Proteção de dados no Amazon VPC Lattice - Amazon VPC Lattice
Criptografia em trânsitoCriptografia em repouso

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Proteção de dados no Amazon VPC Lattice

O modelo de responsabilidade AWS compartilhada se aplica à proteção de dados no Amazon VPC Lattice. Conforme descrito neste modelo, AWS é responsável por proteger a infraestrutura global que executa todos os Nuvem AWS. Você é responsável por manter o controle sobre seu conteúdo hospedado nessa infraestrutura. Esse conteúdo inclui as tarefas de configuração e gerenciamento de segurança dos Serviços da AWS que você usa. Para obter mais informações sobre privacidade de dados, consulte Privacidade de dados FAQ. Para obter informações sobre proteção de dados na Europa, consulte o Modelo de Responsabilidade AWS Compartilhada e GDPR a postagem no blog AWS de segurança.

Criptografia em trânsito

VPCO Lattice é um serviço totalmente gerenciado que consiste em um plano de controle e um plano de dados. Cada ambiente serve a um propósito distinto no serviço. O plano de controle fornece o administrativo APIs usado para criar, ler/descrever, atualizar, excluir e listar (CRUDL) recursos (por exemplo, CreateService eUpdateService). As comunicações com o plano de controle VPC Lattice são protegidas em trânsito por. TLS O plano de dados é o VPC Lattice InvokeAPI, que fornece a interconexão entre os serviços. TLScriptografa as comunicações com o plano de dados VPC Lattice quando você usa HTTPS ou. TLS O conjunto de cifras e a versão do protocolo usam os padrões fornecidos pelo VPC Lattice e não são configuráveis. Para obter mais informações, consulte HTTPSouvintes de serviços VPC Lattice.

Criptografia em repouso

Por padrão, a criptografia de dados em repouso reduz a sobrecarga operacional e a complexidade envolvidas na proteção de dados confidenciais. Ao mesmo tempo, isso permite que você crie aplicações seguras que atendam aos rigorosos requisitos regulatórios e de conformidade de criptografia.

Criptografia do lado do servidor com chaves gerenciadas do Amazon S3 (-S3) SSE

Quando você usa criptografia do lado do servidor com chaves gerenciadas do Amazon S3 (SSE-S3), cada objeto é criptografado com uma chave exclusiva. Como proteção adicional, criptografamos a chave em si com uma chave raiz que rotacionamos regularmente. A criptografia do lado do servidor Amazon S3 usa uma das cifras de bloco mais fortes disponíveis, o Advanced Encryption Standard de 256 bits (-256), para criptografar seus dados. AES GCM Para objetos criptografados antes de AES -GCM, AES - ainda CBC há suporte para descriptografar esses objetos. Para obter mais informações, consulte Uso da criptografia do lado do servidor com chaves de criptografia gerenciadas pelo Amazon S3 (-S3). SSE

Se você habilitar a criptografia do lado do servidor com chaves de criptografia gerenciadas pelo Amazon S3 (SSE-S3) para seu bucket do S3 para registros de acesso do VPC Lattice, criptografaremos automaticamente cada arquivo de log de acesso antes que ele seja armazenado em seu bucket do S3. Para obter mais informações, consulte Registros enviados para o Amazon S3 no Guia CloudWatch do usuário da Amazon.

Criptografia do lado do servidor com AWS KMS chaves armazenadas em AWS KMS (-) SSE KMS

A criptografia do lado do servidor com AWS KMS chaves (SSE-KMS) é semelhante à SSE -S3, mas com benefícios e cobranças adicionais pelo uso desse serviço. Há permissões separadas para a AWS KMS chave que fornecem proteção adicional contra o acesso não autorizado de seus objetos no Amazon S3. SSE- KMS também fornece uma trilha de auditoria que mostra quando e por quem sua AWS KMS chave foi usada. Para obter mais informações, consulte Usando criptografia do lado do servidor com AWS Key Management Service (SSE-). KMS

Criptografia e decodificação da chave privada do seu certificado

Seu ACM certificado e sua chave privada são criptografados usando uma KMS chave AWS gerenciada que tem o alias aws/acm. Você pode ver o ID da chave com esse alias no AWS KMS console, em chaves AWS gerenciadas.

