Cifrado en reposo Cifrado en tránsito Restricción del acceso a contenido

Protección de datos en AWS Control Tower

El modelo de responsabilidad compartida de AWS se aplica a la protección de datos en AWS Control Tower. Como se describe en este modelo, AWS es responsable de proteger la infraestructura global que ejecuta toda la Nube de AWS. Eres responsable de mantener el control sobre el contenido alojado en esta infraestructura. También eres responsable de las tareas de administración y configuración de seguridad para los Servicios de AWS que utiliza. Para obtener más información sobre la privacidad de los datos, consulta las Preguntas frecuentes sobre la privacidad de datos. Para obtener información sobre la protección de datos en Europa, consulta la publicación de blog sobre el Modelo de responsabilidad compartida de AWS y GDPR en el Blog de seguridad de AWS.

Con fines de protección de datos, recomendamos proteger las credenciales de la Cuenta de AWS y configurar cuentas de usuario individuales con AWS IAM Identity Center o AWS Identity and Access Management (IAM). De esta manera, solo se otorgan a cada usuario los permisos necesarios para cumplir sus obligaciones laborales. También recomendamos proteger sus datos de la siguiente manera:

Utiliza la autenticación multifactor (MFA) en cada cuenta.
Utiliza SSL/TLS para comunicarse con los recursos de AWS. Se recomienda el uso de TLS 1.2 y recomendamos TLS 1.3.
Configure los registros de API y de actividad de los usuarios con AWS CloudTrail. Para obtener información sobre cómo utilizar registros de seguimiento de CloudTrail para capturar actividades de AWS, consulta Working with CloudTrail trails en la Guía del usuario de AWS CloudTrail.
Utiliza las soluciones de cifrado de AWS, junto con todos los controles de seguridad predeterminados dentro de los servicios de Servicios de AWS.
Utiliza servicios de seguridad administrados avanzados, como Amazon Macie, que lo ayuden a detectar y proteger los datos confidenciales almacenados en Amazon S3.
Si necesita módulos criptográficos validados FIPS 140-3 al acceder a AWS a través de una interfaz de línea de comandos o una API, utiliza un punto de conexión de FIPS. Para obtener más información sobre los puntos de conexión de FIPS disponibles, consulta Estándar de procesamiento de la información federal (FIPS) 140-3.

Se recomienda encarecidamente no introducir nunca información confidencial o sensible, como por ejemplo, direcciones de correo electrónico de clientes, en etiquetas o campos de formato libre, tales como el campo Nombre. Incluye las situaciones en las que debe trabajar con AWS Control Tower u otros Servicios de AWS a través de la consola, la API, AWS CLI o AWS SDK. Cualquier dato que ingrese en etiquetas o campos de texto de formato libre utilizados para nombres se puede emplear para los registros de facturación o diagnóstico. Si proporciona una URL a un servidor externo, recomendamos encarecidamente que no incluya información de credenciales en la URL a fin de validar la solicitud para ese servidor.

nota

El registro de la actividad de los usuarios con AWS CloudTrail se gestiona automáticamente en AWS Control Tower al configurar la zona de aterrizaje.

Para obtener más información sobre la protección de datos, consulte la entrada de blog relativa al modelo de responsabilidad compartida de AWS y GDPR en el blog de seguridad de AWS. AWS Control Tower proporciona las opciones siguientes con el fin de ayudar a proteger el contenido presente en su zona de aterrizaje:

Cifrado en reposo

AWS Control Tower utiliza buckets de Amazon S3 y bases de datos de Amazon DynamoDB que se cifran en reposo mediante el uso de claves administradas por Amazon S3 (SSE-S3) para respaldar su zona de aterrizaje. Este cifrado se configura de forma predeterminada al configurar su zona de aterrizaje. Si lo desea, puede configurar su zona de aterrizaje para cifrar los recursos con claves de cifrado de KMS. También puede establecer el cifrado en reposo para los servicios que utilice en su zona de aterrizaje y lo admitan. Para obtener más información, consulte el capítulo sobre seguridad de la documentación en línea de dicho servicio.

Cifrado en tránsito

AWS Control Tower utiliza la seguridad de la capa de transporte (TLS) y el cifrado del cliente para el cifrado en tránsito con el fin de respaldar su zona de aterrizaje. Además, el acceso a AWS Control Tower requiere la utilización de la consola, a la que se solo puede acceder a través de un punto de conexión HTTPS. Este cifrado se configura de forma predeterminada al configurar su zona de aterrizaje.

Restricción del acceso a contenido

Como práctica recomendada, debería restringir el acceso al subconjunto de usuarios adecuado. Con AWS Control Tower, puede hacerlo asegurándose de que los administradores de la nube central y los usuarios finales tengan los permisos de IAM adecuados o, en el caso de usuarios de IAM Identity Center, que se encuentren en los grupos correctos.

Para obtener más información sobre los roles y las políticas para entidades de IAM, consulte la Guía del usuario de IAM.
Para obtener más información acerca de los grupos de IAM Identity Center que se crean al configurar su zona de aterrizaje, consulte Grupos de IAM Identity Center y AWS Control Tower.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Seguridad

Validación de la conformidad