de uma chave de criptografia de envelope do KMS personalizada

Você tem a opção de usar uma própria chave de criptografia envelopada do AWS KMS personalizada com o AWS Snowball Edge. Se optar por criar uma chave própria, ela deve ser criada na mesma região em que o trabalho foi criado.

Para criar sua própria chave do AWS KMS para um trabalho, consulte Criação de chaves no Guia do desenvolvedor do AWS Key Management Service.

Proteção de dados no seu dispositivo

Proteger seu AWS Snowball Edge

Veja a seguir alguns pontos de segurança que recomendamos que sejam levados em consideração ao usar o AWS Snowball Edge, bem como algumas informações de alto nível sobre outras precauções de segurança que tomamos quando um dispositivo chega à AWS para processamento.

Recomendamos as seguintes abordagens de segurança:

  • Assim que o dispositivo chegar, inspecione-o para ver se está danificado ou se apresenta alguma violação evidente. Se observar qualquer coisa que pareça suspeita sobre o dispositivo, não o conecte à rede interna. Em vez disso, entre em contato com o AWS Support, e você receberá um novo dispositivo.

  • Você deve fazer um esforço para proteger as credenciais de trabalho contra divulgação. Qualquer pessoa que tiver acesso a um manifesto e código de desbloqueio do trabalho pode acessar o conteúdo do dispositivo enviado para esse trabalho.

  • Não deixe o dispositivo parado em uma plataforma de carregamento. Deixá-lo em uma plataforma de carregamento pode expô-lo à intempérie. Embora os dispositivos do AWS Snowball Edge sejam resistentes, o clima pode danificar até o hardware mais resistente. Relate dispositivos roubados, perdidos ou quebrados o mais rápido possível. Quanto antes um problema for relatado, tanto antes será possível enviar outro para fazer o trabalho.

nota

Os dispositivos do AWS Snowball Edge são propriedade da AWS. Adulterar um dispositivo representa uma violação da Política de uso aceitável da AWS. Para obter mais informações, consulte http://aws.amazon.com/aup/.

Nós executamos as seguintes etapas de segurança:

  • Ao transferir dados com o adaptador do Amazon S3, os metadados de objeto não são mantidos. Os únicos metadados que permanecem os mesmos são filename e filesize. Todos os outros metadados são definidos como no exemplo a seguir: -rw-rw-r-- 1 root root [filesize] Dec 31 1969 [path/filename]

  • Ao transferir dados com a interface de arquivos, os metadados de objeto são mantidos.

  • Quando um dispositivo chega à AWS, nós o inspecionamos para ver se apresenta sinais de violação e para verificar se foram detectadas alterações pelo Trusted Platform Module (TPM). O AWS Snowball Edge usa várias camadas de segurança projetadas para proteger os dados, incluindo gabinetes invioláveis, criptografia de 256 bits e um TPM padrão do setor projetado para fornecer segurança e uma rede de proteção completa dos dados.

  • Assim que um trabalho de transferência de dados tiver sido processado e verificado, a AWS executa um apagamento de software do dispositivo do Snowball que segue as diretrizes de limpeza de mídia do Instituto Nacional de Padrões e Tecnologia (NIST).

Validação de tags NFC

Os dispositivos Snowball Edge otimizado para computação e Snowball Edge otimizado para armazenamento (para transferência de dados) têm tags NFC incorporadas. Você pode digitalizar essas tags com o aplicativo de verificação do AWS Snowball Edge, disponível para Android. Digitalizar e validar essas tags NFC pode ajudar você a verificar se o dispositivo não foi adulterado antes de usá-lo.

A validação de tags NFC inclui o uso de cliente Snowball Edge Client para gerar um código QR específico do dispositivo para verificar se as tags são para o dispositivo certo.

O procedimento a seguir descreve como validar as tags NFC em um dispositivo Snowball Edge. Antes de começar, verifique se você primeiramente executou as cinco etapas a seguir do exercício de conceitos básicos:

  1. Crie seu trabalho do Snowball Edge. Para ter mais informações, consulte Criar um trabalho para solicitar um dispositivo da família Snow.

  2. Receba o dispositivo. Para ter mais informações, consulte Receber o Snowball Edge.

  3. Conecte-se à sua rede local. Para ter mais informações, consulte Conectar um dispositivo da família Snow à rede local.

  4. Obtenha suas credenciais e ferramentas. Para ter mais informações, consulte Receber as credenciais para acessar um dispositivo da família Snow.

  5. Faça o download e instale o Snowball Edge Client. Para ter mais informações, consulte Baixar e instalar o Snowball Edge Client.

Para validar as etiquetas NFC
  1. Execute o comando do cliente Snowball Edge snowballEdge get-app-qr-code. Se você executar esse comando para um nó em um cluster, forneça o número de série (--device-sn) para obter um código QR para um único nó. Repita essa etapa para cada nó no cluster. Para obter mais informações sobre o uso desse comando, consulte Receber um código QR para validar as tags NFC do Snowball Edge.

    O código QR é salvo em um local de sua escolha como um arquivo .png.

  2. Navegue até o arquivo .png que salvou e abra-o para que você possa digitalizar o código QR com o aplicativo.

  3. Você pode digitalizar essas tags usando o aplicativo de verificação do AWS Snowball Edge no Android.

    nota

    O aplicativo de verificação do AWS Snowball Edge não está disponível para download, mas se você tiver um dispositivo com o aplicativo já instalado, poderá usá-lo.

  4. Inicie o aplicativo e siga as instruções na tela.

Agora, você digitalizou e validou as tags NFC com êxito para o dispositivo.

Se você tiver problemas durante a digitalização, tente o seguinte:

  • Confirme se o dispositivo tem as opções otimizadas para computação do Snowball Edge (com ou sem GPU).

  • Se você tiver o aplicativo em outro dispositivo, tente usar esse dispositivo.

  • Mova o dispositivo para uma área isolada da sala, longe de interferência de outras tags NFC e tente novamente.

  • Se os problemas persistirem, entre em contato com o AWS Support.

PrivacidadeTermos do sitePreferências de cookies
© 2025, Amazon Web Services, Inc. ou suas afiliadas. Todos os direitos reservados.