VPCO Lattice não acessa diretamente seus ACM recursos. Ele usa o Gerenciador de AWS TLS Conexões para proteger e acessar as chaves privadas do seu certificado. Quando você usa seu ACM certificado para criar um serviço Lattice, o VPC VPC Lattice associa seu certificado ao Connection Manager. AWS TLS Isso é feito criando uma concessão em AWS KMS relação à sua chave AWS gerenciada com o prefixo aws/acm. Uma concessão é um instrumento de política que permite que o TLS Connection Manager use KMS chaves em operações criptográficas. A concessão permite que o principal beneficiário (Gerenciador de TLS Conexões) chame as operações de concessão especificadas na KMS chave para descriptografar a chave privada do seu certificado. TLSO Gerenciador de Conexões então usa o certificado e a chave privada descriptografada (texto simples) para estabelecer uma conexão segura (SSL/TLSsessão) com clientes dos serviços Lattice. VPC Quando o certificado é desassociado de um serviço do VPC Lattice, o subsídio é retirado.

Se você quiser remover o acesso à KMS chave, recomendamos que você substitua ou exclua o certificado do serviço usando o AWS Management Console ou o update-service comando no AWS CLI.

Contexto de criptografia para VPC Lattice

Um contexto de criptografia é um conjunto opcional de pares de valores-chave que contêm informações contextuais sobre para que sua chave privada pode ser usada. AWS KMS vincula o contexto de criptografia aos dados criptografados e os usa como dados autenticados adicionais para oferecer suporte à criptografia autenticada.

Quando suas TLS chaves são usadas com o VPC Lattice e o TLS Connection Manager, o nome do seu serviço VPC Lattice é incluído no contexto de criptografia usado para criptografar sua chave em repouso. Você pode verificar para qual serviço do VPC Lattice seu certificado e sua chave privada estão sendo usados visualizando o contexto de criptografia em seus CloudTrail registros, conforme mostrado na próxima seção, ou examinando a guia Recursos associados no ACM console.

Para descriptografar os dados, o mesmo contexto de criptografia é incluído na solicitação. VPCO Lattice usa o mesmo contexto de criptografia em todas as operações AWS KMS criptográficas, onde a chave está aws:vpc-lattice:arn e o valor é o Amazon Resource Name (ARN) do serviço VPC Lattice.

O exemplo a seguir mostra o contexto de criptografia na saída de uma operação comoCreateGrant.

"encryptionContextEquals": {
    "aws:acm:arn": "arn:aws:acm:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
    "aws:vpc-lattice:arn": "arn:aws:vpc-lattice:us-west-2:111122223333:service/svc-0b23c1234567890ab"
}

Monitorando suas chaves de criptografia para o VPC Lattice

Quando você usa uma chave AWS gerenciada com seu serviço VPC Lattice, você pode usar AWS CloudTrailpara rastrear as solicitações para as quais o VPC Lattice envia. AWS KMS

CreateGrant

Quando você adiciona seu ACM certificado a um serviço VPC Lattice, uma CreateGrant solicitação é enviada em seu nome para que o TLS Connection Manager possa descriptografar a chave privada associada ao seu certificado ACM

Você pode ver a CreateGrant operação como um evento em CloudTrail, Histórico de eventos, CreateGrant.

Veja a seguir um exemplo de registro de CloudTrail evento no histórico de eventos da CreateGrant operação.

{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "IAMUser",
        "principalId": "EX_PRINCIPAL_ID",
        "arn": "arn:aws:iam::111122223333:user/Alice",
        "accountId": "111122223333",
        "accessKeyId": "EXAMPLE_KEY_ID",
        "sessionContext": {
            "sessionIssuer": {
                "type": "IAMUser",
                "principalId": "EX_PRINCIPAL_ID",
                "arn": "arn:aws:iam::111122223333:user/Alice",
                "accountId": "111122223333",
                "userName": "Alice"
            },
            "webIdFederationData": {},
            "attributes": {
                "creationDate": "2023-02-06T23:30:50Z",
                "mfaAuthenticated": "false"
            }
        },
        "invokedBy": "acm.amazonaws.com"
    },
    "eventTime": "2023-02-07T00:07:18Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "CreateGrant",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "acm.amazonaws.com",
    "userAgent": "acm.amazonaws.com",
    "requestParameters": {
        "granteePrincipal": "tlsconnectionmanager.amazonaws.com",
        "keyId": "1234abcd-12ab-34cd-56ef-1234567890ab",
        "operations": [
            "Decrypt"
        ],
        "constraints": {
            "encryptionContextEquals": {
                "aws:acm:arn": "arn:aws:acm:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
                "aws:vpc-lattice:arn": "arn:aws:vpc-lattice:us-west-2:111122223333:service/svc-0b23c1234567890ab"
            }
        },
        "retiringPrincipal": "acm.us-west-2.amazonaws.com"
    },
    "responseElements": {
        "grantId": "f020fe75197b93991dc8491d6f19dd3cebb24ee62277a05914386724f3d48758",
        "keyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
    },
    "requestID": "ba178361-8ab6-4bdd-9aa2-0d1a44b2974a",
    "eventID": "8d449963-1120-4d0c-9479-f76de11ce609",
    "readOnly": false,
    "resources": [
        {
            "accountId": "111122223333",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "111122223333",
    "eventCategory": "Management"
}

