# Protección de datos en Amazon API Gateway
El [modelo de responsabilidad compartida](https://aws.amazon.com/compliance/shared-responsibility-model/) de AWS se aplica a la protección de datos en Amazon API Gateway. Como se describe en este modelo, AWS es responsable de proteger la infraestructura global que ejecuta toda la Nube de AWS. Usted es responsable de mantener el control sobre el contenido alojado en esta infraestructura. Usted también es responsable de las tareas de administración y configuración de seguridad para los Servicios de AWS que utiliza. Para obtener más información sobre la privacidad de los datos, consulte las [Preguntas frecuentes sobre la privacidad de datos](https://aws.amazon.com/compliance/data-privacy-faq/). Para obtener información sobre la protección de datos en Europa, consulte la publicación de blog sobre el [Modelo de responsabilidad compartida de AWS y GDPR](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) en el * Blog de seguridad de AWS*.
Con fines de protección de datos, recomendamos proteger las credenciales de la Cuenta de AWS y configurar cuentas de usuario individuales con AWS IAM Identity Center o AWS Identity and Access Management (IAM). De esta manera, solo se otorgan a cada usuario los permisos necesarios para cumplir sus obligaciones laborales. También recomendamos proteger sus datos de la siguiente manera:
+ Utilice la autenticación multifactor (MFA) en cada cuenta.
+ Utilice SSL/TLS para comunicarse con los recursos de AWS. Se recomienda el uso de TLS 1.2 y recomendamos TLS 1.3.
+ Configure los registros de API y de actividad de los usuarios con AWS CloudTrail. Para obtener información sobre cómo utilizar registros de seguimiento de CloudTrail para capturar actividades de AWS, consulte [Working with CloudTrail trails](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) en la *Guía del usuario de AWS CloudTrail*.
+ Utilice las soluciones de cifrado de AWS, junto con todos los controles de seguridad predeterminados dentro de los servicios de Servicios de AWS.
+ Utilice servicios de seguridad administrados avanzados, como Amazon Macie, que lo ayuden a detectar y proteger los datos confidenciales almacenados en Amazon S3.
+ Si necesita módulos criptográficos validados FIPS 140-3 al acceder a AWS a través de una interfaz de línea de comandos o una API, utilice un punto de conexión de FIPS. Para obtener más información sobre los puntos de conexión de FIPS disponibles, consulte [Estándar de procesamiento de la información federal (FIPS) 140-3](https://aws.amazon.com/compliance/fips/).
Se recomienda encarecidamente no introducir nunca información confidencial o sensible, como, por ejemplo, direcciones de correo electrónico de clientes, en etiquetas o campos de formato libre, tales como el campo **Nombre**. Esto incluye cuando trabaje con API Gateway u otros Servicios de AWS a través de la consola, la API, la AWS CLI o los AWS SDK. Cualquier dato que ingrese en etiquetas o campos de formato libre utilizados para nombres se puede emplear para los registros de facturación o diagnóstico. Si proporciona una URL a un servidor externo, recomendamos encarecidamente que no incluya información de credenciales en la URL a fin de validar la solicitud para ese servidor.
# Cifrado de datos en Amazon API Gateway
La protección de datos consiste en proteger los datos mientras están en tránsito (cuando viajan a y desde API Gateway) y en reposo (mientras están almacenados en AWS).
## Cifrado de datos en reposo en Amazon API Gateway
Si elige habilitar el almacenamiento en caché para una API de REST, puede habilitar el cifrado en caché. Para obtener más información, consulte [Configuración de caché para las API de REST en API Gateway](api-gateway-caching.md).
Para obtener más información sobre la protección de datos, consulte la entrada de blog relativa al [modelo de responsabilidad compartida de AWS y GDPR](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) en el *blog de seguridad de AWS*.
### Cifrado y descifrado de la clave privada de su certificado
Cuando crea un nombre de dominio personalizado para API privadas, su certificado de ACM y su clave privada se cifran con una clave KMS administrada de AWS que tiene el alias **aws/acm**. Puede ver el ID de la clave con este alias en la consola de AWS KMS, en **Claves administradas de AWS**.
API Gateway no accede directamente a sus recursos de ACM. Utiliza AWS TLS Connection Manager para proteger las claves privadas de su certificado y acceder a ellas. Cuando usa su certificado de ACM para crear un nombre de dominio personalizado para API privadas de API Gateway, API Gateway asocia su certificado a AWS TLS Connection Manager. Para ello, se crea una concesión en AWS KMS para la clave administrada de AWS con el prefijo **aws/acm**. Una concesión es un instrumento de política que permite que TLS Connection Manager use claves KMS en operaciones criptográficas. La concesión le permite a la entidad principal beneficiaria (TLS Connection Manager) llamar a las operaciones de concesión especificadas en la clave KMS para descifrar la clave privada de su certificado. TLS Connection Manager utiliza entonces el certificado y la clave privada descifrada (texto sin formato) para establecer una conexión segura (sesión SSL/TLS) con los clientes de los servicios de API Gateway. Cuando el certificado se desvincula de un nombre de dominio personalizado de API Gateway para API privadas, la concesión se retira.
