Proteção de dados no AWS X-Ray - AWS X-Ray

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Proteção de dados no AWS X-Ray

O AWS X-Ray sempre criptografa rastreamentos e dados relacionados em repouso. Quando precisar auditar e desabilitar as chaves de criptografia devido a exigências internas ou de conformidade, você poderá configurar o X-Ray para usar uma chave do AWS Key Management Service (AWS KMS) para criptografar dados.

O X-Ray fornece uma Chave gerenciada pela AWS chamada aws/xray. Use essa chave quando quiser apenas auditar o uso da chave no AWS CloudTrail e não precisar gerenciar a chave em si. Quando precisar gerenciar o acesso à chave ou configurar a alternância de chaves, você poderá criar uma chave gerenciada pelo cliente.

Quando você altera as configurações de criptografia, o X-Ray leva algum tempo para gerar e propagar as chaves de dados. Embora a nova chave esteja sendo processada, o X-Ray poderá criptografar os dados com a combinação de configurações novas e antigas. Os dados existentes não são criptografados novamente quando você altera as configurações de criptografia.

nota

O AWS KMS incorre em custos quando o X-Ray usa uma chave do KMS para criptografar ou descriptografar dados de rastreamento.

  • Criptografia padrão: gratuita.

  • Chave gerenciada pela AWS: pague pelo uso da chave.

  • Chave gerenciada pelo cliente: pague pelo armazenamento e uso da chave.

Consulte AWS Key Management Service Pricing para obter detalhes.

nota

As notificações de insights do X-Ray enviam eventos para o Amazon EventBridge, que no momento não permite chaves gerenciadas pelo cliente. Para obter mais informações, consulte Data Protection in Amazon EventBridge.

Você deve ter acesso no nível de usuário a uma chave gerenciada pelo cliente para configurar o X-Ray para usá-la e, em seguida, visualizar os rastreamentos criptografados. Consulte Permissões de usuário para criptografia para obter mais informações.

CloudWatch console
Como configurar o X-Ray para usar uma chave do KMS para criptografia utilizando o console do CloudWatch

  1. Faça login no AWS Management Console e abra o console do CloudWatch em https://console.aws.amazon.com/cloudwatch/.

  2. Escolha Configurações no painel de navegação à esquerda.

  3. Escolha Ver configurações em Criptografia na seção Rastreamentos do X-Ray.

  4. Escolha Editar na seção Configuração da criptografia.

  5. Escolha Usar uma chave do KMS.

  6. Escolha uma chave de acesso no menu suspenso:

    • aws/xray: use a Chave gerenciada pela AWS.

    • Alias de chave: use uma chave gerenciada pelo cliente na sua conta.

    • Inserir um ARN de chave manualmente: use uma chave gerenciada pelo cliente em uma conta diferente. Insira o nome do recurso da Amazon (ARN) completo da chave no campo exibido.

  7. Escolha Atualizar criptografia.

X-Ray console
Como configurar o X-Ray para usar uma chave do KMS para criptografia usando o console do X-Ray

  1. Abra o console do X-Ray.

  2. Escolha Encryption.

  3. Escolha Usar uma chave do KMS.

  4. Escolha uma chave de acesso no menu suspenso:

    • aws/xray: use a Chave gerenciada pela AWS.

    • Alias de chave: use uma chave gerenciada pelo cliente na sua conta.

    • Inserir um ARN de chave manualmente: use uma chave gerenciada pelo cliente em uma conta diferente. Insira o nome do recurso da Amazon (ARN) completo da chave no campo exibido.

  5. Escolha Aplicar.

nota

O X-Ray não aceita chaves do KMS assimétricas.

Se o X-Ray não conseguir acessar sua chave de criptografia, ele interromperá o armazenamento de dados. Isso poderá acontecer se o usuário perder o acesso à chave do KMS ou se você desabilitar uma chave em uso no momento. Quando isso acontece, o X-Ray exibe uma notificação na barra de navegação.

Para definir as configurações de criptografia com a API do X-Ray, consulte Definindo configurações de amostragem, grupos e criptografia com a API X-Ray.