No CreateGrant exemplo acima, o principal beneficiário é o TLS Connection Manager e o contexto de criptografia tem o serviço VPC Lattice. ARN

ListGrants

Você pode usar seu ID de KMS chave e seu ID de conta para ligar para ListGrants API o. Isso fornece uma lista de todas as concessões para a KMS chave especificada. Para obter mais informações, consulte ListGrants.

Use o ListGrants comando a seguir no AWS CLI para ver os detalhes de todas as concessões.

aws kms list-grants —key-id your-kms-key-id

O seguinte é um exemplo de saída.

{
    "Grants": [
        {
            "Operations": [
                "Decrypt"
            ], 
            "KeyId": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab", 
            "Name": "IssuedThroughACM", 
            "RetiringPrincipal": "acm.us-west-2.amazonaws.com", 
            "GranteePrincipal": "tlsconnectionmanager.amazonaws.com", 
            "GrantId": "f020fe75197b93991dc8491d6f19dd3cebb24ee62277a05914386724f3d48758", 
            "IssuingAccount": "arn:aws:iam::111122223333:root", 
            "CreationDate": "2023-02-06T23:30:50Z", 
            "Constraints": {
                "encryptionContextEquals": {
                  "aws:acm:arn": "arn:aws:acm:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
                  "aws:vpc-lattice:arn": "arn:aws:vpc-lattice:us-west-2:111122223333:service/svc-0b23c1234567890ab"
                }
            }
        }
    ]
}

No ListGrants exemplo acima, o principal beneficiário é o TLS Connection Manager e o contexto de criptografia tem o serviço VPC Lattice. ARN

Decrypt

VPCO Lattice usa o Gerenciador de TLS Conexões para chamar a Decrypt operação para descriptografar sua chave privada a fim de servir TLS conexões em seu serviço Lattice. VPC Você pode ver a Decrypt operação como um evento em Histórico de CloudTraileventos, Decrypt.

Veja a seguir um exemplo de registro de CloudTrail evento no histórico de eventos da Decrypt operação.

{
    "eventVersion": "1.08",
    "userIdentity": {
        "type": "AWSService",
        "invokedBy": "tlsconnectionmanager.amazonaws.com"
    },
    "eventTime": "2023-02-07T00:07:23Z",
    "eventSource": "kms.amazonaws.com",
    "eventName": "Decrypt",
    "awsRegion": "us-west-2",
    "sourceIPAddress": "tlsconnectionmanager.amazonaws.com",
    "userAgent": "tlsconnectionmanager.amazonaws.com",
    "requestParameters": {
        "encryptionContext": {
            "aws:acm:arn": "arn:aws:acm:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab",
            "aws:vpc-lattice:arn": "arn:aws:vpc-lattice:us-west-2:111122223333:service/svc-0b23c1234567890ab"
        },
        "encryptionAlgorithm": "SYMMETRIC_DEFAULT"
    },
    "responseElements": null,
    "requestID": "12345126-30d5-4b28-98b9-9153da559963",
    "eventID": "abcde202-ba1a-467c-b4ba-f729d45ae521",
    "readOnly": true,
    "resources": [
        {
            "accountId": "111122223333",
            "type": "AWS::KMS::Key",
            "ARN": "arn:aws:kms:us-west-2:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab"
        }
    ],
    "eventType": "AwsApiCall",
    "managementEvent": true,
    "recipientAccountId": "111122223333",
    "sharedEventID": "abcde202-ba1a-467c-b4ba-f729d45ae521",
    "eventCategory": "Management"
}