Si desea eliminar el acceso a la clave KMS, le recomendamos que sustituya o elimine el certificado del servicio usando la Consola de administración de AWS o el comando `update-service` en la AWS CLI.
### Contexto de cifrado para API Gateway
Un [contexto de cifrado](https://docs.aws.amazon.com/kms/latest/developerguide/encrypt_context.html) es un conjunto de pares valor-clave opcional que contiene información contextual sobre los usos posibles de la clave privada. AWS KMS asocia el contexto de cifrado a los datos cifrados y lo utiliza como información autenticada adicional para permitir el cifrado autenticado.
Cuando las claves TLS se utilizan con API Gateway y TLS Connection Manager, el nombre del servicio de API Gateway se incluye en el contexto de cifrado utilizado para cifrar la clave en reposo. Para comprobar para qué nombre de dominio personalizado de API Gateway se utilizan su certificado y su clave privada, consulte el contexto de cifrado en sus registros de CloudTrail, tal como se muestra en la próxima sección, o bien la pestaña **Recursos asociados** de la consola de ACM.
Para descifrar los datos, se incluye el mismo contexto de cifrado en la solicitud. API Gateway utiliza el mismo contexto de cifrado en todas las operaciones criptográficas de AWS KMS, donde la clave es `aws:apigateway:arn` y el valor es el nombre de recurso de Amazon (ARN) del recurso `PrivateDomainName` de API Gateway.
El siguiente ejemplo muestra el contexto de cifrado en el resultado de una operación como `CreateGrant`.
```
"constraints": {
"encryptionContextEquals": {
"aws:acm:arn": "arn:aws:acm:us-west-2:859412291086:certificate/9177097a-f0ae-4be1-93b1-19f911ea4f88",
"aws:apigateway:arn": "arn:aws:apigateway:us-west-2:859412291086:/domainnames/denytest-part1.pdx.sahig.people.aws.dev+cbaeumzjhg"
}
},
"operations": [
"Decrypt"
],
"granteePrincipal": "tlsconnectionmanager.amazonaws.com"
```
## Cifrado de datos en tránsito en Amazon API Gateway
Todas las API creadas con Amazon API Gateway solo exponen los puntos de conexión HTTPS. API Gateway no admite puntos de conexión no cifrados (HTTP).
API Gateway administra los certificados de los puntos de conexión de `execute-api` predeterminados. Si configura un nombre de dominio personalizado, [especifique el certificado para el nombre de dominio](how-to-custom-domains.md#custom-domain-names-certificates). Como práctica recomendada, no [fije certificados](https://docs.aws.amazon.com/acm/latest/userguide/troubleshooting-pinning.html).
Para mayor seguridad, puede elegir una versión mínima del protocolo Transport Layer Security (TLS) que se va a aplicar a su dominio personalizado de API Gateway. Las API de WebSocket y las API HTTP solo admiten TLS 1.2. Para obtener más información, consulte [Elección de una política de seguridad para el dominio personalizado en API Gateway](apigateway-custom-domain-tls-version.md).
También puede configurar una distribución de Amazon CloudFront con un certificado SSL personalizado en su cuenta y utilizarla con las API regionales. Luego puede configurar la política de seguridad para la distribución de CloudFront con TLS 1.1 o superior en función de los requisitos de seguridad y conformidad.
Para obtener más información sobre la protección de datos, consulte la entrada de blog relativa a [Protección de sus API de REST en API Gateway](rest-api-protect.md) y al [modelo de responsabilidad compartida y GDPR de AWS](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) en el *blog de seguridad de AWS*.
# Privacidad del tráfico entre redes
Con Amazon API Gateway, puede crear API de REST privadas a las que solo se puede acceder desde su Amazon Virtual Private Cloud (VPC). La VPC utiliza un [punto de enlace de la VPC de interfaz](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html), que es una interfaz de red de punto de enlace que se crea en su VPC. Mediante las [políticas de recursos](apigateway-private-api-create.md#apigateway-private-api-set-up-resource-policy), puede permitir o denegar el acceso a las API desde las VPC y los puntos de enlace de la VPC seleccionados, incluso entre diferentes cuentas de AWS. Cada punto de enlace se puede utilizar para tener acceso a varias API privadas. También puede utilizar Direct Connect para establecer una conexión entre una red en las instalaciones y Amazon VPC, y obtener acceso a la API privada a través de esa conexión. En cualquier caso, el tráfico dirigido a la API privada utilizará conexiones seguras y no saldrá de la red de Amazon, ya que está aislado de la red pública de Internet. Para obtener más información, consulte [API de REST privadas en API Gateway](apigateway-private-apis.md).